2016年《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等的关键工作,以实战、对抗等方式促进网络安全保障能力提升,具有非常重要的意义。
随着大规模攻防演练行动的开展,如何有效地实施演练,提升红蓝攻防对抗演练效果,让防守方在行动时做出更加准确的判断成为了大量用户的关注重点。
本文希望通过防守方案经验的分享,协助客户在实际工作中减少互联网侧的暴露面,加固网络内部的安全基线,全面提升其安全应对能力,以降低安全事件的发生概率。此外,本文同时希望可以为客户在重要时期(如护网、重保等)提供专业的安全团队与客户协同防护的经验。
攻击角度看防守
在攻防演练的过程中,我们从攻击方的视角可以了解到一些常见的攻击手段(如弱口令攻击、DDOS攻击、暴力破解等),通过这些攻击手段我们可以在攻防演练中,充分检验参演单位及目标系统的安全防护、攻击监测和应急处置能力。
演练组织方通常会选择具有丰富攻防经验的安全专家组成攻击队开展网络攻击,在确保不影响参演方正常业务的前提下,选择一切可利用的资源和手段,采用多变、灵活、隐蔽的攻击手段力求取得最大战果。
参演单位作为防守方,面对“隐蔽”的网络攻击,只有了解攻击方是如何开展攻击的,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。
一般而言,攻击方在组织入侵攻击时的具体步骤如下:首先制定攻击策略,明确攻击目标及手段;其次规划攻击线路,使攻击者分工合作,力争在短时间内取得最大战果。
攻击步骤中常用的手段有信息收集、漏洞分析、渗透攻击和后渗透攻击。
防守工作方案
了解到攻击方常见的攻击手段后,为有效应对攻防演练相关工作,攻防演练防守工作分成五个阶段,分别是准备阶段、安全自查和整改阶段、攻防预演练阶段、正式演练防护阶段和总结阶段。
第1阶段:准备阶段
在正式攻防演练开始前,应充分做好准备阶段工作,为后续演练工作其他阶段提供有效的支撑。
防守方案编制
攻防演练工作应按计划逐步有效的进行,参演单位应在演练前,根据实际情况,完成攻防演练防守方案编写,通过演练防守方案指导攻防演练防守工作的开展,确保演练防守工作的效果。
防守工作启动会
在攻防演练开始前,应组织各参演部门相关人员,召开演练工作启动会。以启动会的形式明确演练防守工作的目的、工作分工、计划安排和基本工作流程。
通过启动会确定演练防守工作主要牵头部门和演练接口人,明确演练时间计划和工作安排,并对演练各阶段参演部门人员的工作内容和职责进行宣贯 。同时,建立演练工作中的沟通联络机制,并建立各参演人员的联系清单,确保演练工作顺利开展。
重要工作开展
针对攻防演练的重要工作梳理,确保能够有效支撑后续演练。梳理内容如下:
网络路径梳理
关联及未知资产梳理
专项应急预案确认
安全监测防御体系
第2阶段:安全自查和整改阶段
通过安全自查对目标系统的安全状况得以真实反映,结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则,基于最小权限原则制定,即仅仅开放允许业务正常运行所必须的网络和系统资源。确保目标系统在攻防预演练前所有安全问题均已采取措施得到处理。自查内容如下:
网络安全检查
网络架构评估
网络安全策略检查
网络安全基线检查
安全设备基线检查
主机安全检查
主机安全基线
数据库安全基线
中间件安全基线
主机漏洞扫描
应用系统安全检查
应用系统合规检查
应用系统源代码检测
应用系统渗透测试
运维终端安全检查
运维终端安全策略
运维终端安全基线
运维终端漏洞扫描
日志审计
网络设备日志
主机日志
中间件日志
数据库日志
应用系统日志
安全设备日志
备份效性检查
备份策略检查
备份系统有效性检查
安全整改加固
基于以上安全自查发现的问题和隐患,及时进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险。
第3阶段:攻防预演习阶段
攻防预演练是为了在正式演练前,检验安全自查和整改阶段的工作效果以及防护小组能否顺利开展防守工作,而组织攻击小组对目标系统开展真实的攻击。
通过攻防预演练结果,及时发现目标系统还存在的安全风险,并对遗留风险进行分析和整改,确保目标系统在正式演练时,所有发现的安全问题均已得到有效的整改和处置。
预演习启动会
由领导小组组长牵头,通过正式会议的形式,组织预攻击小组和防护工作小组各成员单位和个人,启动攻防预演练工作,明确攻防演练队伍组成,职责分工,时间计划和工作安排。
根据启动会决议内容,应将攻防预演练工作情况及所使用的攻击IP地址等信息,向国家网络安全相关主管部门(公安部、网信办等)进行备案说明。
授权及备案
