XX支队2022年度网络攻防演练方案.docx

《XX支队2022年度网络攻防演练方案.docx》由会员分享，可在线阅读，更多相关《XX支队2022年度网络攻防演练方案.docx（9页珍藏版）》请在第一文库网上搜索。

1、2023年度网络攻防演练方案1攻防演练背景随着网络空间安全态势的恶化，攻防对抗程度加剧，已呈现常态化和实战化趋势。攻击方利用绕过多重的检测和防御机制进行攻击，防守方也在借助更多创新安全技术有效识别和响应攻击行为，攻守双方相互制约的同时也在相互促进技术革新与发展。安全运维从传统的监测单点设备告警和分析日志阶段已经转型到现在的一体化安全运营。防守方利用大数据、人工智能等智能分析与研判技术，自动化编排合理有效的安全策略和处置措施，以应对更加多变和复杂的网络攻击行为。2网络攻击特点当前，网络攻防对抗形式呈现出以下几个特点：(1)攻击的隐蔽手段更多以前的攻击检测手段比较基础，大多数攻击者不考虑去隐蔽自己

2、的攻击手段。通常情况下，网络安全设备可以从捕获的流量中检测到相应的攻击特征。但是，随着网络安全设备的技术创新发展以及安全运维人员基于对以往案例的总结归纳，较为明显的攻击特征会被快速的检测出来并及时进行阻断。为了让过网络安全设备和人员的检测，攻击者会对攻击流量进行加密、免杀以及使用IP代理池等手段来应对安全检测，进而隐蔽自己的攻击行为。(2)更多自研基础设施将会出现随着数字化业务的快速发展，相对于使用开源或商业的基础设施，更多的单位会利用自身技术优势开发相关的基础设施来满足自身的业务发展需求。但是，单位使用自研的基础实施会存在较多缺点。第一，单位需要投入一定资金进行基础实施的开发工作。第二，单位

3、内的开发人员可能在基础设施的开发经验上有所欠缺，从而导致开发的基础设施性能较差。第三，商业基础设施的开发人员一般是经过专业的开发培训，其安全开发意识比较强，开源基础设施也会经过开源社区的安全检测验证后避免掉多数的安全问题。若单位没有对员工进行相关安全开发培训或者开发流程不够规范，很可能会导致自研基础设施存在严重的安全风险。因此，攻击者会更加容易对开源或商业的基础设施进行漏洞利用攻击和数据窃取。(3)业务链/供应链攻击增多上层供应链包括但不仅限于脚本仓库、开源或商业软件。在日常的开发和使用过程中，单位往往默认上层的供应链是安全的。攻击者利用单位对上层供应链的信任，通过对供应链进行投毒，从而发起大

4、规模的的攻击事件。供应链的投毒主要源自开源社区或脚本仓库对开发提交者的身份和代码审核不够严格，或是开发商业软件的企业遭受了定向攻击。从夺旗相关案例来看，供应链攻击往往能获得更大的利益，因此，攻击者也更愿意投入成本进行对供应链的攻击，这也是供应链攻击增多的主要原因之一。(4)隔离环境不再安全部分单位运维人员认为在隔离环境下的系统是绝对安全的。从伊朗“震网”事件中可以发现，及时在离网环境下，攻击者也能通过重重渗透进行攻击，而运维人员会由于对隔离环境的安全信任，会存在疏忽安全配置、补丁更新的情况，使得攻击者在离网环境中的攻击更加顺利。(5)专业红队攻击感知能力增强且对情报利用更加完善专业红队(防守方

5、)基于过往的经验总结，会通过自研或购入相应的安全设备进行安全告警的整合。例如，专业红队会构建统一的安全中心，并通过专业的安全设备对IT信息环境进行监测，蜜罐或其它安全设备采集到的威胁信息统一汇聚到安全中心,安全运营人员进行分析、研判攻击的漏洞是否真实存在。此外，安全中心还会设置相应的情报收集平台，通过自动化采集、漏洞奖励计划等方式收集情报信息，并进行统一整理分析，针对情报中威胁制定防御措施和应急响应方案，并下发至运维部门。(6)溯源反制逐步专业化相对于以往的封堵IP,防守方对攻击方的溯源反制逐渐标准化。例如部署蜜罐等威胁诱捕的设备收集攻击方的攻击手段和攻击特征，并通过相关的技术手段对特征进行分

