网络攻防演习规划与实施

网络安全攻防演练的规划与实施12规划与实施流程启动阶段01备赛阶段02赛前阶段03保障阶段04总结阶段0531.启动阶段组建网络攻防演练保障团队，明确相关职责制定工作计划、流程和具体方案。对信息化网络架构进行梳理和分析，评估当前网络安全能力现状。对内外网的信息化资产进行梳理。41.启动阶段启动阶段主要有三大工作：建队伍，清家底，做规划。1）建队伍51.启动阶段2）清家底对当前网络架构进行合理分析和优化，盘点内外网资产，理顺资产与业务系统的关系。为后续风险排查、加固优化奠定良好基础，主要包括三方面内容：•网络架构分析调优•互联网资产暴露面治理•内网资产发现梳理。61.启动阶段2）清家底硬件资产：机房设备、网络设备、安全设备、办公网区设备等。软件资产：域名、IP、机器、应用，云上资产等。域名资产和

IP资产。应用：态势感知、IDS\IPS,杀毒软件、vpn等等...人：后续的安全意识培训和钓鱼演练。71.启动阶段3）做规划应急响应流程应该由谁来发起，谁来审批，谁来执行处置动作？DMZ区的主机权限被控如何应急、隔离内网的主机被控如何应急、Web发现攻击如何应急？流程审批通过，技术人员按照哪种步骤进行应急？这都要提前写好预案，至少有技术上的playbook。802备赛阶段资产全面评估业务缺陷识别风险整改推进防护能力补差整体策略优化意识能力培训发现网络和业务系统的脆弱性，评估面临的安全风险，并通过技术和管理两个方面进行增强，实现安全策略的全面优化。902备赛阶段1）资产全面评估：漏洞扫描、配置核查、弱口令检查、渗透测试、入侵痕迹排查、敏感信息检查、安全机制校验。2）业务缺陷识别：对业务系统进行分级，梳理系统关键流程（如登录、认证、查询、申请、审批、交易等）分析业务流程和数据流转中可能遭遇的攻击和敏感信息泄露等安全隐患，输出相应风险处置措施。在此基础上，还应该对身份认证系统、VPN、域控系统、网管系统等集权系统和防火墙，入侵防御系统，Web安全防护系统，主机防护系统等安全设备进行风险评估。此外，还需要来自供应链，相关业务链，第三方人员链等第三方的安全风险，防止攻击者利用第三方实施入侵。3）风险整改推进：需要制定整改方案，及时进行修复。4）防护能力补差：构建集预警、防护、检测、响应于一体的自适应联动响应体系。1002备赛阶段5）整体策略优化：优化日志分析；处置设备误报；优化平台和设备策略。6）意识能力培训：加强安全意识宣传；加强内部安全意识培训；面向第三方开发商和服务商人员等开展安全意识宣贯，同时签订安全保密协议、责任界定书，增强其安全敏感度。1.威胁分析能力培训——对常见攻击行为和结果的识别，包括利用漏洞执行恶意代码，手工尝试弱口令，服务器被攻陷，恶意程序被运行等。2.应急响应能力培训——通过排查服务器上的木马程序，分析攻击者入侵途径，登录服务器操作以验证事件的准确性等方法实现安全事件的事中和事后取证分析与及时处置。1102备赛阶段漏洞修复：已知漏洞修复（含日常SDL检出的漏洞、渗透测试发现的漏洞及其他漏洞）封网和需求安全评审：演习期间要进行封网，演习期间原则上不允许上线新业务。应用安全团队要积极与产研梳理演习期间要上线的业务，该业务改动较大，安全风险比较大的，建议推迟到演习后上线。安全能力覆盖率排查：如SDL卡点、白盒扫描、RASP、WAF、安全Agent等安全能力的覆盖率，若未覆盖全的需在演习前覆盖完毕并做好安全检查。内部高风险系统安全排查：内部高风险系统进行重点安全评估，如运维系统、安全、客服系统。1202备赛阶段办公区物理安全：主防止近源攻击：WI-FI网络、RFID门禁、暴露的有线网口、USB接口等。例如：“捡U盘”、医院的服务终端机沙盒bypass等。可根据实际情况进行对应的加固。社会工程学攻击防范：比如钓鱼邮件、客服系统的攻击：禁止邮箱服务接受外域邮件、客服系统关闭文件上传通道、客服系统超链接点开前二次确认等。供应链攻击防范：软件供应链以及生态公司、合作伙伴等，检查系统耦合的一些第三方包/库是否安全。对于在网络上存在耦合的合作伙伴和生态公司一方面是要求对方做好加固和值守准备，另一方面是要做好切断合作伙伴与本业务网络通道的应急预案。1303赛前阶段：

