【木子李】一分钟带你了解什么是HVV行动?
  

李会斌 16684

{{ttag.title}}
本帖最后由 李会斌 于 2023-6-9 16:10 编辑

前言

         大家好,一年一度的HVV马上就要开始了,各位小伙伴们是否知道具体的思路呢?本次,小编来到了某个重点医院进行HVV指导操作,接下就由小编带您了解一下如何进行HVV?又为什么要进行hvv?

了解什么是HVV行动?

       HVV的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。HVV是国家应对网络安全问题所做的重要布局之一。

      HVV随着中国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“HVV”中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。随着大数据、物联网、云计算的快速发展,愈演愈烈的网络攻击已经成为国家安全的新挑战。HVV行动是由公安机关组织的“网络安全攻防演习”,每支队伍3-5人组成,明确目标系统,不限攻击路径,获取到目标系统的权限、数据即可得分,禁止对目标实施破坏性操作,对目标系统关键区域操作需得到指挥部批准。


HVV一般分为红蓝两队,做红蓝对抗。

红队为攻击队

构成主要有“国家队”(国家的网安等等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。

攻击方式有web攻击、主机攻击、已知漏洞、敏感文件、口令爆破。

蓝队为防守队

一般是随机抽取一些单位参与。

防守方式特征:1.策略收紧常态化:联系现有设备的厂商将现有的安全设备策略进行调整,将访问控制策略收紧,数据库、系统组件等进行加固。2.各种口令复杂化:不论是操作系统、业务入口,还是数据库、中间件,甚至于主机,凡是需要口令认证的都将口令复杂化设置。

要求:主机系统打补丁,即对业务系统做基线核查,将不符合标准的项进行整改,并对业务系统做漏洞检查,并对找出的脆弱性进行整改。


     通俗来讲“HVV-2023”网络安全攻防演练行动就是“为了防止羊被偷,我们得在羊被偷之前就开始识别风险、加固羊圈建设”。本小编在此呼吁各位小伙伴要提高网络安全意识,谨防麻痹思想!做到守护信息安全,人人有责!

了解一下安全厂商深信服?

       深信服是国内领先的网络安全解决方案提供商,其产品和服务涵盖了网络安全、云安全、终端安全、数据安全等多个领域。在网络安全领域,深信服提供了一整套网络安全解决方案,包括网络安全防护、入侵检测、流量分析等方面的产品和服务。在防守方需要做的事情方面,深信服也有着独特的优势和技术。

一、加强网络安全意识教育
       在防守网络攻击的过程中,加强网络安全意识教育是非常重要的。深信服在这方面做得非常出色,不仅在其产品和服务中嵌入了网络安全意识教育,还积极开展网络安全知识普及活动,提高公众对网络安全的认知和防范意识。
例如,深信服在其网络安全防护产品中,采用了智能学习、行为分析等先进技术,可以自动学习和识别网络攻击的行为和模式,帮助客户及时发现和防范网络攻击。同时,深信服还定期开展网络安全知识普及活动,向广大用户介绍网络安全的基本知识和防范方法,提高公众的网络安全意识和防范能力。

二、建立完善的网络安全体系
        建立完善的网络安全体系是防守方需要做的重要工作之一。深信服在这方面也有着独特的技术和优势。深信服的网络安全解决方案涵盖了网络安全防护、入侵检测、流量分析等多个方面,可以全面覆盖企业的网络安全需求。同时,深信服还提供了一系列网络安全管理工具和技术,如安全管理平台、安全信息与事件管理系统等,帮助企业建立完善的网络安全管理体系,实现网络安全的全面管理和控制。

三、实施安全防护措施
       实施安全防护措施是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和产品。深信服的网络安全防护产品采用了多重技术手段,如防火墙、入侵检测、反病毒等,可以全面防范网络攻击的威胁。例如,深信服的防火墙产品采用了多层次的安全防护技术,包括应用层、协议层和网络层的安全防护,可以有效防范各类网络攻击和威胁。同时,深信服的入侵检测产品可以自动学习和识别网络攻击的行为和模式,实现实时监测和防范网络攻击。

