?本文主要講解3個方面的內(nèi)容：

• 簡單梳理2022年上半年全球最大的10起數(shù)據(jù)泄漏事件；
• 從紅藍攻防的角度去分析這些數(shù)據(jù)泄漏事件背后的原因；
• 從紅藍攻防的角度為企業(yè)如何保護好自己的數(shù)據(jù)給出幾點建議。

1.2022年全球10大數(shù)據(jù)泄漏事件

根據(jù)國內(nèi)知名媒體ZDNet的報道，今年全球發(fā)生了如下10起數(shù)據(jù)泄漏事件，根據(jù)數(shù)據(jù)泄漏規(guī)模和影響力倒序排列：

NO.10 美國德克薩斯州圣安東尼奧醫(yī)療中心

• 受影響的人數(shù)：124萬

6月下旬，位于美國得克薩斯州圣安東尼奧的Baptist Medical Center醫(yī)療中心和德克薩斯州新布朗費爾斯的Resolute Health Hospital附屬醫(yī)院發(fā)生了重大的數(shù)據(jù)泄漏事件，該事件是美國衛(wèi)生與公眾服務部最近追蹤到的、規(guī)模最大的數(shù)據(jù)泄漏事件之一，其中涉及到未經(jīng)授權訪問高度敏感的患者數(shù)據(jù)。

NO.9 美國旗星銀行

• 受影響的人數(shù)：154萬

今年6月，位于密歇根州特洛伊的美國星旗銀行稱在去年底發(fā)生了一次重大數(shù)據(jù)泄漏事件，客戶數(shù)據(jù)被泄漏，這是該銀行發(fā)生的第二次數(shù)據(jù)泄漏事件。

NO.8 美國得克薩斯州保險部

• 受影響的人數(shù)：180萬

今年3月，美國德克薩斯州保險部的數(shù)據(jù)被泄漏，泄漏的敏感數(shù)據(jù)包括社保號碼、出生日期等個人信息。

NO.7 希爾茲醫(yī)療集團

• 受影響的人數(shù)：200萬

今年6月，總部位于美國馬薩諸塞州昆西的希爾茲醫(yī)療集團（Shields Health Care Group）數(shù)據(jù)泄漏，可能影響數(shù)十個地區(qū)醫(yī)療機構約200萬人，包括姓名、社保號碼和保險信息。

NO.6 Horizon Actuarial Services

• 受影響的人數(shù)：229萬

Horizon Actuarial是一家為美國很多工會福利計劃提供技術和精算咨詢服務的公司，黑客攻陷了這家公司內(nèi)部的2臺服務器，用戶的姓名、出生日期、社保號碼和健康計劃信息遭泄漏，受影響的福利計劃包括美國職業(yè)棒球大聯(lián)盟球員福利計劃、全國冰球聯(lián)盟球員協(xié)會健康和福利基金、以及紐約時報福利協(xié)會。

NO.5 Lakeview Loan Servicing

• 受影響的人數(shù)：257萬

位于美國佛羅里達州Coral Gables的Lakeview Loan Servicing的數(shù)百萬客戶的高度敏感信息遭泄漏，在暗網(wǎng)掛牌銷售，該公司正面臨多起訴訟。

NO.4 Elephant Insurance Services

• 受影響的人數(shù)：276萬

今年5月，總部位于美國弗吉尼亞州Henrico的Elephant Insurance ServicesDE 數(shù)百萬客戶的保單信息被泄漏，包括姓名、駕照號碼和出生日期等信息。

NO.3 FlexBooker

• 受影響的人數(shù)：375萬

今年1月，總部位于美國俄亥俄州哥倫布市的公司FlexBooker（企業(yè)網(wǎng)站嵌入在線預約工具提供商）的AWS服務器遭到入侵，用戶的信用卡數(shù)據(jù)等信息遭泄漏。

NO.2 Beetle Eye

• 受影響的人數(shù)：700萬

美國的一家提供在線電子郵件營銷工具的公司Beetle Eye發(fā)生重大數(shù)據(jù)泄漏，此次事件是由于AWS S3存儲桶未進行任何加密且配置錯誤造成的，該漏洞導致Amazon S3存儲桶處于打開狀態(tài)，泄漏了大約700萬人的敏感數(shù)據(jù)。

NO.1 Cash App Investing

• 受影響的人數(shù)：820萬

今年4月，美國知名投資公司Cash App Investing的820萬客戶數(shù)據(jù)被泄漏，由一名前員工下載了公司內(nèi)部的一份報告引起，泄漏的信息包含客戶的全名和經(jīng)紀帳號等信息。

