本帖最后由 李会斌 于 2023-6-9 16:10 编辑
“ 前言
大家好,一年一度的HVV马上就要开始了,各位小伙伴们是否知道具体的思路呢?本次,小编来到了某个重点医院进行HVV指导操作,接下就由小编带您了解一下如何进行HVV?又为什么要进行hvv?
HVV的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。HVV是国家应对网络安全问题所做的重要布局之一。
HVV随着中国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“HVV”中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。随着大数据、物联网、云计算的快速发展,愈演愈烈的网络攻击已经成为国家安全的新挑战。HVV行动是由公安机关组织的“网络安全攻防演习”,每支队伍3-5人组成,明确目标系统,不限攻击路径,获取到目标系统的权限、数据即可得分,禁止对目标实施破坏性操作,对目标系统关键区域操作需得到指挥部批准。
HVV一般分为红蓝两队,做红蓝对抗。 红队为攻击队 构成主要有“国家队”(国家的网安等等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。 攻击方式有web攻击、主机攻击、已知漏洞、敏感文件、口令爆破。 蓝队为防守队 一般是随机抽取一些单位参与。 防守方式特征:1.策略收紧常态化:联系现有设备的厂商将现有的安全设备策略进行调整,将访问控制策略收紧,数据库、系统组件等进行加固。2.各种口令复杂化:不论是操作系统、业务入口,还是数据库、中间件,甚至于主机,凡是需要口令认证的都将口令复杂化设置。 要求:主机系统打补丁,即对业务系统做基线核查,将不符合标准的项进行整改,并对业务系统做漏洞检查,并对找出的脆弱性进行整改。
通俗来讲“HVV-2023”网络安全攻防演练行动就是“为了防止羊被偷,我们得在羊被偷之前就开始识别风险、加固羊圈建设”。本小编在此呼吁各位小伙伴要提高网络安全意识,谨防麻痹思想!做到守护信息安全,人人有责!
深信服是国内领先的网络安全解决方案提供商,其产品和服务涵盖了网络安全、云安全、终端安全、数据安全等多个领域。在网络安全领域,深信服提供了一整套网络安全解决方案,包括网络安全防护、入侵检测、流量分析等方面的产品和服务。在防守方需要做的事情方面,深信服也有着独特的优势和技术。
一、加强网络安全意识教育 在防守网络攻击的过程中,加强网络安全意识教育是非常重要的。深信服在这方面做得非常出色,不仅在其产品和服务中嵌入了网络安全意识教育,还积极开展网络安全知识普及活动,提高公众对网络安全的认知和防范意识。 例如,深信服在其网络安全防护产品中,采用了智能学习、行为分析等先进技术,可以自动学习和识别网络攻击的行为和模式,帮助客户及时发现和防范网络攻击。同时,深信服还定期开展网络安全知识普及活动,向广大用户介绍网络安全的基本知识和防范方法,提高公众的网络安全意识和防范能力。
二、建立完善的网络安全体系 建立完善的网络安全体系是防守方需要做的重要工作之一。深信服在这方面也有着独特的技术和优势。深信服的网络安全解决方案涵盖了网络安全防护、入侵检测、流量分析等多个方面,可以全面覆盖企业的网络安全需求。同时,深信服还提供了一系列网络安全管理工具和技术,如安全管理平台、安全信息与事件管理系统等,帮助企业建立完善的网络安全管理体系,实现网络安全的全面管理和控制。
三、实施安全防护措施 实施安全防护措施是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和产品。深信服的网络安全防护产品采用了多重技术手段,如防火墙、入侵检测、反病毒等,可以全面防范网络攻击的威胁。例如,深信服的防火墙产品采用了多层次的安全防护技术,包括应用层、协议层和网络层的安全防护,可以有效防范各类网络攻击和威胁。同时,深信服的入侵检测产品可以自动学习和识别网络攻击的行为和模式,实现实时监测和防范网络攻击。
四、加强安全监控和响应 加强安全监控和响应是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和服务。深信服的网络安全解决方案可以实现实时监控和分析网络流量,及时发现和处理网络攻击事件。同时,深信服还提供了一系列安全事件响应服务,如安全事件处置、安全事件分析等,帮助客户及时响应和处理网络攻击事件,降低损失和风险。
五、建立应急预案 建立应急预案是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和服务。深信服的网络安全解决方案可以提供全面的安全事件响应服务,包括安全事件处置、安全事件分析等,帮助客户在网络攻击事件发生时迅速响应和处理,尽快恢复网络正常运行。同时,深信服还提供了一系列应急预案编制和实施服务,帮助客户建立应急预案,提高应对网络攻击的能力和效率。
总之,深信服在防守方需要做的事情方面有着独特的技术和优势,可以为客户提供全面的网络安全解决方案和服务,帮助客户有效地防范和应对网络攻击的威胁。
了解hvv行动前期准备工作
