公司刚上线的新系统,没几天就被发现存在安全漏洞。红队在内部演练中轻松绕过验证,直接拿到管理员权限。这种事在日常运维中并不少见,关键是怎么快速发现、及时拦住。
蓝队不是被动防守的代名词
很多人以为蓝队就是等出事了才响应,其实真正的蓝队得像小区保安+监控分析员的结合体。不仅要盯着日志,还得懂攻击者会怎么下手。比如一个常见的SQL注入漏洞,攻击者可能通过登录框输入恶意语句,而系统返回的错误信息如果太详细,就会暴露数据库结构。
这时候,蓝队的重点就不是马上修代码,而是先在入口处加一层过滤规则,把可疑的关键词比如 'or 1=1'、'union select' 拦下来。可以在Web应用防火墙(WAF)里设置简单规则:
<rule name="Block SQLi" stopProcessing="true">
<match url=".*" />
<conditions>
<add input="%{QUERY_STRING}" pattern="(\.*?)(union|select|insert|drop)" />
</conditions>
<action type="AbortRequest" />
</rule>从流量中嗅出异常行为
某天财务系统的访问量突然暴增,但用户都说没操作。查日志发现大量来自内网IP的请求,路径都指向同一个接口。这很可能是攻击者利用已沦陷主机,在尝试横向移动。
蓝队这时要做的,是立刻调取该时间段的完整流量包,用工具如Zeek或Suricata做回溯分析。重点关注HTTP请求头里的User-Agent是否异常,比如出现“sqlmap”或“Nmap”这类字眼,基本就能锁定是自动化工具在跑。
同时,在核心交换机上部署镜像端口,把流量导给SIEM系统实时比对。一旦发现某个IP短时间内发起大量失败登录,自动触发告警并临时封禁。
补丁来不及打?那就伪装成已修复
有些老系统没人敢动,补丁一更新就崩。这时候可以采用“虚拟补丁”策略。比如Apache Struts爆出远程执行漏洞,官方补丁还没测试完,但外网已经有人在扫了。
蓝队可以在反向代理层加规则,拦截所有包含“Content-Type: %{”的请求头,这是典型利用OGNL表达式注入的手法。虽然系统本身没改,但攻击者会以为目标不存在漏洞,转而寻找别的突破口。
让日志说话,而不是堆在那里吃灰
很多单位的日志系统就是个摆设,出了事才想起来翻。其实平时就得养成看“异常模式”的习惯。比如每周导出一次认证失败最高的前五个账号,发现总有某个测试账户被狂试密码,那就要么关掉它,要么加上多因素验证。
再比如DNS日志里频繁出现奇怪的子域名查询,像“a1b2c3.malicious-domain.cc”,这往往是木马在尝试C2通信。只要在DNS服务器上设置黑名单,就能提前掐断联系。
真正的防护不是靠一套万能系统,而是每天多看一眼日志,多设一道卡点。漏洞永远会有,但只要反应够快,就能把损失控制在最小范围。