6、析从而溯源到攻击者。防守方可能会设立安全运营中台部门，打破以往防守方单个部门或单个公司情报匮乏的局面，对各方情报进行汇总和分析,利用大数据等手段对攻击方的攻击行为进行更好的识别感知和响应处置。(7)UEBASOAR、微隔离技术广泛应用UEBA技术通过机器学习对用户、实体进行分析，通过实时和离线的检测方式，能得到一个直观的风险经济和证据分析，让安全人员能够快速响应异常和威胁。Sc)AR技术是安全人员对以往安全事件进行分析，通过自动或手动的方式编排处置脚本，在安全事件发生时，系统能根据决策和处置策略对安全事件进行自动化处置。微隔离技术是通过策略计算中心来实现对服务器之间的安全隔离。三类技术的共性特

7、点是利用大数据实现集中化、自动化的安全运营。通过大数据分析引擎将采集到的数据进行集中化处理，再制定自动化处置的方案，从而降低安全运营成本并提升运营效率。3攻击思路基于历年来相关单位所积累的攻防演习行动保障的丰富经验，总结出对应的常规攻击思路主要分为四个阶段，包括信息收集、外围打点、内网信息收集和内网权限获取。3.1 信息收集攻击队伍针对攻击对象开展一系列的前期信息收集，包括但不仅限于单位组织架构、主域名、子域名、外网邮箱服务器、IP地址范围、VPN入口等方面，以便于后期开展外围打点攻击。3.2 外围打点基于所收集到的攻击对象基础信息，攻击队伍对目标的外围资产开展一系列的前期攻击，包括但不仅限于

8、鱼叉攻击、Web漏洞利用、RCE漏洞、远控木马、弱口令和默认口令等方面的利用攻击，以帮助后期掌握目标的内网信息。3.3 内网信息收集基于外围打点所发现的目标短板，如Web漏洞利用和成功上传木马，深入去收集和获取目标的内网拓扑、邮件密码文件、常用口令字典、内网应用分布和部署情况等方面，以帮助完成攻击的最终目的，获取内网权限。3.4 内网权限获取攻击队伍在成功获取到内网相关的短板信息后，进而对目标相关的服务器、网络设备、办公终端等设备，利用RCE漏洞、弱口令、O/Nday漏洞等利用攻击方式，最终获取内网权限。4演练方案为模拟防守单位在攻防演习演习期间可能面临的真实攻击，同时对前期的安全意识培训效果

9、进行验证，拟以“钓鱼邮件”和“XXX”为主题实施攻防演习。4.1 主题一：钓鱼邮件演练4.1.1 演练内容项目组将开展钓鱼攻击演练，通过云平台给我支队防守员工发送钓鱼测试邮件，统计点击钓鱼链接员工的邮箱及人员信息，并输出统计报表，度量员工安全意识整体状态。在企业邮件办公环境下，还原钓鱼邮件真实场景，通过定制企业办公邮件与企业网站页面，使员工实际感受邮件钓鱼威胁，激发员工邮件办公的警惕心理，弥补员工的安全意识短板，演练结果直接成为后续安全教育的良好素材。4.1.2 演练步骤4.1.2.1 准备阶段通过前期调研，了解客户侧目前安全意识现状。另外，协助客户确认标靶网站以及测评对象的范围。演练角色人员

10、数量演练工作内容交付内容本单位人员2前期调研、测评范围、标靶网站确认安全意识调研表网络安全技术团队2对调研结果、演练方案进行评估确认演练方案、调研结果表4.1.2.2 定制阶段通过第一阶段的调研以及标靶网站的确认，开始进行定制化操作，包括钓鱼页面定制以及钓鱼邮件编制。演练角色人员数量演练工作内容交付内容本单位人员2邮箱地址确认网络安全技术团队2钓鱼页面定制以及钓鱼邮件编制钓鱼页面、钓鱼邮件4.1.2.3 测试阶段定制化工作完成以后，在测试小组内部进行测试，寻找不足，优化网站及邮件内容。演练角色人员数量演练工作内容交付内容本单位人员2邮件收发测试网络安全技术2演练功能测试完善钓鱼页面、钓鱼邮团队

