HW蓝队必看课程(文末有模板文档分享)
国家网络安全主管部门为落实全国网络安全和信息化工作会议精神而发起了长期专项行动,旨在检验各单位信息基础设施和重点网站网络安全的综合防御能力和水平,实战验证相关单位“监测发现、安全防护和应急处置”的能力,发现并整改网络系统存在的深层次安全问题,进一步以防攻击、防破坏、防泄密、防重大故障为重点,构建多层次多渠道合作、各单位各行业和全民共同参与、众人受益的“钢铁城墙”。
hw行动分攻击和防守两个队伍,一般叫红队和蓝队,攻击方的目标是拿下DNS服务器、OA系统服务器、工控系统服务器等的控制权。攻击手段包括weblogic的WLS的0day漏洞利用、4A服务器的0day漏洞攻击、致远OA服务器攻击、Struts 2漏洞攻击等。
红蓝队对抗与渗透测试都是模拟黑客攻击,但有以下的不同点:
时间:在渗透测试中会制定明确的时间点完成(通常是两星期),而红蓝队对抗并无明确时间,两星期或半年都可以。
技术:红蓝队对抗不单止需要渗透技术,还需要懂得机器学习、自动化等技术。
过程:渗透测试过程是有条不絮的进行。而红队攻击过程中不会全面收集企业资产,也不会进行大规模漏洞扫描。红队攻击的策略主要是依据蓝队防护策略、工具等,拥有不定性。
输出:红蓝队对抗后会出现清晰的脆弱点、攻击路径及解决方案。
目的:渗透测试是为了了解自身网络资产是否存在风险点;而红蓝队对抗更对是了解自身网络资产能否在遭受攻击后能迅速进行应急响应。
关注点:红蓝队对抗更专注的是应用层上的漏洞,而不是信息技术上的漏洞。
攻击队(蓝队)分类
军火商级:掌握0day漏洞、具备编写工具的能力。甚至有vpn的漏洞。攻击特点:直接攻击,如导弹、大炮一般,攻击猛烈,效果极强。
间谍级:长期APT钓鲸攻击,打入红队内部,通过木马控制重要用户终端,从而控制目标服务器。与系统管理员同工同息,极难被发现。
摊贩级:使用攻击工具,利用已有漏洞进行攻击,打击效果一般。
600人组成的蓝方,红方需12万人参与防御。
得分标准:
蓝队:获取权限、穿透网络隔离、发现被控线索。
红队:发现木马、钓鱼邮件、溯源、应急处置。
渗透测试和红蓝队对抗都是企业或机构最重要的防护手段,其结果都是为了应对当前不断增加的安全漏洞及复杂多样的网络攻击。只有企业不断经过渗透测试和红蓝对抗,形成漏洞闭环,才能构建强有力的安全防御体系。
护网行动失败什么惩罚
护网行动是以公安部牵头组织政府单位、事业单位,国企单位,名企单位等开展攻防两方的网络安全演习。组织攻防两方,进攻方(一般称为红队)将对防守方(一般称为蓝队)发动网络攻击,检测出防守方存在的安全漏洞。护网行动每年举办一次,大约在6月到9月之间,为期2到3周。
护网中安全监测工程师都需要做什么
近几年的攻防演练显示,攻击方的手段越来越隐蔽,经常通过 0Day、NDay 漏洞快速侵入靶标系统并取得控制权限。这种隐蔽性的攻击给防守方的工作带来了很大的难题。与攻击方尽量隐蔽痕迹、防止被发现的意图相反,防守方需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制,而建立全方位的安全监控体系是防守方最有力的防卫武器
网络安全 监控是持续观察用户网络中所发生事情的过程,目的在于监测潜在的网络威胁和及早发现系统被入侵的风险。安全监控可以理解为 网络安全 界的“吹哨人”,它在检测到网络攻击时发出报警,并在造成严重损害之前帮助用户做出响应,及时检测和管理潜在威胁,有助于保护用户的业务 应用程序 、数据以及整个网络
安全监控的工作通常需要包括以下几个方面:
不同于传统的渗透测试,攻防演练中红队完全按照攻击者的思维,发起高强度、高水平的网络攻击,专注于攻击和暴露 网络安全 漏洞。因此,对蓝队来说,监控是能够及时发现攻击的至关重要的一步。虽然预防性 安全技术 能够应对已知的基于签名的威胁,但蓝队仍需要网络安全监控来识别更复杂的威胁,它可以帮助蓝队:
网络攻击可能会在最意想不到的时候发生,用户必须在检测到威胁后立即进行控制和补救。持续的网络安全监控可以让用户在攻击造成广泛破坏之前做出响应。
由于网络安全形势在不断变化,新型攻击层出不穷。因此,防守方不能仅仅依赖于对已知威胁的特征值来进行安全防护,他们需要基于对流量、主机上异常行为痕迹等监控来发现新的未知威胁,例如 0day 攻击。
在攻防演练中,攻击方往往通过某一漏洞进入内网,继而横向移动,最终拿下靶标系统。这种情况下,通过网络安全监控,用户可以及时发现并阻止攻击者在内网的移动。安全监控会自动检测用户网络中的任何异常活动,并阻止它威胁蔓延到其他区域造成广泛破坏。
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
青藤云安全 2022攻防演练蓝队防守指南
微步在线2019安全应急响应年报
什么是网络安全攻防演练?有什么意义?