其實，最近還有一起數(shù)據(jù)泄漏事件比上面這10起事件還要勁爆，即歐洲某國領導人與俄羅斯總統(tǒng)普京的通話內(nèi)容被泄漏，原因是該領導人使用的iPhone被植入了偵聽軟件。

如果仔細分析和追查這些數(shù)據(jù)泄漏的背后原因，無外乎奇安信出版的暢銷書《紅藍攻防：構建實戰(zhàn)化的網(wǎng)絡安全防御體系》中總結的10個原因。

2.導致數(shù)據(jù)泄漏的10種常見原因

NO.1 互聯(lián)網(wǎng)未知資產(chǎn)/服務大量存在

在攻防演練中，資產(chǎn)的控制權和所有權始終是攻防雙方的爭奪焦點。互聯(lián)網(wǎng)暴露面作為流量的入口，是攻擊方重要的攻擊對象。

資產(chǎn)不清是很多政企單位面臨的現(xiàn)狀。數(shù)字化轉(zhuǎn)型帶來的互聯(lián)網(wǎng)暴露面不斷擴大，政企機構資產(chǎn)范圍不斷外延。除了看得到的“冰面資產(chǎn)”之外，還有大量的冰面之下的資產(chǎn)，包括無主資產(chǎn)、灰色資產(chǎn)、僵尸資產(chǎn)等。

在實戰(zhàn)攻防演練中，一些單位存在“年久失修、無開發(fā)維護保障”的老/舊/僵尸系統(tǒng)，因為清理不及時，容易成為攻擊者的跳板，構成嚴重的安全隱患。 

NO.2 網(wǎng)絡及子網(wǎng)內(nèi)部安全域之間隔離措施不到位

網(wǎng)絡內(nèi)部的隔離措施是考驗企業(yè)網(wǎng)絡安全防護能力的重要環(huán)節(jié)。由于很多機構沒有嚴格的訪問控制（ACL）策略，在DMZ和辦公網(wǎng)之間不做或很少有網(wǎng)絡隔離，辦公網(wǎng)和互聯(lián)網(wǎng)相通，網(wǎng)絡區(qū)域劃分不嚴格，可以直接使遠程控制程序上線，令攻擊方可以很輕易地實現(xiàn)跨區(qū)攻擊。 

大中型政企機構還存在“一張網(wǎng)”的情況，習慣于使用單獨架設專用網(wǎng)絡，來打通各地區(qū)之間的內(nèi)部網(wǎng)絡連接，不同區(qū)域內(nèi)網(wǎng)間也缺乏必要的隔離管控措施，缺乏足夠有效的網(wǎng)絡訪問控制。這就導致藍隊一旦突破了子公司或分公司的防線，便可以通過內(nèi)網(wǎng)進行橫向滲透，直接攻擊到集團總部，或是漫游整個企業(yè)內(nèi)網(wǎng)，進而攻擊任意系統(tǒng)。 

NO.3 互聯(lián)網(wǎng)應用系統(tǒng)常規(guī)漏洞過多

在歷年的實戰(zhàn)攻防演練期間，已知應用系統(tǒng)漏洞、中間件漏洞以及因配置問題產(chǎn)生的常規(guī)漏洞，是攻擊方發(fā)現(xiàn)的明顯問題和主要攻擊渠道。

通過中間件來看，Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。

Weblogic應用比較廣泛，因存在反序列化漏洞，所以常常會被作為打點和內(nèi)網(wǎng)滲透的突破點。所有行業(yè)基本上都有對外開放的郵件系統(tǒng)，可以針對郵件系統(tǒng)漏洞，譬如跨站漏洞、CoreMail漏洞、XXE漏洞來針對性開展攻擊，也可以通過釣魚郵件和魚叉郵件攻擊來開展社工工作，均是比較好的突破點。

NO.4 互聯(lián)網(wǎng)敏感信息泄漏明顯

網(wǎng)絡拓撲、用戶信息、登錄憑證等敏感信息在互聯(lián)網(wǎng)大量泄漏 , 成為攻擊方突破點。針對暗網(wǎng)的調(diào)查發(fā)現(xiàn)，與政企機構網(wǎng)絡登錄憑證等相關信息的交易正在蓬勃發(fā)展。

