护网行动规则
攻击靶标由各单位自报或公安部指定,公安部一般提前3 周通知各单位参演靶标,以及攻击的起始时间与结束时间,各单位可在期间进行防御准备。
红蓝对抗
红蓝对抗 红队 蓝队
人员组成 由公安部组织包括:
国家信息安全队伍、军队
科研机构
测评机构
安全公司 等共几十支队。 由护网单位自行组织
安全专家进行针对性防御。
人员组织 3-5 人一组,
每组对一个目标进行攻击。 护网单位运维人员
护网单位项目组成员
安全厂商安全工程师
攻击方式
防守方式 不限攻击方式,
但攻击过程受到监控。 不限防御方式,监控全网的攻击。
及时发现并处置,避免内部系统被攻陷。
指挥部拟对攻防双方进行评分考核。对防守方评分的总体原则是:
根据安全防护能力强弱对防守方进行排名;
初始分5000 分; 目标系统被拿下不参加排名,即护网失败;
攻击方提交报告1 小时内, 防守方发现来自攻击方的行为并上报,将不扣分;
主要考核参演单位监测发现能力、应急处置能力与公安机关配合能力。
防守方减分规则
获取权限类:
防守方加分规则
防守方避免减分技巧
技巧
非所属资产必须上诉;(合作企业资产带有单位名称/logo,不再负责运营管理的资产等)。
被判别为敏感数据但非数据库泄露的扣分项选择性上诉;
被判别为内网资产的扣分项,要求提供证明是我方资产;
要点:
态度严谨
无确凿证据,拒不承认
防守方主动得分技巧
技巧
关注文件沙箱的告警日志,分析业务系统/邮箱流量获取的恶意样本;
关注高危漏洞告警,如注入、命令执行、反序列化,系统提取等漏洞。
要点:
严格按照标准,提供充足证明
防守方实用提示
IP 封禁是简单有效的防护方式;
内网资产监测与防护极为重要;
遇到国外地址进行攻击一律封禁,虽无法得分但具有真实防护效果;
沙箱设备能覆盖木马攻击和邮件攻击,建议设置专人专职进行样本分析;
提交报告需包含关键内容:源IP,事件类型,流量分析(全流量),有样本需附上样本及分析报告,切忌只截设备告警图;
建立快速沟通渠道,避免耽误上报时间;
护网行动工作