护网
概要
護(hù)網(wǎng)是以國家組織組織事業(yè)單位、國企單位、名企單位等開展攻防兩方的網(wǎng)絡(luò)安全演習(xí)。進(jìn)攻方一個(gè)月內(nèi)采取不限方式對防守方展開進(jìn)攻,不管任何手段只要攻破防守方的網(wǎng)絡(luò)并且留下標(biāo)記即成功,直接沖到防守方的辦公大樓,然后物理攻破也算成功。護(hù)網(wǎng)是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一。
護(hù)網(wǎng)隨著中國對網(wǎng)絡(luò)安全的重視,涉及單位不斷擴(kuò)大,越來越多都加入到“護(hù)網(wǎng)”中,網(wǎng)絡(luò)安全對抗演練越來越貼近實(shí)際情況,各機(jī)構(gòu)對待網(wǎng)絡(luò)安全需求也從被動(dòng)構(gòu)建,升級(jí)為業(yè)務(wù)保障剛需。隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算的快速發(fā)展,愈演愈烈的網(wǎng)絡(luò)攻擊已經(jīng)成為國家安全的新挑戰(zhàn)。護(hù)網(wǎng)行動(dòng)是由公安機(jī)關(guān)組織的“網(wǎng)絡(luò)安全攻防演習(xí)”,每支隊(duì)伍3-5人組成,明確目標(biāo)系統(tǒng),不限攻擊路徑,獲取到目標(biāo)系統(tǒng)的權(quán)限、數(shù)據(jù)即可得分,禁止對目標(biāo)實(shí)施破壞性操作,對目標(biāo)系統(tǒng)關(guān)鍵區(qū)域操作需得到指揮部批準(zhǔn)。
發(fā)展
2016年試點(diǎn)階段
試點(diǎn)階段
認(rèn)可度低,不了解擔(dān)心出問題。戰(zhàn)場范圍不僅局限于互聯(lián)網(wǎng)邊界,也涉獵于智能終端類的網(wǎng)絡(luò)邊界設(shè)備,打破傳統(tǒng)安服模式
2017年拓展階段
拓展階段
監(jiān)管利器,被監(jiān)管單位認(rèn)知不足。重保必要條件,攻擊行為“組織化”狀態(tài)明顯,集權(quán)類設(shè)備是攻擊隊(duì)寶藏防守不夠嚴(yán)密,監(jiān)測能力不足是較大短板
2018年頭部客戶認(rèn)可階段
頭部客戶快速接受與認(rèn)可,部分行業(yè)開始組織實(shí)戰(zhàn)攻防演習(xí)。防守方認(rèn)知逐漸清晰,部分參與過的單位能力大幅提升攻擊隊(duì)難度加大開始嘗試“更隱蔽”的攻擊方式
2019年普及階段
信息化依托性大的機(jī)構(gòu),普遍嘗試實(shí)戰(zhàn)攻防演習(xí)。行業(yè)現(xiàn)象明顯,能力強(qiáng)弱兩級(jí)分化,傳統(tǒng)攻擊很難取得成效,釣魚水坑、供應(yīng)鏈等攻擊普遍;防守“應(yīng)試性”顯現(xiàn),游戲規(guī)則出現(xiàn)了局限性。
實(shí)戰(zhàn)攻防演習(xí)中的角色
紅、藍(lán)、紫三隊(duì):
紫隊(duì)支持(組織單位)
紅方主攻,藍(lán)方防守通過實(shí)戰(zhàn),檢測目標(biāo)系統(tǒng)的安全狀態(tài)與安全防御能力。
藍(lán)隊(duì),一般是指網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演習(xí)中的防守一方
藍(lán)隊(duì)-防守方
跨部門、單位的工作隊(duì)伍
以現(xiàn)有網(wǎng)絡(luò)安全為基礎(chǔ)
備戰(zhàn)階段
前期準(zhǔn)備
自查與整改
工作總結(jié)
臨戰(zhàn)階段
模擬演習(xí)
實(shí)戰(zhàn)階段
正式演習(xí)
總結(jié)階段
工作總結(jié)
| 護(hù)網(wǎng)項(xiàng)目崗位 | 崗位要求 |
