网络应急演练总结报告

网络应急演练总结报告第一章演练背景与目标1.1背景2024年3月，某省政务云“一网通办”平台连续出现两次DNS劫持告警，虽未造成数据泄露，但导致全省社保、医保、公积金查询服务中断累计47分钟。省数字政府建设领导小组办公室（以下简称“省数办”）决定以真实事件为蓝本，组织一次“红蓝对抗+全流程复盘”的网络应急演练，覆盖省、市、县三级共217个单位，验证《政务云网络安全事件应急预案（2023修订版）》的可操作性。1.2目标①在真实流量环境下，检验“监测—研判—处置—恢复—追责”闭环是否能在30分钟内完成；②验证新上线的“云盾·政务版”EDR与SOAR联动剧本是否可自动隔离95%以上的横向移动行为；③打通公安、通管、政务云、第三方安全公司四方数据接口，实现攻击者画像<10分钟；④形成可直接落地的《政务云网络安全事件应急预案V4.0》及8套配套制度。第二章演练总体设计2.1演练类型采用“事前不通知、攻击路径不预设、红队全程驻外”的盲演模式，红队由省公安厅网安总队抽调7名骨干+国内两家TOP级安全厂商各3名研究员组成，蓝队为省政务云运营中心（以下简称“云运中心”）现有值班体系，不额外增员。2.2攻击场景以“APT+勒索”复合链为主线：①0day钓鱼邮件→获得OA主机权限→Dump凭据→横向移动至堡垒机；②利用VMwarevCenter最新提权漏洞（CVE-2023-34048）获取虚拟化平台控制权；③批量下发勒索脚本，同时篡改DNS解析，将“一网通办”域名指向境外钓鱼站；④在对象存储桶植入后门，留下持久化据点。2.3演练范围资产范围：省政务云Prod-VPC、DMZ-VPC、管理VPC内所有存活资产，共4632台虚拟机、317条专线、92个SLB、18套K8s集群。时间范围：2024年5月8日9:00—5月9日17:00，攻击方可随时发起，但不得在0:00—6:00时段操作，避免影响夜间批处理。2.4关键角色指挥长：省数办副主任（甲方）红队队长：省公安厅网安总队三支队副支队长蓝队队长：云运中心安全运营室主任观察员：国家互联网应急中心（CNCERT）江苏分中心2名专家法务顾问：省司法厅网信处一级主任科员，全程记录电子证据链第三章演练准备阶段3.1方案编制3.1.1攻击方案（红队）①情报收集：4月1—15日，通过测绘平台Fofa、Zoomeye、红队自研“LightSpider”对目标资产进行3轮全端口扫描，输出《外网暴露面报告》共发现高危端口312个；②武器准备：0day漏洞2枚（OfficeEPS、vCenter）、1day漏洞5枚（Confluence、Weblogic、GitLab）、自研木马“PolarFox”已做免杀处理，VT检出率0；③C2基础设施：租用4台境外VPS，域名使用DGA算法生成，每日00:00自动切换，解析指向CloudflareCDN，隐藏真实IP；④逃逸预案：针对云盾EDR的驱动级防护，红队提前购买同型号设备做逆向，发现“白名单目录”绕过逻辑，准备利用C:\Windows\System32\spool\drivers\color\写入恶意DLL。3.1.2防守方案（蓝队）①监测工具：流量层：奇安信天眼探针48台，全流量留存≥180天；主机层：云盾EDRAgent2.3.7版，开启“暴力破解、内存马、Webshell”三类实时检测；日志层：省政务云SOC已对接207类日志，5月1日起全部切换至“热索引”模式，检索延迟<5秒；②封堵策略：自动封堵：SOAR剧本“封锁IP_外网”联动防火墙，5分钟内完成全网WAF、vFW、IPS三处封禁；手动封堵：值班员通过“一键断网”平台，可对单业务VPC执行“下线+快照+网络隔离”三件套，30秒内完成；③溯源反制：蜜罐系统：部署“高交互+低交互”混合蜜罐共计128个，覆盖SSH、RDP、MySQL、Redis、KubernetesAPIServer；取证主机：准备32台取证虚拟机，预装FTK、Autopsy、Velociraptor，确保磁盘快照完整性校验值SHA-256同步至区块链存证平台“苏链”。3.2制度修订3.2.1《政务云网络安全事件分级指南V4.0》特别重大（Ⅰ级）：造成>500万条个人信息泄露，或>1亿元直接经济损失；重大（Ⅱ级）：造成>100万条个人信息泄露，或>2000万元直接经济损失；较大（Ⅲ级）：造成>10万条个人信息泄露，或>500万元直接经济损失；一般（Ⅳ级）：其他未达到以上标准的事件。