2019 年第四季度，暗網(wǎng)市場網(wǎng)絡憑證數(shù)據(jù)的交易數(shù)量開始有所上升，出售的數(shù)量就相當于 2018 年全年的總和。2020 年第一季度，暗網(wǎng)市場銷售的網(wǎng)絡登錄的帖子數(shù)量比上一季度猛增了 69%。暗網(wǎng)出售的網(wǎng)絡登錄憑據(jù)涉及政府機構、醫(yī)療機構以及其他社會組織。

實際上，2020 年是有記錄以來數(shù)據(jù)泄漏最糟糕的一年。根據(jù)Canalys的最新報告“網(wǎng)絡安全的下一步”， 2020年短短12個月內(nèi)泄漏的記錄比過去15年的總和還多。大量互聯(lián)網(wǎng)敏感數(shù)據(jù)泄漏，為攻擊者進入內(nèi)部網(wǎng)絡和開展攻擊提供了便利。

NO.5 邊界設備成為進入內(nèi)網(wǎng)的缺口

互聯(lián)網(wǎng)出口和應用都是攻入內(nèi)部網(wǎng)絡的入口和途徑。目前政企機構的接入防護措施良莠不齊，給藍隊創(chuàng)造了大量的機會。針對 VPN 系統(tǒng)等開放于互聯(lián)網(wǎng)邊界的設備或系統(tǒng)，為了避免影響到員工使用，很多政企機構都沒有在其傳輸通道上增加更多的防護手段；再加上此類系統(tǒng)多會集成統(tǒng)一登錄，一旦獲得了某個員工的賬號密碼，藍隊可以通過這些系統(tǒng)突破邊界直接進入內(nèi)部網(wǎng)絡中來。 

此外，防火墻作為重要的網(wǎng)絡層訪問控制設備，隨著網(wǎng)絡架構與業(yè)務的增長與變化，安全策略非常容易混亂，甚至一些政企機構為了解決可用性問題，出現(xiàn)了“any to any”的策略。防守單位很難在短時間內(nèi)梳理和配置幾十個應用、上千個端口的精細化訪問控制策略。缺乏訪問控制策略的防火墻，就如同敞開的大門，安全域邊界防護形同虛設。

NO.6 內(nèi)網(wǎng)管理設備成為擴大戰(zhàn)果突破點

主機承載著政企機構關鍵業(yè)務應用，需重點關注、重點防護。但很多機構的內(nèi)部網(wǎng)絡的防御機制脆弱，在實戰(zhàn)攻防演練期間，經(jīng)常發(fā)現(xiàn)早已披露的陳年漏洞未修復，特別是內(nèi)部網(wǎng)絡主機、服務器以及相關應用服務補丁修復不及時，成為藍隊利用的重要途徑，從而順利 拿下內(nèi)部網(wǎng)絡服務器及數(shù)據(jù)庫權限。

集權類系統(tǒng)成為攻擊的主要目標。在攻防演練過程中，云管理平臺、核心網(wǎng)絡設備、堡壘機、SOC 平臺、VPN 等集權系統(tǒng)，由于缺乏定期的維護升級，已經(jīng)成為擴大權限的突破點。集權類系統(tǒng)一旦被突破，整個內(nèi)部的應用和系統(tǒng)基本全部突破，可以實現(xiàn)以點打面，掌握對其所屬管轄范圍內(nèi)的所有主機控制權。

NO.7 安全設備自身安全成為新的風險點

安全設備作為政企機構對抗攻擊者的重要工具，其安全性應該相對較高。但實際上安全產(chǎn)品自身也無法避免 0Day 攻擊，安全設備自身安全成為新的風險點。每年攻防演練都會爆出某某安全設備自身存在某某漏洞被利用、被控制，反映出安全設備廠商自身安全開發(fā)和檢測能力沒有做到位，給藍隊留下了“后門”，形成新的風險點。

2020 年實戰(zhàn)攻防演練中的一大特點是，安全產(chǎn)品的漏洞挖掘和利用現(xiàn)象非常普遍，多家企業(yè)的多款安全產(chǎn)品被挖掘出新漏洞（0day 漏洞）或存在高危漏洞。 

歷年攻防實戰(zhàn)演練中，被發(fā)現(xiàn)和利用的各類安全產(chǎn)品 0Day 漏洞，主要涉及安全網(wǎng)關、身份與訪問管理、安全管理、終端安全等類型安全產(chǎn)品。這些安全產(chǎn)品的漏洞一旦被利用，可以使藍隊突破網(wǎng)絡邊界，獲取控制權限進入網(wǎng)絡；獲取用戶賬戶信息，并快速拿下相關設備和網(wǎng)絡的控制權限。

