网络安全演练攻与防工作开展

                                                                             红队攻击视角

背景：2016年，公安部会同民航局、国家电网组织开展了 “护网2016”网络安全攻防演习活动。自此HW行动成为了网络安全建设重要的一环，是落实“建设网络强国、打赢网络战争”的具体举措。HW行动是在真实环境下开展攻防两方的网络安全演习，旨在发现、暴露和解决安全问题，提高国家、社会和企业等层面的网络安全意识、网络安全防护能力、应急处理能力；

红队攻击目标：门户网站、邮件系统、直播新闻类系统、工业系统；

红队攻防简介：（1）保障业务保障业务系统安全、稳定运行的前提；

                         （2）明确目标系统，不限制攻击路径；

                         （3）以控制业务、获取数据为最终目的；

红队攻击方式：互联网突破、旁站攻击、0day、物理设备攻击、 供应链、邮箱系统、钓鱼、业务外连；

红队攻击过程：初步侦查收集情报-网络钓鱼撕口子-本地提权-内网横向渗透-突破重要系统权限集权-域名提权获取哈希-寻找机密资料获取；

红队武器装备：资产信息收集工具、主机获取工具、内网渗透工具、拓扑漏洞发现工具、正反向代理、免杀木马、痕迹清理；

红队攻击核心：（1）情报：组织架构、IT资产、历史漏洞、文档信息、邮箱信息、供应商；

                     （2）漏洞：cms、中间件、开发框架和组件；

                     （3）工具：密码获取、代理工具、远控工具；

                     （4）经验丰富的人；渗透的最核心，才能将情报、漏洞、工具灵活运用；

红队攻击技巧：（1）穷人打法：思路要灵活、路子要野、敢冒险、善于运用比赛规则；

                     （2）常规打法：0+NDay漏洞、情报搜集到位、路子要野一点；

                     （3）有钱人打法：抄起0day就是干；

                                                                            蓝队防守视角

前期准备：

               （1）互联网暴露面缩减：减少互联网出口，端口映射开放到最小，做相关ACL限制，只允许运维管理人员登录；

               （2）敏感信息收集自查：学术网站类，知网Cnki、Google学术、百度学术、代码托管平台类，Github、Bitbucket、Gitlib、Gitee等社交平台类，微信群、QQ群、论坛、贴吧等；

               （3）主机侧防御：安装漏洞补丁，严重漏洞如：MS17-010、MS08-067、MS06-040这类可直接远程控制系统的漏洞需要及时安装相关补丁防止攻击者利用，其他高危补丁可定期安装。

               （4）弱口令自查整改：常见密码：如123456、1qaz2wsx、12345qwert等密码字典里肯定会有的常见弱密码。默认密码：系统或软件默认口令，如MS数据库默认口令sa 、ldap默认空密码等。

               （5）中间件防御：常见的中间件有Weblogic、jboss、tomcat、nginx、等。防范该类漏洞的方式有，定期打安全补丁、升级中间件到安全的版本、禁用不用的有安全问题的组件、不对外开放后台管理端口或敏感目录；

               （6）重要集权系统：（堡垒机、AD域控、vpn、终端管理系统）重要集权系统访问白名单，只有受认可的IP才可以访问管理页面或系统。针对集权系统进行渗透测试，漏洞扫描，高危漏洞整改。集权系统维护权限清理。清理不用的，过期的权限账号。重要集权系统主机安全装入侵防护软件，杀毒软件，开启审计日志；

               （7）厂商本地远程维护问题：如果有供应商本地维护的过程，维护人员的安全意识不足、供应商人员设备未经安全检测接入网络、私自开放管理后台、管理员账号为弱口令、私自开通维护账号等行为都会我单位带来安全风险。存在远程后台或通过VPN拨入维护的情况，则安全风险更会大大增加。供应商维护安全建议如下；