| 藍(lán)隊(duì)見習(xí)崗 | 職責(zé): 1、在客戶現(xiàn)場開展7*24的安全監(jiān)控、風(fēng)險(xiǎn)處置和應(yīng)急響應(yīng)等工作; 2、對安全設(shè)備運(yùn)行狀態(tài)進(jìn)行監(jiān)控,對安全報(bào)警、安全日志等安全數(shù)據(jù)信息進(jìn)行監(jiān)控與分析; 人員要求: 1、計(jì)算機(jī)專業(yè)、電子信息專業(yè)、網(wǎng)安專業(yè)大三、大四同學(xué)優(yōu)先; 2、遵守客戶現(xiàn)場工作安排,要求有較強(qiáng)責(zé)任意識(shí),服從全國項(xiàng)目調(diào)動(dòng)。 |
| 初級(jí)監(jiān)測崗 | 職責(zé): 1、安全值守和安全監(jiān)測分析,對安全設(shè)備運(yùn)行狀態(tài)進(jìn)行監(jiān)控,對安全報(bào)警、安全日志等安全數(shù)據(jù)信息進(jìn)行監(jiān)控與分析; 2、對發(fā)現(xiàn)的高危事件或緊急事件進(jìn)行應(yīng)急處置,定位攻擊來源、封堵攻擊IP等; 能力要求: 1、有安全運(yùn)維經(jīng)驗(yàn),熟悉網(wǎng)絡(luò)安全技術(shù),了解常見安全設(shè)備知識(shí)(基本工作原理、用途等); 2、熟悉常用安全技術(shù)檢測工具,如漏掃、配置核查等; 3、熟悉常見針對系統(tǒng)、網(wǎng)絡(luò)及用戶環(huán)境等網(wǎng)絡(luò)攻擊原理、攻擊檢測及防御手段; 4、熟悉常見網(wǎng)絡(luò)攻擊行為的檢測、分析、處置方法; 5、熟悉各種常用安全設(shè)備的操作或操作方法,包括但不限于 waf、 ips、 防火墻等。 |
| 中級(jí)研判崗 | 職責(zé): 1、現(xiàn)場事件研判及應(yīng)急處置; 2、負(fù)責(zé)重保期間對我行所使用的安全產(chǎn)品或設(shè)備上報(bào)的事件告警進(jìn)行分析研判,確定攻擊行為、影響范圍等,并給出專家處置意見; 3、負(fù)責(zé)對日常采集到的數(shù)據(jù)進(jìn)行分析研究,通過異常行為模型等進(jìn)行二次分析,輸出規(guī)則策略優(yōu)化建議; 4、并負(fù)責(zé)對確認(rèn)的安全事件,出具分析報(bào)告,梳理后續(xù)工作建議; 人員要求: 1、服務(wù)工作安排,嚴(yán)守職業(yè)操守,具備團(tuán)隊(duì)協(xié)作能力。 2、具備滲透攻防實(shí)戰(zhàn)經(jīng)驗(yàn),如參加國家HW或區(qū)HW、提交過安全漏洞等。 3、能夠獨(dú)立分析各類攻擊行為、事件,能夠及時(shí)進(jìn)行有效處置。 4、具備攻擊行為、事件的溯源能力。 |
為做好網(wǎng)絡(luò)攻防演習(xí)實(shí)戰(zhàn)階段的防守組織與實(shí)施工作,特制定本工作手冊。
確保現(xiàn)場工作人員可順利完成基本信息收集、安全設(shè)備及工作準(zhǔn)備、組織結(jié)構(gòu)建立、重點(diǎn)安全風(fēng)險(xiǎn)復(fù)查、應(yīng)急流程確定等相關(guān)前期準(zhǔn)備工作。
確保在正式演習(xí)期間,與用戶及第三方廠商聯(lián)合作戰(zhàn),充分利用現(xiàn)有安全檢測與防護(hù)手段,結(jié)合實(shí)戰(zhàn)經(jīng)驗(yàn),協(xié)助用戶開展監(jiān)測與分析快速響應(yīng)處置,抑制攻擊事件,保障工作順利完成
適用于HW正式演習(xí)1-2兩周前到演習(xí)結(jié)束期間,在已完成前期準(zhǔn)備、檢查整改與預(yù)演習(xí)工作,為正式演習(xí)做最后一輪的準(zhǔn)備,正式演習(xí)期間工作的具體實(shí)施提供指導(dǎo)參考。
本手冊適用于負(fù)責(zé)防守項(xiàng)目的現(xiàn)場項(xiàng)目經(jīng)理(組織、協(xié)調(diào)與溝通)、安全值守人員(安全監(jiān)測、分析、驗(yàn)證、應(yīng)急處置和總結(jié)等)。本手冊按照我司現(xiàn)場主防(配合用戶,牽頭組織、協(xié)調(diào)用戶各部門、第三方廠商開展現(xiàn)場防守)角度撰寫,配合用戶開展主防工作的項(xiàng)目經(jīng)理與值守人員要按照本文檔開展相關(guān)工作;若現(xiàn)場配合用戶協(xié)防(用戶或其他廠商牽頭,我司為監(jiān)測防守方一員)工作的項(xiàng)目,可根據(jù)情況參考本文檔開展相關(guān)安全監(jiān)測防守工作
