网络攻防演练在即：你抗测绘了吗？

随着网络攻防演练的临近，各参与方都在积极准备。在这场技术与策略的较量中，“抗测绘”成为关键。本文将探讨为何需要“抗测绘”，以及作为蓝队如何通过有效的策略和技术手段，提前布防，掌握主动权。

为什么要“抗测绘”？

网络攻防演练中，红队在目标单位资产测绘上可是下足了功夫，网络空间专业测绘工具、漏扫、密码爆破、匿名代理、社工钓鱼等工具和手段都用上了，红队之间还会共享目标单位的资产情报，目的就是提前掌握目标系统漏洞、登录凭证等关键信息。攻防演练正式开始前2-4周甚至更早，红队就在互联网侧开始了针对目标单位的资产测绘工作！测绘工作占据了红队八成以上的精力，一旦红队掌握了目标系统的弱点，攻陷系统、达成目的就是几分钟的事！可见测绘工作对红队攻陷系统至关重要。

作为防守方的蓝队，如果仅依靠内网部署的传统防火墙、流量分析等安全产品是比较被动的，因为红队早期测绘阶段的行为可能不带攻击特征，而且绝大部分测绘工作是在互联网侧开展的，传统防火墙规则默认只拦截进入内网、有攻击特征的流量，主要在攻击发生时发挥作用，流量分析这类产品更是事后方知，在目标系统已经被攻破后写分析报告时会派上用场。那如何才能对抗红队的测绘行为？提前布防、掌握主动权呢？

如何有效“抗测绘”？

面对红队的“测绘”行为，蓝队也需要有力的武器和方法来武装自己，进行“抗测绘”！以下是两种主要策略：

自测绘（攻击暴露面收敛）-被动抗测绘

一种常见方法是蓝队开展“自测绘”收敛互联网攻击面，这样即使红队通过测绘发现了蓝队系统漏洞，只要蓝队提前修复就没事了。难就难在蓝队需要面面俱到、将所有弱点都修补上才能万无一失，而红队只需要找到一个目标系统的弱点就可能取得突破。所以作为蓝队，仅采用“自测绘”这一种方法也是不够的。

云蜜罐&云WAF联动-主动抗测绘

还有一种省时、省力、精准高效的主动“抗测绘”方法，可以跟“自测绘”一起作为组合拳使用——那就是在互联网侧采用云蜜罐&云WAF联动，提前进行风险预警、发现高危IP提前封禁，扰乱红队测绘数据、牵制红队精力，对红队攻击过程、IP画像取证。

风险预警、提前封禁红队IP。云蜜罐的黑客指纹库可用于分辨触发蜜罐的请求是否为扫描器请求，结合访问频次、行为手段、威胁情报等信息形成抗测绘研判模型，实时发出风险预警，联动云WAF封禁高危黑IP，保护目标系统。最关键的是，这些工作都是自动化的，可以节省蓝队大量精力。

扰乱红队测绘数据、牵制红队精力。云蜜罐伪装目标单位的业务系统、OA、摄像头、打印机、安全产品等系统的登录页或其它关键页面，散播到互联网上让网络空间测绘引擎收录，红队在通过各类测绘工具收集目标单位网络资产时难辨真假。

通过变幻伪装页面、域名等手段动态投放云蜜罐，进行网络边界地形重塑，红队多次测绘将得到异常、不一致的目标单位网络资产地图，出现网络边界地形熵增现象，导致红队测绘结果无法实际使用，还得上人工进一步判断真伪、甚至重新测绘。

采用云蜜罐做业务系统伪装、网络边界地形重塑，大大增加了红队的测绘工作量，牵制了红队的精力。这也降低了真实资产被红队测绘掌握的风险，同时为蓝队争取了宝贵的时间窗口，完成系统弱点修补等工作。

对红队攻击过程、IP画像取证。云蜜罐会记录攻击者在蜜罐内的各种行为、形成攻击日志，并结合威胁情报大数据，对攻击过程、攻击IP进行立体画像，可作为攻防演练后期写溯源报告时的证据。关键是这一切都是自动化的，非常省事！

云蜜罐&云WAF联动“抗测绘”如何部署