演练开始前期,在对目标系统进行前期的安全准备工作中,参演单位应对第三方技术支撑单位进行正式授权。同时第三方技术支撑单位应向参演单位提供IP信息,参演单位将攻防预演练工作情况及所使用的攻击IP地址等信息,向国家网络安全相关主管部门(公安部、网信办等)进行备案说明。确保演练各项工作,均在授权范围内有序进行。
预演习平台
预演练使用的攻防演练支撑平台,攻击人员的所有行为通过平台进行记录、监管、分析、审计和追溯,保障整个攻击演练的过程可控、风险可控。同时,演练平台提供实况展示、可用性监测和攻击成果展示三个图形化展示页面,在预演练期间可通过大屏进行演示。
攻击实况展示
可用性监测
攻击成果展示
预演习攻击
预演练攻击由安全部门组织开展,攻击人员从互联网对目标系统进行攻击,攻击中禁止使用DDoS攻击等可能影响业务系统运行的破坏性攻击方式,可能使用的攻击方式包括但不限于:
Web渗透
旁路渗透
口令攻击
钓鱼欺骗
社会工程学
预演习防守
预演练防守工作由防护小组开展,在预演练期间,防护小组中各部门应组织技术人员开展安全监测、攻击处置和应急响应等防守工作:
业务监测
攻击监测
事件处置
应急响应
修复整改
预演习总结
参加预演人员对演练过程中发现的问题进行总结,包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段是否有效等,针对性提出整改计划和方案,尽快进行整改,同时通过攻防预演练发现的问题改进和完善安全自查和整改阶段的工作,为后续工作积累经验。
第4阶段:正式防护阶段
在正式防护阶段,重点加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演练过程的安全防护效果。
安全事件实时监测
当开启正式防护后,防护小组组织各部门人员,根据岗位职责开展安全事件实时监测工作。安全部门组织其他部门人员借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。
事件分析与处置
防护小组根据监测到安全事件,协同进行分析和确认。
防护小组根据分析结果,应采取相应的处置措施,来确保目标系统安全。通过遏制攻击行为,使其不再危害目标系统和网络,依据攻击行为的具体特点实时制定攻击阻断的安全措施,详细记录攻击阻断操作。
演练工作小组应针对攻击演练中可能产生的攻击事件,根据已经制定的网络安全专项应急预案进行协同处置,同时在明确攻击源和攻击方式后,保证正常业务运行的前提下,可以通过调整安全设备策略的方式对攻击命令或IP进行阻断,分析确认攻击尝试利用的安全漏洞,确认安全漏洞的影响,制定漏洞修复方案并及时修复。
第5阶段:总结阶段
全面总结攻防演练各阶段的工作情况,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等,形成总结报告并向有关单位汇报。
针对演练结果,对在演练过程中还存在的脆弱点,开展整改工作,进一步提高目标系统的安全防护能力。
工作简介
对攻击审计和现场清理,对重保情况进行整体的总结,并制定有针对性、可落地的安全体系改进建设指导方案。
工作内容
保障结束后,开展总结工作,报告中将详细记录保障过程、全面记录运行数据、深入总结保障经验、总结重点突出数据和经验,协助完善应急响应机制及预案,针对发现的安全漏洞及不足,制定技术方案进行整改加固。可对以下方面进行展开总结,如:
网络安全体系的监测、防护和响应措施的功效;
网络攻击的监测预警能力;
已有网络安全防护措施是否能够阻止、对抗外部攻击;网络安全组织队伍的人员能力和协同能力;
网络安全运维管理、机制和流程的有效性;
网络安全应急响应的机制、流程、组织和资源保障。
工作成果
各类安全报告,以及总体的汇总报告,报告内容详细描述安全风险及风险修复建议。
对于攻防演练的及时总结,有助于回顾演练过程中参演单位的优点与不足,利于参演单位日常网络安全管理的改善以及演练方案的持续改进,形成良性循环。
攻防演练各阶段工作的全面总结报告,主要包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等内容,该总结报告应向有关单位汇报并归档以备后查。
对于在演练过程中还存在的脆弱点,参演单位应及时开展整改工作,以进一步提高目标系统的安全防护能力。
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
## 题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
737
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