3.2.2《应急演练红队管理办法》红队成员须签署《保密及合规攻击承诺书》，禁止触碰医保、社保、公积金核心库；任何攻击载荷须提前上传至“省攻防演练靶场”完成无害化验证，并生成MD5白名单；违规操作一次即取消当年红队资格，并通报所在工作单位。3.3人员培训4月20—30日，蓝队组织5场“夜校”：①19:00—21:00天眼探针SQL检索语法；②19:00—21:00SOAR剧本可视化编排；③19:00—21:00电子数据取证流程（含司法判例解读）；④19:00—21:00勒索软件解密工具实战；⑤19:00—21:00媒体沟通话术演练（模拟央视新闻客户端来电）。每场培训后安排30分钟“随堂测”，80分以下人员需补考，补考不过调离本次演练值班序列。第四章演练实施过程4.1攻击启动5月8日9:07，红队通过163.com企业邮箱向省人社厅OA系统批量发送“《关于调整2024年社保缴费基数的通知》.rar”邮件，附件内含带有EPS0day的Word文档。9:11，省人社厅社保结算处一名工作人员打开文档，触发漏洞，红队获得第一台内网主机权限（IP：8）。4.2横向移动9:15—9:27，红队使用BloodHound社区版进行域内信息收集，发现“svc_backup”账户在OU=ServiceAccounts下被赋予“GenericAll”权限。通过Hashcat6.2.6在GPU服务器（RTX40908）跑字典，6分钟破解出NTLMHash。9:28，红队利用“svc_backup”登录堡垒机（），成功跳至管理VPC。9:15—9:27，红队使用BloodHound社区版进行域内信息收集，发现“svc_backup”账户在OU=ServiceAccounts下被赋予“GenericAll”权限。通过Hashcat6.2.6在GPU服务器（RTX40908）跑字典，6分钟破解出NTLMHash。9:28，红队利用“svc_backup”登录堡垒机（），成功跳至管理VPC。4.3虚拟化平台提权9:31，红队上传vCenter提权EXP（Python脚本，编号VC03），脚本自动检测vCenter版本7.0.3build-20150588，存在CVE-2023-34048。9:33，脚本执行完成，返回rootshell。红队随即关闭vCenter日志服务vmware-vmon，防止操作被记录。4.4勒索+DNS篡改9:36，红队通过vCenter下发批量任务，向4632台虚拟机推送勒索脚本“locker.sh”，脚本行为：使用ChaCha20+RSA-4096混合加密用户文档；修改/etc/hosts，将“”指向7（境外钓鱼站）；写入计划任务，每30分钟检测并删除本地快照。9:38，首批加密完成，共感染217台，加密文件4.3TB。4.5监测发现9:39，云盾EDR触发“批量文件重命名+熵值异常”告警，风险评分96分，SOC产生高优工单。值班员李某（云运中心安全运营室）在30秒内点击“一键溯源”，SOAR自动调取天眼流量，发现8对vCenter443端口存在“Java/OkHttp”异常User-Agent。4.6研判定级9:42，蓝队启动“应急会商”腾讯会议，指挥长、法务顾问、CNCERT观察员加入。依据《政务云网络安全事件分级指南V4.0》，初步判定为重大（Ⅱ级）事件，决定立即执行“省级Ⅱ级响应”。4.7遏制与根除①网络隔离：9:43，蓝队通过“一键断网”平台将Prod-VPC-01、DMZ-VPC-03切至“隔离”状态，业务流量牵引至备份中心；②账户冻结：9:44，AD管理员手动禁用“svc_backup”账户，强制下线所有RDP会话；③漏洞修补：9:50，vCenter补丁包（VMware-vCenter-Server-Appliance-1700）已提前下载至本地FTPS，蓝队通过VAMI界面完成离线升级，重启后验证版本号；④木马清除：9:55，EDR下发“PolarFox”专杀工具，对4632台虚拟机进行全盘扫描，共清除恶意DLL217份、计划任务217条；⑤DNS恢复：9:58，省通管局通过DNSSEC根域授权，将“”解析恢复至00，TTL设为30秒，全网生效时间4分钟。4.8业务恢复10:05，蓝队启动“省级容灾切换”预案，将流量从备份中心切回，社保、医保、公积金三大系统先后于10:12、10:15、10:18完成服务验证，RTO=33分钟，符合《政务云SLA》要求的45分钟以内。