开展网络安全培训:向员工提供网络安全意识培训,教育他们识别和防范网络威胁,以及正确的安全行为和操作方法。 加强安全策略宣传:定期宣传和推广公司的安全策略和规定,确保员工了解并遵守相关的安全规范和操作流程。
多因素身份验证:采用多因素身份验证措施,如密码加令牌、指纹识别等,提高用户身份认证的安全性。 访问控制策略:建立严格的访问控制策略,限制员工和外部用户的访问权限,并定期审查和更新权限列表。
安全事件日志:建立完整的安全事件日志记录机制,记录关键系统和网络的活动信息,以便在发生安全事件时进行溯源和分析。 安全事件监控:部署安全事件监控系统,实时监测网络流量、系统行为和异常活动,及时发现和应对潜在的攻击和入侵行为。
漏洞扫描和评估:定期进行漏洞扫描和评估,发现系统和应用程序中存在的漏洞,并及时修补或采取其他防御措施。 漏洞补丁管理:建立漏洞补丁管理流程,及时应用供应商发布的安全补丁,以修复已知的漏洞。
定期备份数据:建立定期的数据备份机制,确保关键数据的备份完整性和可靠性。 数据恢复测试:定期测试数据备份和恢复的过程,确保在发生数据丢失或灾难事件时能够及时恢复数据。
建立应急响应计划:制定完善的应急响应计划,明确安全事件的处理流程和责任分工,以及恢复网络正常运行所需的步骤和资源。 建立紧急联系渠道:建立与相关安全机构和供应商的紧急联系渠道,以便在发生紧急事件时能够及时获得支持和帮助。
(1)了解客户的网络拓扑环境? 小编了解到客户出口为(H3c防护墙),中间有华为的IPS入侵检测,核心有深信服态势感知,服务器区前端有个深信服WAF防火墙。并引导客户从最外层设备到内依次关注。
(2)了解客户的业务系统? 通过深信服态势感知,了解到客户的业务信息,配合用户进行资产梳理,可以更快更准确的找到终端。
(3)了解各安全厂商设备是否有进行安全加固操作,以及规则库是否更新? 1、使用深信服巡检工具acheck进行安全加固设备,其他厂商设备建议客户联系具体厂商进行操作。 2、查看设备规则库是否更新,设备是否为最新版本,sip升级到3.0.73版本,如果为内网环境手动在社区下载规则库更新。
(4)查看设备的配置是否合理化? 1、登录AF优化应用控制,尽量控制到具体端口。 2、查看出口H3c防火墙,查看是否有放通服务器端口。
(5)登录态势感知,查看处置中心-风险资产视角,把‘已失陷’的业务系统进行杀毒,加固打补丁。 备注:如果内网有DNS的情况,可以根据指导手册进行优化DNS日志源,小编的DNS通过加白后减少误报。
(6)通过资产中心,查看到业务系统的漏洞、弱密码、Web明文传输等信息。 1、查看脆弱性感知查看系统漏洞进行安全加固。 2、通过查看弱密码,可以登录到客户的业务系统里面,建议客户找开发软件进行整改,并建议设置密码周期复杂度以及校验码。
(7)查看重保中心-威胁类型进行查看是否有入侵痕迹,并通过分析中心-日志检索进行查看,并跟客户确定是否为正常业务需求,如不是到防火墙上进行加入黑名单处置。
(8)防火墙上查看业务安全是否有遭受到攻击,并把攻击地址加入黑名单。
(9)查看防火墙上面的安全日志,查看动作为“允许”的动作进行修改。
(10)了解到客户外网ip地址并通过fofa shodan hunter进行分析。
(11)深信服HW期间需要关注设备攻击日志,经过客户判断后进行封堵。
(12)其他建议 1、建议客户为了防止社攻,减少网口的暴露面,优化接入交换机策略。 2、如客户杀毒没有企业杀毒软件,推荐测试深信服EDR,并指导客户安装杀毒; 3、提供HW期间业务保障服务,配合用户进行溯源等操作。 4、培训客户安全防范意识,引导客户如何进行防护减少丢分操作。
hvv行动总结
目标达成情况:回顾hvv行动的目标和期望结果,评估是否成功达成。考虑网络安全风险的降低程度、安全事件的减少、攻击的阻止以及系统和数据的保护情况。 hvv措施效果评估:对采取的各项hvv措施进行评估,确定其对网络安全的影响。分析使用的安全工具、技术和流程的有效性,并检查它们是否适应了当前的威胁环境。 事件响应与处理:回顾过去的安全事件,分析其发生原因和应对措施的有效性。了解是否有任何漏洞或疏漏导致了安全事件的发生,并提出改进建议。 漏洞管理与修复:评估漏洞管理和修复的过程,确保已对发现的漏洞采取适当的补救措施。检查漏洞修复的及时性和有效性,并确保持续的漏洞管理流程。 人员培训与意识提升:评估员工的网络安全培训和意识提升计划。了解员工对网络安全的理解程度和对安全最佳实践的遵守情况,鼓励持续的培训和教育活动。 产品和技术更新:考虑是否需要更新或升级网络安全产品和技术,以适应不断变化的威胁环境。评估当前使用的安全解决方案的性能和功能,了解是否需要引入新的技术和工具来提高网络的安全性。 经验教训和改进措施:总结整个hvv行动的经验教训,识别成功的做法和面临的挑战。制定改进措施和行动计划,以加强网络安全防御和响应能力。 持续监测与维护:护网行动结束并不意味着安全工作的完成。确保建立持续的安全监测和维护机制,对网络进行定期的安全评估和漏洞扫描,及时更新安全策略和措施。
最后小编在此预祝各位小伙伴们,2023hvv行动圆满结束!!! | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-6-9 15:23
技术专家2级 