近兩三年，出現(xiàn)了多起VPN、堡壘機、終端管理等重要安全設備被藍隊利用重大漏洞突破的案例，這些安全設備被攻陷，直接造成網(wǎng)絡邊界防護失效、大量管理權限被控制。

NO.8 供應鏈攻擊成為攻擊方的重要突破口

在攻防演練過程中，隨著防守方對攻擊行為的監(jiān)測、發(fā)現(xiàn)和溯源能力大幅增強，攻擊隊開始更多地轉(zhuǎn)向供應鏈攻擊等新型作戰(zhàn)策略。藍隊會從IT（設備及軟件）服務商、安全服務商、辦公及生產(chǎn)服務商等供應鏈機構入手，尋找軟件、設備及系統(tǒng)漏洞，發(fā)現(xiàn)人員及管理薄弱點并實施攻擊。

常見的系統(tǒng)突破口包括：郵件系統(tǒng)、OA系統(tǒng)、安全設備、社交軟件等；常見的突破方式包括軟件漏洞，管理員弱口令等。

由于攻擊對象范圍廣、攻擊方式隱蔽，供應鏈攻成為攻擊方的重要突破口，給政企安全防護帶來了極大的挑戰(zhàn)。從奇安信在 2021 年承接的實戰(zhàn)攻防演練情況來看，由于供應鏈管控弱，軟件外包、外部服務提供商等成為迂回攻擊的重要通道。

NO.9 員工安全意識淡薄是攻擊的突破口

利用人員安全意識不足或安全能力不足，實施社會工程學攻擊，通過釣魚郵件或社交平臺進行誘騙，是攻擊方經(jīng)常使用的手法。 

釣魚郵件是最經(jīng)常被使用的攻擊手法之一。即便是安全意識較強的 IT 人員或管理員，也很容易被誘騙點開郵件中釣魚鏈接或木馬附件，進而導致關鍵終端被控，甚至整個網(wǎng)絡淪陷。在歷年攻防演練過程中，攻擊隊通過郵件釣魚等方式攻擊 IT 運維人員辦公用機并獲取數(shù)據(jù)及內(nèi)網(wǎng)權限的案例數(shù)不勝數(shù)。

NO.10 內(nèi)網(wǎng)安全檢測能力不足

攻防演練中, 攻擊方攻擊測試，對防守方的檢測能力要求更高。網(wǎng)絡安全監(jiān)控設備的部署、網(wǎng)絡安全態(tài)勢感知平臺的建設，是實現(xiàn)安全可視化、安全可控的基礎。部分企業(yè)采購部署了相關工具，但是每秒上千條報警，很難從中甄別出實際攻擊事件。

此外，部分老舊的防護設備，策略配置混亂，安全防護依靠這些系統(tǒng)發(fā)揮中堅力量，勢必力不從心。流量監(jiān)測及主機監(jiān)控工具缺失，僅依靠傳統(tǒng)防護設備的告警去判斷攻擊、甚至依靠人工去翻閱海量的日志，導致“巧婦難為無米之炊”。

更重要的是，精于內(nèi)部網(wǎng)絡隱蔽滲透的攻擊方，在內(nèi)部網(wǎng)絡進行非常謹慎而隱蔽的橫向移動，很難被流量監(jiān)測設備或態(tài)勢感知系統(tǒng)檢測。

3.保障數(shù)據(jù)不被泄漏的8個常用策略

企業(yè)內(nèi)部的數(shù)據(jù)泄漏，究其原因，總結起來大致就以上這10種。對于企業(yè)或機構（紅隊：防守方）而言，如何做好防守以保證自己的數(shù)據(jù)不被泄漏呢，奇安信的這本《紅藍攻防》里也給出了8個常用策略。

NO.1 信息清理：互聯(lián)網(wǎng)敏感信息

攻擊隊會采用社工、工具等多種技術手段，對目標單位可能暴露在互聯(lián)網(wǎng)上的敏感信息進行搜集，為后期攻擊做充分準備。

防守隊除了定期對全員進行安全意識培訓，不準將帶有敏感信息的文件上傳至公共信息平臺外，針對漏網(wǎng)之魚還可以通過定期開展敏感信息泄漏搜集服務，能夠及時發(fā)現(xiàn)在互聯(lián)網(wǎng)上已暴露的本單位敏感信息，提前采取應對措施，降低本單位敏感信息暴露的風險，增加攻擊隊搜集敏感信息的時間成本，為后續(xù)攻擊抬高難度。