攻防演练也称为护网行为,是针对全国范围的真实网络目标为对象的实战攻防活动,旨在发现、暴露和解决安全问题,更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。那么什么是网络安全攻防演练?攻防演练的意义是什么?具体内容请看下文。
网络安全攻防演练是以获取指定目标系统的管理权限为目标的攻防演练,由攻防领域经验丰富的红队专家组成攻击队,在保障业务系统稳定运行的前提下,采用不限攻击路径,不限制攻击手段的贴合实战方式,而形成的有组织的网络攻击行动。攻防演练通常是真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击,拟通过演练检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。
攻防演练的组织结构,由国家、行业主管机构、监督机构、大中型企事业单位自行组织。各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管机构或监管机构,针对要点行业和要点系统组织单位的攻击队和行业内企业单位的防御队进行实战攻防演练。
蓝队:模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权范围内获得业务数据、服务器控制权限、业务控制权限。
红队:通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置。
网络安全攻防演练的意义
①攻防演练,实质是人与人之间的对抗。网络安全需网络安全人才来维护,是白帽和黑帽之间的较量,而白帽是建设网络强国的重要资源。攻防演练能够发现网络安全人才,清楚自身技术短板所在,并加以改进,提升安全技术。
②开展攻防演练,能够提早发现企业网络安全问题所在。针对问题及时整改,加强网络安全建设力度,提升企业的网络安全防护能力。
网络安全攻防演练的价值
①发现企业潜在安全威胁:通过模拟入侵来验证企业内部IT资产是否存在安全风险,从而寻求应对措施。
②强化企业安全意识:通过攻防演练,提高企业内部协同处置能力,预防风险事件的发生,确保企业的高度安全性。
③提升团队能力:通过攻防演练,以实际网络和业务环境为战场,真实模拟黑客攻击行为,防守方通过企业中多部门协同作战,实战大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力。
什么样的企业需要红队评估服务?国内的红队评估厂商哪家比较好?
红队评估已经成为很多企业安全服务必不可少的一个环节,现在做红队评估的都是为了充分了解自身安全防御体系技术短板以及检验自身安全运营团队对安全事件的发现、分析以及响应处置的能力,这样的企业可以通过红队评估服务,让攻击队模拟APT的攻击尝试入侵到内部网络,以发现并检验安全防护体系的薄弱点。国内做红队评估的厂商很多,实力也都是层次不齐的,建议还是从多个维度去选择厂商,青藤云安全在安全服务行业内的口碑和实力都是有目共睹的,你可以去了解看看。
渗透测试和攻防演练的区别
区别是一个是模拟,一个是实战。红蓝队对抗便是针对此方面的测试。红蓝队对抗是以蓝队模拟真实攻击,红队负责防御(与国外刚好相反),最终的结果是攻防双方都会有进步。
红蓝队对抗能挖掘出渗透测试中所没注意到风险点,并且能持续对抗,不断提升企业系统的安全防御能力。因内部技术人员对自身网络状况比较了解,所以一般红蓝队对抗会选用内部企业人员。
渗透测试,是通过模拟黑客攻击行为,评估企业网络资产的状况。通过渗透测试,企业及机构可以了解自身全部的网络资产状态,可以从攻击角度发现系统存在的隐性安全漏洞和网络风险,有助于进一步企业构建网络安全防护体系。
渗透测试结束后,企业还可以了解自身网络系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段,让安全防护从被动转换成主动,正被越来越多企业及机构认可。
0条大神的评论