             1、制定供应商安全维护管理规范；

             2、禁止供应商远程维护系统；

             3、本地维护未经许可自带设备不得接入内网；

             4、维护时必须有甲方人员陪同；

             5、维护时必须通过堡垒机登陆，可审计和监控是否出现其他违规维护行为；

             6、维护厂商不得记录甲方除堡垒机维护密码以外的其他密码；

              （8）邮件钓鱼：攻击者通过目标单位泄露的邮件地址，利用时事热点、冒充领导、漏洞通告冒充维护通知、邮箱升级等钓鱼手段，在链接和附件中隐藏恶意链接或样本，欺骗安全意识查的内部人员点击、下载或运行，达到攻击者控制其IT设备的目的。

建议的防御措施：

            1、提高人员（特别是管理员）的安全意识；

            2、收到邮件后仔细鉴别邮件的标题，发件人、信件内容等；

            3、谨慎点击邮件附件中的连接、附件等；

            4、不要轻易打开陌生发件人邮件里的链接；

             （9）反向社工：紧跟时事热点，主动发布扩散故障公告和钓鱼联系方式，等待用户主动联系进行钓鱼，已发现冒充某VPN厂商发布漏洞公告和联系方式的钓鱼事件，建议的防御措施:

           1、通过正规的方式联系消息发布的人；

           2、如对方询问敏感信息不要泄露；

             （10）后门利用：攻击者也会通过扫描的方式检测目标单位网站是否已经存在web或系统后门，例如：冰蝎后门、一句话后门、webshell、按五下shift弹出CMD等，防御方法如下：

           1、对所有互联网开放WEB系统进行失陷检测，查找是否后后门链接情况。

           2、对网站进行扫描，检测是否存在后门木马文件，或者根据后门内容特征全盘搜索存在该特征内容的文件，定期查看安全检测设备报警，是否有后门链接报警；

             （11）主动漏洞扫描：对主机系统、应用系统进行漏洞扫描，并验证漏洞有效性，形成报告，跟进整改情况

           1、利用已有部署的漏洞扫描设备，针对所有资产，分批进行漏洞扫描；

           2、扫描前，应对漏扫设备特征库进行升级并核对，确保特征库的时效性与全面性；

中期值守：

            （1）事件监测预警

          1、通过网络、安全、应用等设备开展安全监测工作，及时发现异常情况并同步各安全层面分析人员，从不同角度进行分析、核实是否存在安全风险；

          2、所有关键防护安全设备均有人员监测值守（态势感知、防火墙、堡垒机等）；

          3、各监测人员及时同步监测信息，及时协同处置；

           （2）事件初步分析处置

          1、各监测人员发现异常行为，及时同步和判断；

          2、分析研判人员针对异常行为进行研判；

          3、确认攻击行为，由WAF、防火墙等产品及时进行阻断；

          （3）事件进一步溯源分析、研判

          1、针对发现的安全事件，协同各项目组进行溯源分析（安全专家协助）；

          2、最终形成完整的分析报告；

          （4）事件应急处置

          1、针对演习防守中的事件进行快速的应急处置；

          2、应急工作组根据同步的事件，结合应急响响应流程，开展应急处置工作；

          （5）工作成果上报

          1、按演习指挥部上报模板，编制防守工作成果；

          2、由专人负责工作成果上报；

          （6）工作日报周报

          1、各项目组根据日报模板，每日提交日报；

          2、各项目组根据需要，由专人填写提交周报；

后期总结：

          （1）演习工作总结

          1、各项目组从演习准备到演习结束，所有工作产生才材料进行汇总；

          2、根据汇总材料，梳理各阶段工作情况；

          3、根据演习结果，总结工作中的不足；

          （2）近期工作整改

          1、安全管理组根据演习通报结果，总结发现的问题，形成安全漏洞/问题整改跟踪表，并下发对应的项目组；

          2、各项目组根据安全漏洞/问题整改跟踪表中的内容，安排整改，并反馈整改计划和整改结果；

         （3）后续工作计划

          1、针对本次攻防演习的总结，拟定后续工作计划，完善防护措施；

          2、通过本次演习防守，发现整体工作在哪些环节上还需提升，形成后续的工作计划，逐步完善；

如有疑问，获取相关材料附件可留言！

感谢楼主无私奉献，学习一下