HVV—网络攻防演练之蓝队 – 作者:Andy0828

本文通过两部分介绍演练,第一部分是从如何组织到整体流程、重要注意事项、安排实施,从综合的角度理解攻防演练对于销售,售前工程师,安全工程师的意义,细化交付物和交付流程,帮助大家从零认识网络攻防演练。第二部分是技术部分,主要是防守方的技术重点,溯源,应急响应及流量分析等相关技术及技术要点。

四大块

1、网络攻防演练介绍

2、安全设备日志告警分析及处理

3、网络攻防演练应急响应

4、流量分析与溯源反制

一、网络攻防演练介绍

网络攻防演练是新形势下网络安全保障工作的重要组成部分,演练通常是以实际运行的信息系统为保障目标,通过有监督的攻防对抗尽可能的模拟真实的网络攻击,以此来校验信息系统实际安全性和运维保障实际有效性,网络攻防演练实际是军事用于网络空间站的扩展。

从国际上来看,美国从2010年成立网络司令部并在2006年开始每2年组织一次代号为“网络风暴”的网络军事演习,北约也有锁定轮排的网络安全演习,从2002年开始实行,我国从2014年开始,建立中央网络安全和信息化领导小组,2016年发布国家网络空间发展战略,同年在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练。

二、网络攻防演练组织形式

国家、行业主管部门、监管机构组织、大型企事业单位自行组织。一般由各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管部门或监督机构组织开展,针对行业关键性基础和重要系统组织单位,组织攻击队及各行业内各企业单位行程防守队进行实战攻防演练。

2016年是8家参演单位、两家防守单位,主要是民航系统,国家电网;2020年已经扩展到了上百家参演单位,大概100多个攻击队,横跨30多个重点行业,同时各市地、行业行政单位也都在积极筹备组织各自范围内的攻防演练工作。随着规模扩大技术成熟,演练的规模范围正在逐步下沉,这时候就注意到分子公司、也需要自己负责,它的责任也是下沉。重点行业覆盖到了市地级,根据这个情况,会让今年二级以下的体系系统受攻击的可能性变大,这需要我们帮助客户做好资产成立收敛攻击面的工作,20年攻防演练推出了实网攻击外还推出了沙滩推演。第一次开设沙滩推演科目,攻击方和防守方进行沙盘辩论,同时也新开展了抗D演练,对于部分撞目标进行了抗D测试。

1、初级阶段

2016-2017年互联网及网络边界测发起攻击十分有效,横向移动,跨越攻击容易实现。——互联网内网边界

2、中级阶段

2018年随着防守方对演练的熟悉,进攻方难度有所增加但是还是收获颇丰。——精准攻击、供应链攻击

3、高级阶段

2019-2020年攻防演练常态化进行,防守方安全设备及安全意识提高,进攻方利用常规手段已经很难得分——0day、nday、社工、近源

三、攻防演练主体

由紫队、红队、蓝队三部分组成。

  • 攻击队:红队,通过模拟攻击实现系统提权,控制业务获取数据等,以及发现系统的薄弱环节通过这些攻击性的实验来综合提升系统安全性。

  • 防守队:蓝队。我们本次重点讲解。一般是参演单位的网络防护体系为基础,在演练期间组成的防守队伍,

  • 紫队是组织方,以组织方为角色,开展组织工作过程监控指导应急保障等,以及最后演练总结和最后优化建议。

攻防演练组织架构:

v2-86777416ef9ef615caa76fa607d32190_b.png

四、攻防演练主体

分析研判与溯源反制

——常见攻击场景及特征

命令注入

v2-fcaf5ecf9526876d38f422803aedc3b4_b.png

任意文件上传

v2-8bf81820995f868b423db8d0c51d30ae_b.png

v2-3ec4375878a622de14dbfba3ca92a42c_b.png

漏洞成因:

导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者;过滤不严,可以直接提交修改过的数据绕过扩展名的检验。

网络攻防演练交付方案:

1、准备阶段:

明确项目需求、项目团队组建、项目统一监管

项目启动会:

明确目标、要求、职责范围,安全培训、主题宣导,达成共识、建立沟通机制,获取资源与领导支持。

2、交付阶段:

项目计划指定、项目交付管理、项目交付实施、项目资源共享

3、收尾阶段:

项目总结汇报、项目验收、知识沉淀

防守方的工作目标和本质

v2-2722ad9ac56af49e860d3237629e1e4b_b.png

对于交付工程师来说,可以做到一定的技术沉淀,但对于防守方的本质来说是挖掘客户的需求。

以上内容选取自安全牛课堂独家课程《网络攻防演练之蓝队》,为演练蓝方的入门课程,适合对演练感兴趣的技术人员、小白、在校大学生等,课程正在参与限时秒杀,平时价399,4月21日前仅需11.9元。

活动地址:https://www.aqniukt.com/goods/show/2190?targetId=15604&preview=0  。

更多信息安全证书详情点击链接:https://www.jsform.com/web/formview/5ba48e8dfc918f58862abd74

来源:freebuf.com 2021-04-19 14:46:56 by: Andy0828

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论