四、加强安全监控和响应
       加强安全监控和响应是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和服务。深信服的网络安全解决方案可以实现实时监控和分析网络流量,及时发现和处理网络攻击事件。同时,深信服还提供了一系列安全事件响应服务,如安全事件处置、安全事件分析等,帮助客户及时响应和处理网络攻击事件,降低损失和风险。

五、建立应急预案
      建立应急预案是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和服务。深信服的网络安全解决方案可以提供全面的安全事件响应服务,包括安全事件处置、安全事件分析等,帮助客户在网络攻击事件发生时迅速响应和处理,尽快恢复网络正常运行。同时,深信服还提供了一系列应急预案编制和实施服务,帮助客户建立应急预案,提高应对网络攻击的能力和效率。

       总之,深信服在防守方需要做的事情方面有着独特的技术和优势,可以为客户提供全面的网络安全解决方案和服务,帮助客户有效地防范和应对网络攻击的威胁。

      
了解hvv行动前期准备工作
  • 建立安全意识教育:




      开展网络安全培训:向员工提供网络安全意识培训,教育他们识别和防范网络威胁,以及正确的安全行为和操作方法。
      加强安全策略宣传:定期宣传和推广公司的安全策略和规定,确保员工了解并遵守相关的安全规范和操作流程。

  • 强化身份认证和访问控制:




      多因素身份验证:采用多因素身份验证措施,如密码加令牌、指纹识别等,提高用户身份认证的安全性。
      访问控制策略:建立严格的访问控制策略,限制员工和外部用户的访问权限,并定期审查和更新权限列表。

  • 实施安全审计和监控:




      安全事件日志:建立完整的安全事件日志记录机制,记录关键系统和网络的活动信息,以便在发生安全事件时进行溯源和分析。
      安全事件监控:部署安全事件监控系统,实时监测网络流量、系统行为和异常活动,及时发现和应对潜在的攻击和入侵行为。

  • 建立安全漏洞管理流程:




      漏洞扫描和评估:定期进行漏洞扫描和评估,发现系统和应用程序中存在的漏洞,并及时修补或采取其他防御措施。
      漏洞补丁管理:建立漏洞补丁管理流程,及时应用供应商发布的安全补丁,以修复已知的漏洞。

  • 数据备份和恢复:




      定期备份数据:建立定期的数据备份机制,确保关键数据的备份完整性和可靠性。
      数据恢复测试:定期测试数据备份和恢复的过程,确保在发生数据丢失或灾难事件时能够及时恢复数据。

  • 响应和应急处理:




      建立应急响应计划:制定完善的应急响应计划,明确安全事件的处理流程和责任分工,以及恢复网络正常运行所需的步骤和资源。
      建立紧急联系渠道:建立与相关安全机构和供应商的紧急联系渠道,以便在发生紧急事件时能够及时获得支持和帮助。


hvv行动实际案例分享


(1)了解客户的网络拓扑环境?
       小编了解到客户出口为(H3c防护墙),中间有华为的IPS入侵检测,核心有深信服态势感知,服务器区前端有个深信服WAF防火墙。并引导客户从最外层设备到内依次关注。

(2)了解客户的业务系统?
       通过深信服态势感知,了解到客户的业务信息,配合用户进行资产梳理,可以更快更准确的找到终端。


(3)了解各安全厂商设备是否有进行安全加固操作,以及规则库是否更新?
1、使用深信服巡检工具acheck进行安全加固设备,其他厂商设备建议客户联系具体厂商进行操作。
2、查看设备规则库是否更新,设备是否为最新版本,sip升级到3.0.73版本,如果为内网环境手动在社区下载规则库更新。


(4)查看设备的配置是否合理化?
1、登录AF优化应用控制,尽量控制到具体端口。
2、查看出口H3c防火墙,查看是否有放通服务器端口。

(5)登录态势感知,查看处置中心-风险资产视角,把‘已失陷’的业务系统进行杀毒,加固打补丁。
备注:如果内网有DNS的情况,可以根据指导手册进行优化DNS日志源,小编的DNS通过加白后减少误报。


(6)通过资产中心,查看到业务系统的漏洞、弱密码、Web明文传输等信息。
1、查看脆弱性感知查看系统漏洞进行安全加固。
2、通过查看弱密码,可以登录到客户的业务系统里面,建议客户找开发软件进行整改,并建议设置密码周期复杂度以及校验码。


