什么是网络安全攻防演练?
网络攻防演练是新形势下网络安全保障工作的重要组成部分,演练通常是以实际运行的信息系统为保障目标(靶标),在保障业务系统稳定运行的前提下,在既定规则内,采用“不限攻击路径,不限攻击手段”,贴合实战的方式尽可能模拟真实的网络攻击,以此来校验信息系统实际安全性和运维保障实际有效性,提高网络安全的综合防控能力。
参与网络安全攻防演练的团队一般有三个:
• 红队: 攻击队,通过模拟攻击实现系统提权,控制业务获取数据等,以及发现系统的薄弱环节。通过这些攻击性的实验来综合提升系统安全性。
• 蓝队: 防守队,一般是以参演单位的网络防护体系为基础,在演练期间组成的防守队伍。
• 紫队 :组织方,作为攻防演练活动的组织者,负责活动过程的监控指导及应急保障等工作,并在最后做出演练总结,提出优化建议。
8 种常见的红队攻击方式
自 2016 年我国发布网络空间发展战略,并推行开展全国性的网络攻防实战演练以来,攻防实战中,红队采用的攻击方式随着网络技术的发展而不断升级,这个过程大体可以分为 2 个阶段: 
当然,每个阶段、每种攻击方式并不是完全独立的,攻击者为了达到攻击目的,经常会混合利用多种攻击方式。
举个简单例子,如下图所示,整个攻击链包含多个不同阶段和不同攻击手法。
我们可以以攻击者入侵目标系统所凭借的手法,将常见的红队攻击划分为以下 8 种类型:
• 互联网边界渗透。 几乎所有企业都有部分开放于互联网的设备或系统,比如邮件、官网等。红队会以这些设备或系统的开放性特点,将其作为入侵的切入点。
• 通用产品组件漏洞利用。 信息化产品虽然提高了企业的运行效率,但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就经常通过利用产品组件的漏洞来达成攻击目标,比如:OA 漏洞、中间件漏洞、数据库漏洞等。
• 0day 攻击。 在攻防演练中,0day 攻击已成为常态,由于 0day 漏洞能够穿透现有基于规则的防护技术,被视为红队最为有效的手段之一。2021 年演习期间,红队不断爆出各类 0day 漏洞,这些漏洞大部分和暴露在互联网上的 Web 应用相关,直接威胁到核心系统的安全。
• 弱密码。 除了系统、应用等漏洞以外,红队还会探测目标企业在人员和管理上的漏洞,最典型的方法就是弱密码,包括弱强度密码、默认密码、通用密码、已泄露密码等不同类型。在攻防演练中,红队通过弱密码获得访问权限的比例高达 90%。
• 供应链攻击。 这是一种典型的迂回攻击方式。攻击者将目光聚集在目标企业的上下游供应商,比如 IT 供应商、安全供应商等,从这些上下游企业中找到软件或系统、管理上的漏洞,进而攻进目标企业内部。
• 相关单位攻击。 这个方法与供应链攻击类似,都是采用迂回战术。一般来说,参与演练的企业总部的安全防护比较严格,很难正面攻破,而其下属单位的防护相比之下则弱很多。此外,一个集团内部各个分公司之间的内网的隔离并不彻底,很容易从一个公司的内网,进入同一集团下另一个公司的内网。
• 多点潜伏。 攻防演练中,红队为避免在短时间内被发现、查杀,通常会在多个据点开展渗透工作,比如采取不同的 Webshell、利用不同的后门和协议建立不同特征的据点。这种情况下,如果目标企业的安全人员不对告警设备做完整的攻击链梳理,而只是处理告警 IP 的服务器,那么他们就无法将所有攻击点及时清除。
• 社工钓鱼。 社工钓鱼在实战中的应用越来越广泛。红队会从人的角度下手,给相应的员工、外包人员发钓鱼邮件,搭建钓鱼用的 WiFi 热点,插 U 盘、植入木马等等。
面对以上逐渐自动化、武器化的红队攻击,很多企业的防护依旧以老式的“人海战术”为主,不管对方用什么高科技,都用“堆人头”的方案来解决,他们深信只要自己人足够多,对方就没法轻易攻进来。但这种方式人力成本高、负荷大,难以常态化、持续化,对提高企业安全防护能力没有任何借鉴意义,因此并不可取。
要想实现更高效的防护,从“人防”转变为“技防”是企业的必然选择。蓝队要根据红队攻击手段的进步,而不断从技术角度更新防护手段,提升自动化水平,实现在攻防演练和平时的安全防护过程中,都能让防守不再被动、响应不再滞后,兼顾安全防护水平与效率。
如何搭建有效的蓝队安全技术体系?
