声明
本文是学习实战攻防之紫队视角下的实战攻防演习组织. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
实战攻防演习风险规避措施
实战攻防演习前需制定攻防演习约束措施,规避可能出现的风险,明确提出攻防操作的限定规则,保证攻防演习能够在有限范围内安全开展。
演习限定攻击目标系统,不限定攻击路径
演习时,可通过多种路径进行攻击,不对攻击方所采用的攻击路径进行限定。在攻击路径中发现的安全漏洞和隐患,攻击方实施的攻击应及时向演习指挥部报备,不允许对其进行破坏性的操作,避免影响业务系统正常运行。
除授权外,演习不允许使用拒绝服务攻击
由于演习在真实环境下开展,为不影响被攻击对象业务的正常开展,演习除非经演习主办方授权,否则不允许使用SYN FLOOD、CC等拒绝服务攻击手段。
网页篡改攻击方式的说明
演习只针对互联网系统或重要应用的一级或二级页面进行篡改,以检验防守方的应急响应和侦查调查能力。演习过程中,攻击团队要围绕攻击目标系统进行攻击渗透,在获取网站控制权限后,需先请示演习指挥部,演习指挥部同意后在指定网页张贴特定图片(由演习指挥部下发)。如目标系统的互联网网站和业务应用防护严密,攻击团队可以将与目标系统关系较为密切的业务应用作为渗透目标。
演习禁止采用的攻击方式
实战攻防演习中的攻防手法也有一些禁区。设置禁区的目的是确保通过演习发现的信息系统安全问题真实有效。一般来说,禁止采用的攻击方式主要有三种:
- 禁止通过收买防守方人员进行攻击;
- 禁止通过物理入侵、截断监听外部光纤等方式进行攻击;
- 禁止采用无线电干扰机等直接影响目标系统运行的攻击方式。
攻击方木马使用要求
木马控制端需使用由演习指挥部统一提供的软件,所使用的木马应不具有自动删除目标系统文件、损坏引导扇区、主动扩散、感染文件、造成服务器宕机等破坏性功能。演习禁止使用具有破坏性和感染性的病毒、蠕虫。
非法攻击阻断及通报
为加强对各攻击团队攻击的监测,通过攻防演习平台开展演习全过程的监督、记录、审计和展现,避免演习影响业务正常运行。演习指挥部应组织技术支持单位对攻击全流量进行记录、分析,在发现不合规攻击行为时,阻断非法攻击行为,并转由人工处置,对攻击团队进行通报。
奇安信实战攻防演习组织经验
2018年至2019年上半年,奇安信已参与组织实战攻防演习56次,在演习组织上投入的工作量达1463人天。组织演习的对象包括部委、省市级政府、省公安和网信等主管机构,以及银行、交通、能源、民生、传媒、医疗、教育、生态、烟草、互联网公司等行业单位。演习的目标系统涵盖内外网、网站、大数据平台、交易系统、管理系统、工控系统、财务系统等各类业务系统和生产系统。
在所组织的实战攻防演习中,发现超过2300余台业务数据库、ERP系统、堡垒机、域控制器、测试系统等核心业务系统或服务器的权限可被获取,有效检验了参演客户在技术、管理、运营等方面存在的网络安全隐患。
延伸阅读
更多内容 可以 实战攻防之紫队视角下的实战攻防演习组织. 进一步学习