4.9攻击者画像与溯源10:20，蓝队通过“苏链”区块链存证平台提取vCenter磁盘快照，发现攻击者遗留SSH公钥“redteam_2024_rsa.pub”，结合境外VPS日志，发现登录IP为7，使用Tor出口节点。10:25，蓝队将IP、域名、样本Hash、钱包地址（bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh）推送至公安“网安大数据平台”，10:30完成攻击者画像报告，符合《网络安全事件取证规范》（GB/T36905-2018）。第五章数据记录与评估5.1关键指标MTTD（平均检测时间）：9分39秒MTTI（平均研判时间）：3分21秒MTTC（平均遏制时间）：14分55秒MTTR（平均恢复时间）：33分07秒勒索感染率：4.7%（217/4632）数据泄露条数：0合规扣分：0（未触碰核心库）5.2评估方法采用“NISTCSF+政务云扩展指标”双轨制：①技术维度：工具覆盖率、告警准确率、剧本自动化率；②流程维度：角色到岗率、决策时效、通报合规性；③法律维度：电子证据链完整性、个人信息保护符合性、跨境数据流动合规性。评分结果：技术92分、流程88分、法律100分，综合90分，达到“优秀”等级。第六章问题与缺陷6.1监测盲区省政务云K8s集群APIServer6443端口未接入天眼探针，导致红队通过“kubectlexec”横向移动时无流量镜像，事后只能依靠AuditLog回溯，延迟>30分钟。6.2剧本缺陷SOAR剧本“封锁IP_外网”默认只封/32掩码，红队使用/24段快速轮换IP，剧本执行24次后防火墙地址池满，需手工扩容。6.3人员失误值班员王某在9:47执行“一键断网”时误选Prod-VPC-02，导致省卫健委“健康码”系统中断6分钟，虽及时回退，但仍造成12345热线投诉37起。6.4补丁管理vCenter补丁包虽提前下载，但未做SHA-256一致性校验，演练后比对发现文件被意外修改（最后访问时间4月30日），需重新从VMware官网下载，延迟整体根除时间8分钟。第七章整改措施7.1技术整改①5月20日前，完成K8sAPIServer流量镜像部署，新增探针16台，确保6443、10250、10255端口100%覆盖；②6月10日前，升级SOAR至3.2版本，支持CIDR格式封禁，地址池扩容至10万条；③6月30日前，建设“补丁校验中间库”，所有补丁下载后同步计算SHA-256并与官方比对，比对通过方可入库。7.2流程整改①修订《值班操作Checklist》，将“一键断网”权限由原来“单点确认”改为“双人+短信验证码”双因子；②建立“演练红黄牌”制度，演练期间人为失误导致业务中断>5分钟即亮黄牌，年度累计两张黄牌转为红牌，调离值班岗位。7.3制度整改①新增《虚拟化平台安全加固基线（2024版）》，要求vCenter管理网段必须与业务网段物理隔离，启用多因子认证+源IP白名单；②发布《政务云漏洞兜底处置办法》，对0day漏洞在官方补丁发布前，要求12小时内完成临时防护（WAF虚拟补丁+主机IPS规则）上线。第八章经验沉淀与工具输出8.1沉淀清单攻击技战术知识库1份，含TTPs312条，已导入MITREATT&CKNavigator；防守剧本库新增SOAR剧本18套，覆盖“勒索、挖矿、DNS劫持、APT、数据泄露”5大场景；取证模板7份，包括《虚拟机快照取证SOP》《内存取证SOP》《容器镜像取证SOP》；培训课件12套，面向开发、运维、安全3类人群，总时长26小时。8.2工具开源云运中心将自研“PolarFox”专杀工具脱敏后上传至GitHub（/jsgov/PolarFoxKill），采用GPL-3.0协议，一周内Star数突破600，被国内12家省级政务云采用。第九章后续工作计划9.1常态化攻防每季度组织一次盲演，红队成员从省内“网安专家池”随机抽签，避免“熟人演练”；每年至少邀请1支国家级APT模拟队参与，提升真实对抗强度。9.2实战培训与高校合作建立“政务云安全联合实验室”，每年培养50名研究生，实习期间须完成“真实攻防+司法取证”双考核，考核通过方可进入云运中心人才库。9.3预算保障2025年新增网络安全专项预算1.2亿元，其中30%用于攻防演练、20%用于0day漏洞收