流程
在HW正式演習(xí)過程中,應(yīng)建立監(jiān)測分析組、事件處置組和橫向潮源組等工作組,并按照工作職責(zé)與階段開展既定工作內(nèi)容工作分組類別和人員數(shù)量應(yīng)按照每個(gè)項(xiàng)目的場景建立符合自身情況的分組與職責(zé)
安全監(jiān)測分析
在安全監(jiān)測分析階段按照天眼、椒圖、EDR工作手冊開展工作,天眼如下實(shí)時(shí)重點(diǎn)關(guān)注天眼平臺(tái)關(guān)于重要目標(biāo)的告警信息;天眼分析不同于日常的威助情報(bào)、日志搜索分析。首先,日常天眼分析要對流量進(jìn)行全面分析,包括終端主機(jī)分析和服務(wù)器方面的分析,而護(hù)網(wǎng)期間,因?yàn)橹饕鎸Φ耐{來自攻擊隊(duì)的網(wǎng)絡(luò)攻擊,主要形式為通過攻陷目標(biāo)服務(wù)器達(dá)到攻擊的目的,本質(zhì)主要為Web攻擊,所以在護(hù)網(wǎng)期間應(yīng)重點(diǎn)關(guān)注傳感器中Web攻擊和Web漏洞利用功能、分析平臺(tái)中威協(xié)感知-威協(xié)試圖-web攻擊。
事件響應(yīng)處置
1、封堵攻擊源IP
事件處置組人員根據(jù)攻擊事件通報(bào)信息或報(bào)告,封禁攻擊源IP。
注:如攻擊者地址為代理地址(確認(rèn)為HW攻擊者,屬于違規(guī)演練行為),如果是CDN節(jié)點(diǎn)地址,請協(xié)調(diào)CDN廠商進(jìn)行封堵
2、處置安全事件
事件處置組人員根據(jù)攻擊事件報(bào)告,處置安全事件,處置方式包括:安全設(shè)備策略調(diào)整、系統(tǒng)下線、服務(wù)器排查、應(yīng)用排查、加固整改、系統(tǒng)上線
3、上報(bào)安全事件
HW上報(bào)接口人根據(jù)攻擊行為報(bào)告和處置報(bào)告,對攻擊事件、威助處置上報(bào)“演習(xí)系統(tǒng)上報(bào)平臺(tái)”
橫向潮源分析
在橫向潮源階段,應(yīng)按照《產(chǎn)品工作手冊》開展潮源分析工作,主要是針對被上傳后門、木馬作為跳板的系統(tǒng)分析,確定是否通過已失陷的系統(tǒng)對內(nèi)網(wǎng)其他系統(tǒng)或設(shè)備進(jìn)一步攻擊。若在此過程中,發(fā)現(xiàn)其他系統(tǒng)存在安全漏洞隱患應(yīng)及時(shí)進(jìn)行整改加固,并對新發(fā)現(xiàn)的惡意攻擊IP地址進(jìn)行封禁
報(bào)告模板
防守方成果報(bào)告
防守單位、目標(biāo)系統(tǒng)名稱、目標(biāo)系統(tǒng)IP、URL、攻擊IP、攻擊手段、防御手段、修復(fù)建議、成果截圖。
紅線要求
在開展安全技術(shù)工作的同時(shí),還要加強(qiáng)生產(chǎn)工作要求,對網(wǎng)絡(luò)安全防護(hù)工作實(shí)施過程中的安
全風(fēng)險(xiǎn)進(jìn)行控制,降低因人員違反工作要求產(chǎn)生的安全風(fēng)險(xiǎn),建議生產(chǎn)工作要求如下
1.保密要求:禁止泄露任何與工作相關(guān)的信息、數(shù)據(jù),與第三方技術(shù)支持單位人員簽訂保
密協(xié)議;
2.網(wǎng)絡(luò)傳播:嚴(yán)禁私自傳播任何與工作相關(guān)信息,如發(fā)朋友圈
3.個(gè)人終端安全:對接入網(wǎng)絡(luò)的計(jì)算機(jī)終端須進(jìn)行病毒查殺,安全基線合規(guī)檢查和加固
4.值守要求:工作期間禁止擅離職守,全員7*24小時(shí)開機(jī),并保持通訊暢通;
5.工作要求:現(xiàn)場禁止開展與工作無關(guān)的任何事情;
6.時(shí)間要求:嚴(yán)格按照工作要求時(shí)間開展相關(guān)工作;
7.漏洞上報(bào):禁止隱騰和惡意利用已發(fā)現(xiàn)的木馬和其他漏洞,下級(jí)單位發(fā)現(xiàn)有效的安全漏
洞應(yīng)及時(shí)上報(bào);
總結(jié)
- 上一篇: 配置NAT
- 下一篇: burpsuite插件的使用