赛前阶段也叫演练阶段，即通过实战攻防演练验证网络安全体系建设成果，助力企业建立常态化的防御机制。一

安全应急演练

编制覆盖各类应急场景的重大保障应急预案，并组织开展网络安全专项应急演练，检验网络安全应急体系和工作机制运行情况，及时发现问题，完善应急预案，提高应急处置能力。二

钓鱼攻击演练

通过相应渠道给防守方员工发送钓鱼测试邮件，度量员工安全意识整体状态。在企业邮件办公环境下，还原钓鱼邮件真实场景，使员工实际感受邮件钓鱼威胁，激发员工邮件办公的警惕心理，弥补员工的安全意识短板。三

内部红蓝对抗演练

在保证业务正常运转的前提下，建议实战演练双方的攻防演习保障项目组在真实网络环境下开展红蓝对抗。四

实战演练前安全意识专项强化

攻防演练正式开始前，攻防演练保障项目组需要进行战前宣贯，针对前期安全意识培训及钓鱼攻击演练中发现的问题进行同步，重点关注IT技术人员及演练中被钓鱼成功人员，对攻击队常用社工手段及防守方法突出强调1403赛前阶段：1、攻击战略层面

从攻击技战术的发展趋势来看：战略层面体现在从总部到分支、从目标到供应商人、从目标到第三方的攻击思路：

1503赛前阶段：2、攻击战术层面体现在信息收集、边界突破、内网横向和夺取目标方面的技战术实践

1603赛前阶段：攻击技战术发展趋势：在中间件及应用类、商业应用类、边界产品类、运行维护类和操作系统类均有不同程度的发展和演进。

1703赛前阶段：正面突破：最直接的方式。优势：一旦得手收益也最为直接，缺点：不容易得手。侧面迂回：一般是指目标单位的子公司、分支机构等。好处：边缘资产的防护能力较弱，攻击难相对较低，缺点：边缘资产利用价值不大，即使突破了也要从内部再层层突破还能达到核心区域入侵第三方：核心、重要的合作伙伴、核心系统的开发商、外包服务商等，第三方的防护能力基本为0，容易突破，而且一旦内部有与目标单位可通联的通路就会产生巨大的二次利用价值。社会工程学：目前最有效、快速的突破防护严密的手段

物理攻击：近源攻击攻击技战术1803赛前阶段：.

攻击思路与流程1903赛前阶段：.

攻击思路与流程步骤一：网络空间测绘（对应信息收集）搜集关于目标组织的人员、组织信息，网络资产、技术框架及安全措施信息。确认出关键系统、边界设备、关键人员等信息，需要选择一个攻击目标，攻击目标可以是社工钓鱼、WFI入侵、子公司/分支机构渗透、互联网边界渗透。目的是要撕开一个口子进入内网。

步骤二：互联网入侵利用收集到的信息，通过已掌握的漏洞利用工具、已知的漏洞或0day进行攻击，从而实现互联网入侵突破进入内网。步骤三：持久化通过特定的工具，利用初始入侵得到的突破口，建立好进入内网的通道，同时做好免杀等逃避检测机制，防止被发现，在内网中站稳脚跟。步骤四：内网穿透通过搭建多条通路的方式，将武器带入内网中，准备下一阶段的行动步骤五：内网移动通过对内网信息收集（如网络拓扑、账号密码等）、脆弱性收集（可利用的漏洞），定向攻击核心目标，在内网中横向移动、渗透，获取到更多的服务器控制权。内网中攻击者重点攻击目标包括集权类系统、办公系统OA、工单系统、代码库、WIKI知识库这类目标。通过不断渗透以接近最终的目标，完成任务。2003赛前阶段：.

