网络安全创刊 网络安全紫队
目录
基本概念
攻防演习准备工作
组织要素
组织形式
组织关键
攻防演习不同阶段
组织策划阶段
前期准备阶段
实战演习阶段
应急演习阶段
演习总结阶段
演习风险规避措施
如果错过互联网,与你擦肩而过的不仅仅是机会,而是整整一个时代。
基本概念
组织方。
在演习中,负责演习组织,过程监控,技术指导,应急保障,风险控制,演习总结,技术措施与策略优化等工作。通过红蓝攻防检验参演单位安全威胁应对能力,攻击事件检测发现能力。事件分析研判能力,事件响应处置能力以及应急响应机制与流程的有效性,提升参演单位的安全实战能力。
攻防演习准备工作
组织要素
组织一次攻防演习,要素包括:组织单位,演习技术支撑单位,攻击队伍,防守单位。
3-5 人的队伍,在获权前提下进行渗透攻击;防守队伍由参演单位和安全厂商组成,负责对管辖资产进行防护。
组织形式
演习组织形式根据实际需求而定,一般分为两种:
由国家,行业主管部门,监管机构组织,一般由各级公安机关,网信部门,政府,金融等组织。针对行业关键信息基础建设和重要系统,组织攻击队 及行业内各企事业单位组织演习。
由大型企事业单位自行组织,一般是央企,银行,金融企业等组织。针对业务安全防御体系的有效性的验证需求,组织演习。
组织关键
实战演习的组织工作包括:演习范围,周期,场地,设备,攻防队伍组建,规则制定,视频录制等方面。
1-2 周;场地需可容纳攻,防,组织三方展开工作;演习设备包括攻防演习平台,视频监控系统,攻方专用电脑(或提供虚拟攻击终端);演戏规则要有明确的攻击规则,防守规则和评分规则;视频录制包括演习工作的准备,攻击队攻击过程,防守队防守过程及裁判组评分过程等。
攻防演习不同阶段
组织策划阶段
- 建立演习组织 :为确保演习顺利进行,成立实战攻防演习小组及各参演小组。组织机构设置有演习指挥小组,演习工作小组,攻击组,防守组,支撑组,裁判组,保障组。其中支撑组负责过程实时监控,阻断处置操作,保障攻防演习过程安全有序展开;裁判组负责巡查各个小组状态,并进行评分,依据公平公正的原则给予排名;保障组负责演习过程中的协调联络和后勤保障。
- 确定演习目标 :依据演习预计效果确定演习目标,一般为关键信息基础设施,重要业务部门,门户网站等。
- 制定演习规则 :依据演习目标结合实际演习场景,细化攻击,防守和评分规则。可适当增加防守方反击得分。演习时间一般为 5×8 小时或 7×24 小时,可采用即时通信软件,邮箱,电话等。
- 确定演习流程 : 实战攻防演习流程
- 搭建演习平台 :演习平台可保证演习过程安全可靠,为攻击人员提供攻击IP,反弹回联虚拟机,虚拟网络分组。保证所有操作可追溯,可审计,尽可能降低演习风险。
- 应急保障措施 :演习过程中发生突发情况时,要采取临时处置安排措施,及时向指挥部报告 。指挥部除制定应急预案外还要在演戏过程中不断完善预案。
前期准备阶段
- 资源准备 :布置演习场地,搭建演习平台,配备专用电脑,部署视频监控,进行演习备案,组织方授权,参演人员签订保密协议,制定攻击规则和评分规则。
- 人员准备 :蓝队——确定攻击队数量,人数,对其技术和背景进行审核,签订保密协议,宣贯演习要求;红队——组件防守队,对人员技术和背景进行审查,确定防守负责人和组织架构,签订保密协议,宣贯演习要求。
实战演习阶段
演习启动
30 分钟。
演习过程
- 演习监控 实时监控攻防双方的状态及比分,并接入到组织方内部调度大屏。全程对被攻击系统状态,操作人员行为,攻击成果等实时监控,达到公平公正,可控的进行演习。
- 演习研判 演习过程中对攻防双方的成果进行研判评分。对攻方对目标系统造成的实际危害性,准确性,攻击时间长短,漏洞发现数量等进行评分;对防守方的发现攻击行为,响应速度,防御手段,防守时间等进行评分。
- 演习处置 演戏过程中如防守方遇突发情况无法处置时,由组织方对防守方的问题快速定位,分析,恢复保障演习稳定运行。
- 演习保障 每日对双方参赛人员进行签到和鉴别,避免出现替换人员的现象。
- 攻击行为监控 对攻击人员的操作行为进行全流量监控,对物理环境和人员进行视频监控,每日输出日报进行总结。
- 专家研判 聘请专家裁判对攻击成果,防守成果,违规行为等做出准确判断。
- 攻击回溯 通过演习平台核对攻方成果,发现违规行为立即处理。
- 信息通告 利用信息交互工具,如蓝信平台,建立指挥群统一发布和收集信息,做到信息同步。
- 人员,资源,后勤保障和突发事件应急处理。
应急演习阶段
检测——接到事故报警后在服务对象配合下对系统进行初步分析,确认是否发生信息安全事故,制定下一步响应策略,并保留证据。
保证封锁方法对相关业务的影响最小。
根除——对事件进行抑制之后,通过对有关行为或行为的分析结果,找出时间根源,明确补救措施并彻底清除。
误操作导致数据丢失。
总结——通过各阶段的表格记录。回顾安全事件处理的全过程,整理相关信息并记录在文档中。
演习总结阶段
- 演习恢复 :收集攻防双方的总结报告并汇总;清除攻方后;收回所有的攻方账号及权限;清除攻方数据;收回攻方网络访问权限;对平台的演戏数据进行清除。
- 演习总结 :确认攻方攻击成果的所属部门或单位,落实攻击成果;统计攻防数据,进行评分和排名;参演单位进行总结报告,组织方对演习进行总体评价,攻防双方经验分享,颁发证书及奖杯,整改存在问题;制作演戏视频,供防守方内部学习。
- 整改建议 :演习结束后,组织方进行数据分析,全面复盘分析,总结经验教训,对不足之处提出整改建议,不断优化防护工作模式,安全防护措施,优化安全策略,强化人员技术能力,提升网络安全防护水平。
沙盘推演。
演习风险规避措施
限定攻击目标,不限定攻击路径,攻方发现漏洞应及时向组织部报备,不允许进行破坏性攻击;
不允许使用SYN FLOOD,CC等拒绝服务攻击手段;
请示组织部后张贴指挥部下发图片;
禁止物理攻击,截断监听外部光缆等进行攻击,禁止采用无线电干扰;
统一提供的软件,所使用木马不应自动删除目标系统文件,损坏引导扇区,主动扩散,感染文件,造成服务器宕机等破坏性功能。禁止使用具有破坏性和感染性的病毒,蠕虫;
及时阻断非法攻击并进行通报。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