(7)查看重保中心-威胁类型进行查看是否有入侵痕迹,并通过分析中心-日志检索进行查看,并跟客户确定是否为正常业务需求,如不是到防火墙上进行加入黑名单处置。

(8)防火墙上查看业务安全是否有遭受到攻击,并把攻击地址加入黑名单。

(9)查看防火墙上面的安全日志,查看动作为“允许”的动作进行修改。


(10)了解到客户外网ip地址并通过fofa shodan hunter进行分析。


(11)深信服HW期间需要关注设备攻击日志,经过客户判断后进行封堵。


(12)其他建议
1、建议客户为了防止社攻,减少网口的暴露面,优化接入交换机策略。
2、如客户杀毒没有企业杀毒软件,推荐测试深信服EDR,并指导客户安装杀毒;
3、提供HW期间业务保障服务,配合用户进行溯源等操作。
4、培训客户安全防范意识,引导客户如何进行防护减少丢分操作。


hvv行动总结

  • 目标达成情况:回顾hvv行动的目标和期望结果,评估是否成功达成。考虑网络安全风险的降低程度、安全事件的减少、攻击的阻止以及系统和数据的保护情况。
  • hvv措施效果评估:对采取的各项hvv措施进行评估,确定其对网络安全的影响。分析使用的安全工具、技术和流程的有效性,并检查它们是否适应了当前的威胁环境。
  • 事件响应与处理:回顾过去的安全事件,分析其发生原因和应对措施的有效性。了解是否有任何漏洞或疏漏导致了安全事件的发生,并提出改进建议。
  • 漏洞管理与修复:评估漏洞管理和修复的过程,确保已对发现的漏洞采取适当的补救措施。检查漏洞修复的及时性和有效性,并确保持续的漏洞管理流程。
  • 人员培训与意识提升:评估员工的网络安全培训和意识提升计划。了解员工对网络安全的理解程度和对安全最佳实践的遵守情况,鼓励持续的培训和教育活动。
  • 产品和技术更新:考虑是否需要更新或升级网络安全产品和技术,以适应不断变化的威胁环境。评估当前使用的安全解决方案的性能和功能,了解是否需要引入新的技术和工具来提高网络的安全性。
  • 经验教训和改进措施:总结整个hvv行动的经验教训,识别成功的做法和面临的挑战。制定改进措施和行动计划,以加强网络安全防御和响应能力。
  • 持续监测与维护:护网行动结束并不意味着安全工作的完成。确保建立持续的安全监测和维护机制,对网络进行定期的安全评估和漏洞扫描,及时更新安全策略和措施。










     最后小编在此预祝各位小伙伴们,2023hvv行动圆满结束!!!

攻防演练_SIP值守使用手册.pdf

11.56 MB, 下载次数: 24

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

头像被屏蔽
新手741261 发表于 2023-6-9 15:23
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2023-6-9 15:25
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手780102 发表于 2023-6-10 21:11
  
提示: 作者被禁止或删除 内容自动屏蔽
嘀嘀柠柠 发表于 2023-6-12 11:05
  
感谢分享,构建全联接的未来
佘勋楼 发表于 2023-8-14 09:23
  
满满的知识点 学到了
dhf 发表于 2023-8-23 09:21
  
每日打卡学习,感谢分享,学习了!!!
飞翔的苹果 发表于 2023-9-7 08:12
  
感谢楼主分享,努力学习中!!!!
新手626351 发表于 2024-1-29 15:00
  
文章图文并茂,清晰易懂
发表新帖
热门标签
全部标签>
每日一问
西北区每日一问
安全效果
技术盲盒
干货满满
【 社区to talk】
技术笔记
技术咨询
高手请过招
新版本体验
标准化排查
功能体验
2023技术争霸赛专题
信服课堂视频
GIF动图学习
产品连连看
社区新周刊
纪元平台
秒懂零信任
技术晨报
自助服务平台操作指引
每周精选
技术圆桌
每日一记
终端接入
玩转零信任
场景专题
全能先锋系列
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
云化安全能力

本版版主

7
21
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人