零日漏洞攻击前期的漏洞挖掘对于打开突破口显得非常重要，在攻防对抗中，可被利用的漏洞越来越少，攻击者只能想尽办法寻找可被利用的零日漏洞。零日漏洞的挖掘工作一般会聚焦于互联网边界应用、网络设备、办公应用、运维系统、移动办公、集权管控等方面。攻击者最多尝试并突破的切入点及对应的漏洞。2103赛前阶段：.社会工程学攻击（一）钓鱼邮件:盗取某些安全意识不足的员工邮箱账号->发送钓鱼邮件，骗取账号密码或投放木马程序（二）客户服务类:通过单人或多人配合的方式，通过在线客服平台、社交软件平台等，向客户人员进行虚假的问题反馈或投诉，设局诱使或迫使客服人员接受带毒文件或带毒压缩包。（三）非技术类目标:非技术类岗位的工作人员也很容易成为社工攻击的“外围目标”。例如，如给法务人员发律师函，给人力资源人员发简历，给销售人员发送采购需求等.2204保障阶段攻击方与防守方技战术应用现状:Web应用、APP和小程序引入了新的安全问题。线上业务的暴露面也在不断扩大，面临的安全风险防护形势也愈发严峻。AI带来的安全问题防不胜防。2304保障阶段安全运营：1、确定目标2、数据采集3、攻击分析4、场景设计5、评估效果2404保障阶段安全运营：1、确定目标：哪种行为最常见？哪种行为产生的负面影响最大？容易获得哪些行为的相关数据？哪种行为最有可能表示是恶意行为？

2、数据采集:确定数据源：探针、日志、行为监测、边界安全工具、数据的存储架构，终端（主机端）安全设备.......4、场景设计：（一）场景目标：主要解决什么样的问题，如哪些攻击行为的检测；（二）流程设计：实现场景目标所需要的必要节点、流程和数据（三）具体实现：如SOAR（安全编排自动化与响应技术）。

3、过程分析:（一）行为分析（二）情景感知（三）异常值分析(分析出异常值，不一定表示发生了攻击)（四）取证研判

5、评估效果：（一）受到影响的主机（二）帐户遭到入侵的情况

（三）目标是否达成（四）使用的攻击技战术（防守方确定的TTP应该与攻击队所声称的TTP进行比较，识别任何防御差距。）2504保障阶段网络隔离检查：边界对外开放情况的摸排，确保内部系统都正确设置了ACL且没有开放过大的情况（比如将内部系统开放给某个大B段）。不要出现“一张网”的情况，防止攻击者突破边界后可直接访问到核心业务系统。主机/终端高危漏洞修复：关注服务器上可被利用的RCE漏洞，未授权漏洞，主要是为了防止黑客利用这些漏洞突破边界。办公网网络加固：比如封禁办公网终端间除80，443端口以外的其它端口访问、禁用USB读写。部署一些蜜罐来迷惑攻击者。如无必要，可在演习期间关闭WIFI网络。办公网VPN、会议系统等。这类设备很容易对公网开放，且0day比较多，如无必要也可以考虑在演习期间关闭。账号权限收敛及密码策略排查：闲置账号的清理。密码策略排查。密钥治理：杜绝明文存储（代码中、服务器上、脚本里）。治理思路是密钥的最小权限原则+ACL限制，限制key仅允许生产网的IP段访问API2604保障阶段防守上有两个重点，一个是感知（发现攻击），另一个是处置（阻断攻击）。威胁感知：WAF、威胁情报、蜜罐、蜜饵、其他云安全产品。互联网蜜罐在部署一般会选择OA、VPN、MAIL等沙箱，在蜜罐上植入溯源代码，获取攻击者的互联网ID、设备指纹等信息。蜜罐仅保留登录功能，登录功能使用SSO，这样攻击者在攻击时一定会注册业务系统账号，可能就会留下注册所需的邮箱、手机号、IP等信息，便于识别和溯源攻击者。网络层面：全流量安全感知设备+蜜罐。比如：从互联网的攻击可以用WAF来做感知和阻断，办公网的可以用EDR来做感知和阻断，办公网VLAN间用防火墙来做隔离，邮件安全用邮件网关。诱饵投放：扩大蜜罐感知面，吸引攻击者来进行攻击。在Github、百度文库、百度网盘、企查查等等必经之路上设置诱饵，比如：在Github上传一些代码，其中夹杂着蜜罐的URL，甚至放个假密码。在百度文库上上传一个XX系统使用文档，里面包含蜜罐的URL和默认账号密码。在百度网盘上传个反制木马，命名为“XXX单位VPN使用帮助”，诸如此类。2704保障阶段安全模型自动化分析研判成功实践案例：实践案例1:攻击行为自动化分析与封禁2804保障阶段安全模型自动化分析研判成功实践案例：实践案例2