赞
踩
**
**
通常每年特定时间、或特殊时期由省政府、市政府牵头承办,各机关单位配合进行的“网络安全实战攻防演练”。行动时间通常由承办单位决定,通常为24小时、跨周末进行。行动评比得分排名靠前的队伍予以通报表扬,通报演练期间发现的防守的一方存在安全隐患问题。
一般分为红(攻击方)、蓝(防守方)两方:红方目标为获取靶系统权限、获取重要数据、发现高危漏洞等一系列操作,蓝方目标为入侵处置、攻击溯源,并对存在的高危漏洞进行发现修复等一系列操作。
以互联网为攻击起点,选择寻找漏洞及薄弱点,通过社工\植入木马等手段进行突破。互联网突破口选择原则:通常为关注度低、防守薄弱的老旧系统;存在高危漏洞的系统;存在弱口令、重要信息泄的系统;员工社交账号、第三方产品供应商、运维服务供应商;以及安全意识薄弱员工(钓鱼邮件)等。
通过突破外网边界防护,进入到内网后,展开横向渗透探测,以寻找核心区域(靶系统)或其他重点资产系统。主要手段是控制应用\服务器等资产,通过内网横向渗透、寻找薄弱点并加以控制。重点还是内网有无统一威胁感知平台;有无存在高危漏洞系统;存在弱口令系统、重要信息存储系统等。
主要为SaaS服务,变更互联网对外业务DNS解析至云防护,所有对互联网开放的业务均通过云防护进行安全防护,防御针对Web应用的各类攻击威胁。
串联部署于互联网DMZ区边界,所有对互联网开放的业务均通过WAF进行安全防护,防御针对Web应用的各类攻击威胁
态势感知平台,威胁感知探针旁路部署于数据中心,并接入内网各区的镜像流量。威胁感知探针收集威胁流量并上传日志至态势感知平台。发现网络流量中各类威胁,并为溯源分析提供数据支撑。
客户端方式安装于所有服务器。发现主机层面各类威胁,并为溯源分析提供数据支撑。
旁路部署,并接入对外业务的镜像流量。发现系统接口各类威胁,并为溯源分析提供数据支撑。
旁路部署于DMZ区,模仿现有业务搭建伪装系统并发布于互联网,新建用于蜜罐的专用网段并禁止蜜罐访问内网所有网络。诱捕红队攻击流量,为溯源分析提供数据支撑,是防守加分的重要手段。
警惕钓鱼邮件等社工攻击手段,关停所有老旧、测试和未必要系统、及时修复高危漏洞和弱口令;非所属资产必须上诉。
关注态势感知及蜜罐的告警日志,分析业务系统/邮箱流量获取的恶意样本. 关注高危漏洞告警,如注入、命令执行、反序列化、系统提权等漏洞。
IP封禁是简单有效的防护方式, 遇到国外地址进行攻击一律封禁; 提交报告需包含关键内容; 对外业务资产监测与防护极为重要; 钓鱼邮件是红队常用的有效攻击手段; 建立快速沟通渠道,避免耽误上报时间。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。