NO.2 收縮戰(zhàn)線：縮小攻擊暴露面

攻擊隊首先會通過各種渠道收集目標單位的各種信息，收集的情報越詳細，攻擊則會越隱蔽，越快速。此外，攻擊隊往往不會正面攻擊防護較好的系統(tǒng)，而是找一些可能連防守者自己都不知道的薄弱環(huán)節(jié)下手。

這就要求防守者一定要充分了解自己暴露在互聯(lián)網(wǎng)的系統(tǒng)、端口、后臺管理系統(tǒng)、與外單位互聯(lián)的網(wǎng)絡路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點?；ヂ?lián)網(wǎng)暴露面越多，越容易被攻擊隊“聲東擊西”，最終導致防守者顧此失彼，眼看著被攻擊卻無能為力。結合多年的防守經(jīng)驗，可從如下幾方面收斂互聯(lián)網(wǎng)暴露面。

• 攻擊路徑梳理
• 互聯(lián)網(wǎng)攻擊面收斂
• 外部接入網(wǎng)絡梳理
• 隱蔽入口梳理

NO.3 縱深防御：立體防滲透

收縮戰(zhàn)線工作完成后，針對實戰(zhàn)攻擊，防守隊應對自身安全狀態(tài)開展全面體檢，此時可結合戰(zhàn)爭中的縱深防御理論來審視當前網(wǎng)絡安全防護能力。

從互聯(lián)網(wǎng)端防護、內(nèi)外部訪問控制（安全域間甚至每臺機器之間）、主機層防護、供應鏈安全甚至物理層近源攻擊的防護，都需要考慮進去。通過層層防護，盡量拖慢攻擊隊擴大戰(zhàn)果的時間，將損失降至最小。

• 資產(chǎn)動態(tài)梳理
• 互聯(lián)網(wǎng)端防護
• 訪問策略梳理
• 主機加固防護
• 供應鏈安全

NO.4 守護核心：找到關鍵點

正式防守工作中，根據(jù)系統(tǒng)的重要性劃分出防守工作重點，找到關鍵點，集中力量進行防守。

根據(jù)實戰(zhàn)攻防經(jīng)驗，核心關鍵點一般包括：靶標系統(tǒng)、集權類系統(tǒng)、具有重要數(shù)據(jù)的業(yè)務系統(tǒng)等，在防守前應針對這些重點系統(tǒng)再次進行梳理和整改，梳理得越細越好。必要情況下對這些系統(tǒng)進行單獨的評估，充分檢驗重點核心系統(tǒng)的安全性。同時在正式防守工作，對重點系統(tǒng)的流量、日志進行實時監(jiān)控和分析。

• 靶標系統(tǒng)
• 集權系統(tǒng)
• 重要業(yè)務系統(tǒng)

NO.5 協(xié)同作戰(zhàn)：體系化支撐

面對大規(guī)模有組織的攻擊時，攻擊手段會不斷快速變化升級，防守隊在現(xiàn)場人員能力無法應對攻擊的情況下，還應該借助后端技術資源，相互配合協(xié)同作戰(zhàn)，建立體系化支撐，才能有效應對防守工作中面臨的各種挑戰(zhàn)。

• 產(chǎn)品應急支撐
• 安全事件應急支撐
• 情報支撐
• 樣本數(shù)據(jù)分析支撐
• 追蹤溯源支撐

NO.6 主動防御：全方位監(jiān)控

近兩年的紅藍對抗，攻擊隊的手段越來越隱蔽，越來越單刀直入，通過0day、Nday直指系統(tǒng)漏洞，直接獲得系統(tǒng)控制權限。

紅隊需擁有完整的系統(tǒng)隔離手段，藍隊成功攻擊到內(nèi)網(wǎng)之后，會對內(nèi)網(wǎng)進行橫向滲透。所以系統(tǒng)與系統(tǒng)之間的隔離，就顯得尤為重要。紅隊必須清楚哪些系統(tǒng)之間有關聯(lián)、訪問控制措施是什么。在發(fā)生攻擊事件后，應當立即評估受害系統(tǒng)范圍和關聯(lián)的其他系統(tǒng)，并及時做出應對的訪問控制策略，防止內(nèi)部持續(xù)的橫向滲透。

