然后的话常规的红队蓝队他们这些攻击和防守的一些战术分析,案例的这种拆解等等,这个是在第五阶段和第四阶段就是在决战之前,临战阶段我们回去做的一个工作。好,那你看这个已经是我们这个攻防演练在前期需要去准备的资产梳理,安全加固,产品的安全策略的优化,红蓝的演练以及安全培训了。那么接下来到决战阶段,我们需要去做什么?那这一块东西就更多了,比方说最简单的也就是大家比较熟悉的,那我们现在按照序号就第六,大家比较熟悉的就是说我去客户现场,是吧?一天给我多少钱,一两千也好,三四千也好,是不是?然后我去做值守的工作,这个在单位里面很多东西就是叫现场值守人员或者现场的盯监控的,监测人员现场值守的就是干这个活。
就是比方说有人打进来之后,你的日志,你的防火墙有个日志跑出来了是吧?说某某某来对你进行弱口令爆破或者对你进行扫描的一个探测,那么你作为值守人员,你要马上汇报这样的一个情况,给到后端的上面的这个技术更强一点的,他们做研判分析的,是不是?那么除了现场值守的话,通常我们作为公安演练的这个工作人员还要去干?去了解各种各样的一些威胁的这种情报,这里面的话大家通常会相互的去共享,你要知道哪些IP地址要马上去拦截掉。
因为大家会说这个某某红队的,大家要把它在设备上面把它给拦截掉,那么这一块其实也是特别重要的,因为大家的这个目标是一致的,就是防止进攻方打进来,所以情报上面大家会去做共享。那么除此之外,那如果真的被打进来怎么办?如果你真的因为你打进来的这个事件有很多种,比方说它是一个什么前期的一个踩点的一个工作,也可能是一个web的一个入侵,也可能是一个什么内网的,因为他可能有时候可能打穿你内网了,已经刺穿你内网渗透的一个事件,有可能是打的你web,有可能是做前期长一点,也有可能做社工的这个钓鱼,反而攻击视线是很多的。那这个过程中这么多的这种入侵的行为,那我们要怎么去做?那么一句话,我们要做应急的一个响应,我们要现场要去应急的这个处置,应急响应应急的处置,是吧?那应急处置通常就遵循什么?封杀杀毒,是不是?哪个IP地址来打我的,马上把它拦截掉。