24年國護馬上就要開始，基本上大部分藍隊紅隊都已經準備入場了

今年護網第一年變成常態化護網，由十五天突然變成了兩個月常態化，導致今年護網有很多項目整的七零八落

博主今年參加了三家廠商藍隊護網面試，在這邊分享一下護網面試經驗，順便做一下護網的面試總結（主要是藍隊的一個分享）

一、護網的崗位

?（1）監控（藍隊初級）

? ? ? ? 監控崗位主要工作對態勢感知（例如天眼、微步在線、青藤云、IPS、IDS等）進行一個實時監控，對響應的告警進行初步分析然后上報處理。

（2）研判（藍隊中級）

? ? ? ? 研判崗位主要工作是對監控崗位提交的態勢感知告警進行一個針對性的分析，分析告警是否為真實攻擊，同時判斷攻擊類型，攻擊影響范圍

（3）溯源（藍隊高級）

? ? ? ? 溯源崗位主要工作是對研判崗位研判結果進行一個溯源反制，如果研判結果是真實攻擊，溯源進行一個反向，然后找到攻擊來源，找到攻擊路徑，找到攻擊者，找到文件落地點等

（4）應急

? ? ? ? 發現真實攻擊后為了應對各種意外事件的發生所做的準備以及在事件發生后所采取相應的措施。

????????準備階段：人員，工具，服務需求和方案，服務合同或協議。
????????檢測階段：對網絡安全事件做出初步的動作和響應，預估事件的范圍和影響程度，制定進一步的響應策略。
????????抑制階段：限制攻擊范圍，抑制潛在的攻擊和破壞。
????????根除階段：通過有關惡意代碼和行為的分析，找出導致網絡安全事件發生的根源，并徹底消除。
????????恢復階段：恢復網絡安全事件所涉及到的系統，還原至正常狀態。
????????總結階段：回顧整個過程，整理相關信息，進行總結，記錄到文檔中。

二、面試流程

? ? ?（1）筆試

? ? ? ? ? ? ? ? 筆試這個不是所有的廠商都有，個別的廠商會有筆試環節，分為監控研判溯源應急的題目，一般半開卷形式，及格后可以參加面試

? ? ?（2）廠商面試

? ? ? ? ? ? ? ? 廠商會初步對你的能力和等級進行一個簡單評估和定級，面試內容基本上包括十大漏洞，流量信息，常用態勢感知，應急流程，漏洞挖掘思路，項目經驗等。廠商面試完會初步定級，然后推薦給需要的客戶。

? ? （3）客戶面試

? ? ? ? ? ? ? ? 根據廠商的推薦，客戶對其進行一個針對性工作面試，內容范圍跟廠商面試差距不大，但是客戶面試的內容會相應深入一點，問的內容多豐富一點

三、入場

? ? ? ? 在面試全都通過以后，一般會提前進入項目熟悉相應流程，會安排到相應崗位，簡單梳理工作

? ? ? ? 藍隊在護網之前會梳理甲方資產，簡單做一個漏掃，對甲方項目自身存在從問題簡單的進行一個排查，為接下來的護網做準備

????????各個崗位對護網期間可能發生的問題進行模擬，熟練流程，對應到來的護網