任何攻擊都會留下痕跡。攻擊隊會盡量隱藏痕跡、防止被發(fā)現(xiàn)。而防守者恰好相反，需要盡早發(fā)現(xiàn)攻擊痕跡，并通過分析攻擊痕跡，調(diào)整防守策略、溯源攻擊路徑、甚至對可疑攻擊源進行反制。建立全方位的安全監(jiān)控體系是防守者最有力的武器，總結多年實戰(zhàn)經(jīng)驗，有效的安全監(jiān)控體系需在如下幾方面開展：

• 自動化的IP封禁
• 全流量網(wǎng)絡監(jiān)控
• 主機監(jiān)控
• 日志監(jiān)控
• 蜜罐誘捕
• 情報工作支撐

NO.7 應急處突：完備的方案

通過近幾年的紅藍對抗發(fā)展來看，紅藍對抗初期，藍隊成員通過普通攻擊的方式，不使用0day或其他攻擊方式，就能輕松突破紅隊的防守陣地。

但是，隨著時間的推移，紅隊防護體系早已從只有防火墻做訪問控制，發(fā)展到現(xiàn)在逐步完善了WAF、IPS、IDS、EDR等多種防護設備，使藍隊難以突破，從而逼迫藍隊成員通過使用0day、Nday、現(xiàn)場社工、釣魚等多種方式入侵紅隊目標，呈無法預估的特點。

所以應急處突是近兩年紅藍對抗中發(fā)展的趨勢，同時也是整個紅隊防守水平的體現(xiàn)之處，不僅考驗應急處置人員的技術能力，更檢驗多部門（單位）協(xié)同能力，所以制定應急預案應當從以下幾個方面進行：

• 完善各級組織結構，如監(jiān)測組、研判組、應急處置組（網(wǎng)絡小組、系統(tǒng)運維小組、應用開發(fā)小組、數(shù)據(jù)庫小組）、協(xié)調(diào)組等。
• 明確各方人員，在各個組內(nèi)擔任的職責，如監(jiān)測組的監(jiān)測人員，負責某臺設備的監(jiān)測，并且7×12小時不得離崗等。
• 明確各方設備的能力與作用，如防護類設備、流量類設備、主機檢測類設備等。
• 制定可能出現(xiàn)的攻擊成功場景，如Web攻擊成功場景、反序列化攻擊成功場景、Webshell上傳成功場景等。
• 明確突發(fā)事件的處置流程，將攻擊場景規(guī)劃至不同的處置流程：上機查證類處置流程、非上機查證類處置流程等。

NO.8 溯源反制：人才是關鍵

溯源工作一直是安全的重要組成部分，無論在平常的運維工作，還是紅藍對抗的特殊時期，在發(fā)生安全事件后，能有效防止被再次入侵的有效手段，就是溯源工作。

在紅藍對抗的特殊時期，防守隊中一定要有經(jīng)驗豐富、思路清晰的溯源人員，能夠第一時間進行應急響應，按照應急預案分工，快速理清入侵過程，并及時調(diào)整防護策略，防止再次入侵，同時也為反制人員提供溯源到的真實IP，進行反制工作。

反制工作是紅隊反滲透能力的體現(xiàn)，普通的防守隊員一般也只具備監(jiān)測、分析、研判的能力，缺少反滲透的實力。這將使防守隊一直屬于被動的一方，因為紅隊沒有可反制的固定目標，也很難從成千上萬的攻擊IP里，確定哪些可能是攻擊隊的地址，這就要求紅隊中要有經(jīng)驗豐富的反滲透的人員。

經(jīng)驗豐富的反滲透人員會通過告警日志，分析攻擊IP、攻擊手法等內(nèi)容，對攻擊IP進行端口掃描、IP反查域名、威脅情報等信息收集類工作，通過收集到的信息進行反滲透。紅隊還可通過效仿藍隊社工手段，誘導藍隊進入誘捕陷阱，從而達到反制的目的，定位藍隊自然人身份信息。

限于篇幅，以上8種防守策略的細節(jié)并沒有展開，只給出了大致的思路，如果你想了解策略的具體內(nèi)容，可以閱讀《紅藍攻防》這本書。

道高一尺，魔高一丈，網(wǎng)絡攻防是沒有硝煙和終局的戰(zhàn)爭，要保障信息的安全，我們應該時刻保持警惕，從策略、技術、人才等各方面做好準備。

本文部分內(nèi)容摘編自《紅藍攻防：構建實戰(zhàn)化網(wǎng)絡安全防御體系》（ISBN：978-7-111-70640-3），經(jīng)出版方授權發(fā)布。?