11、件4.124演练阶段当前期工作完成后，开始执行钓鱼邮件发送操作，并对产生的结果进行收集和记录。本单位人员针对钓鱼邮件安全事件，启动网络安全应急预案,立刻响应处置,并上报本支队攻防演习指挥人员及总队安全管理部门，详细内容参见“5、保障实战方案:演练角色人员数量演练工作内容交付内容本单位人员2邮件收发处理处置过程记录网络安全技术团队2发送钓鱼邮件、收集结果演练记录报告4.1.2.5总结阶段对产生的结果及数据进行分析，并编制分析报告。演练角色人员数量演练工作内容交付内容网络安全技术团队1演练结果及数据进行分析演练分析报告4.1 主题二：弱口令攻防演练4.1.1 演练内容在重要时期保障和攻防演练活动中

12、发现，弱口令是一种存在广泛、危害大、不易消除的顽固问题，并己口渐成为漏洞攻击外的主要利用弱点之一，非常容易被黑客内网渗透获取权限，或者感染病毒，导致内网大范围失陷。此次演练，在实际攻防场景下的常态化弱口令检查。根据企业特性，生成定制化字典，使用标准化流程及完备的工具集，进行专业的弱口令排查，并输出资产列表以及弱口令专项分析报告。4.1.2 演练步骤4.1.3 准备阶段通过前期调研，了解客户侧目前安全意识现状。另外，协助客户确认弱口令测评对象的范围。演练角色人员数量演练工作内容交付内容本单位人员1前期调研、测评范围安全意识调研表网络安全技术团队2对调研结果、演练方案进行评估确认演练方案、调研结果

13、表4.1.4 .2定制阶段通过第一阶段的调研以及弱口令测试对象范围的确认，开始进行定制化操作,包括弱口令专项字典编制。演练角色人员数量演练工作内容交付内容本单位人员1邮箱地址确认网络安全技术团队2弱口令专项字典编制弱口令专项字典4.1.5 .3测试阶段定制化工作完成以后，在测试小组内部进行测试,寻找不足,优化演练内容。演练角色人员数量演练工作内容交付内容本单位人员1电脑登录工作网络安全技术团队1演练功能测试完善4.124演练阶段当前期工作完成后，开始执行弱口令扫描操作，并对产生的结果进行收集和I己录。本单位人员针对弱口令攻击安全事件，启动网络安全应急预案，立刻响应处置，并上报本支队攻防演习指挥

14、人员及总队安全管理部门，详细内容参见“5、保障实战方案”。演练角色人员数量演练工作内容交付内容本单位人员1弱口令终端安全处理，修复漏洞处置过程记录网络安全技术团队1执行弱口令扫描排查演练记录报告4.1.2.5总结阶段对产生的结果及数据进行分析，并编制分析报告。演练角色人员数量演练工作内容交付内容网络安全技术团队1演练结果及数据进行分析演练分析报告5保障实战方案5.1 网络安全监测在演习保障期间，对内部网络提供安全监控、对内网终端、安全设备等进行全面监控，开展设备性能监控、安全攻击监控、安全行为监控等工作，确保内部网络及设备运行安全。5.2 威胁分析研判在攻防攻防演练防护期间，研判分析小组将对安

15、全监控小组上报威胁事件进行研判处置，对符合预警条件的事件进行通知处理。安全预警通告主要类型包括安全风险预警通告、安全事件应急通告、可疑安全行为通告，当研判分析小组收到上述通告时，及时研判被通告事件与保障目标资产吻合度，对风险内容进行定位分析，确认实际影响范围，威胁程度，紧急程度等，并协调应急处置小组进行处理，以达到快速闭环安全风险目的。5.3 应急响应处置应急响应能够快速成功处置，关键是根据前期应急预设流程为指导，应急处置小组有条不紊对已发生安全事件进行解决，以最大限度地减少安全事件造成的损害，降低应急处置中的风险。5.4 事件上报在攻防演习实战期间，防守方对检测到的告警信息进行研判分析，对确属攻击行为的安全事件，及时根据规定格式编写防守方成果报告，提交上报本支队攻防演习指挥人员及总队安全管理部门，上报时效为实时上报。6演练设备清单