那么,蓝队如何实现“人海战术”到“高精尖”技术型防护的转变呢?这需要基于 Gartner 自适应保护模型构建覆盖预测(P)、防御(P)、检测(D)、响应(R)四个阶段的 PDCA 安全防御闭环,将“应急响应式”的被动防御转变为覆盖“事前+事中+事后”全链路的主动防御,以期达到纵深防御的安全效果。
PPDR 自适应攻击保护架构四个阶段分别要求蓝队具备以下能力:
• 预测:资产清点、安全评估、威胁建模、安全基线
• 防御:风险发现、安全加固、安全培训
• 检测:入侵检测、调查确认
• 响应:响应处置、策略优化
作为防守方最后的“底牌”,青藤在网络安全攻防实战领域有多年的服务经验,并通过 3 个阶段+5 个服务+6 个产品,形成了一套完整的基于预测、防御、检测、响应自适应安全架构的攻防演练防御体系,保证了安全防护有效、及时。
针对攻防演练的事前、事中、事后三个阶段,青藤结合产品+服务将具体防护工作分为:
• 事前准备工作——资产梳理、脆弱性评估整改、漏洞无效化实施、东西向流量控制;
• 事中值守工作——攻击队入侵监控、攻击告警研判、攻击事件调查、内存马攻击监控、文件完整性监控、0day 攻击专项防护;
• 事后演练后续——平战能力积累与传递、落地安全运营标准化、自动化、实战化。
青藤这一攻防演练保障体系与基于 Gartner 自适应保护模型的 PDCA 安全防御闭环完全契合,覆盖了预测(P)、防御(P)、检测(D)、响应(R)的全流程。
1、预测阶段,及早消除安全隐患
资产清点: 通过青藤万相进行细粒度的资产清点,摸清企业组织的网络安全架构及具体各种资产的情况,全面了解网络边界到靶标系统的所有路径。
安全评估: 利用渗透测试、红队评估等手段,发现和评估信息系统原有的脆弱性,预测攻击者可能采取的攻击方式。
威胁建模: 基于用户环境,通过青藤猎鹰对核心数据系统、业务系统、权限控制系统迅速构建精确的威胁检测模型,形成安全基线,并对主机层面的细粒度数据进行实时监控、体检,主动捕获异常行为,提前发现问题。
2、防御阶段,加固原有系统提升防御能力
风险发现: 在资产细粒度清点的基础上,持续、全面、透彻地发现潜在风险及安全薄弱点,包括弱密码、安全补丁、应用风险等。
安全加固: 通过补丁升级、策略优化、部署安全设备等手段,将风险降到最低,并增强对威胁的可见、可防、可溯源等综合能力。
安全培训: 从安全技术和意识等方面提高技术人员处置能力以及全员安全意识,最大程度限制红队通过网络钓鱼等非技术性攻击的成功率。
3、检测阶段,威胁狩猎确定入侵行为是否存在
入侵检测: 基于青藤万相对攻击路径的每个节点都进行监控,实时发现失陷主机,并对入侵行为进行告警。
调查确认: 根据所收集的情报数据,通过青藤猎鹰,采用相关技术和工具来分析不同来源的数据,确认系统中是否存在威胁。
在攻防演练实际场景中,青藤还会提供网络攻防经验丰富的蓝队专家现场服务,全程参与并提供安全态势监控、威胁情报值守、安全大数据分析、威胁主动诱捕等服务支撑,保障演练的防守效果。
4、响应阶段,修复或变更防御策略
响应处置: 确认攻击路径后,基于青藤万相、猎鹰等产品可对攻击快速及时地进行响应处置,遏制攻击的影响范围,并消除攻击发生的所有要素,确保攻击者无法进一步攻击。
整改提升: 全面复盘在演练中暴露的脆弱点,并根据需求升级防护策略,以进一步提高目标系统的安全防护能力,为下一步安全建设规划提供必要的支撑。
正如前文所述,攻防演练的最终目的是帮助企业组织了解自身的安全能力,并能够有针对性地进行提升,减少被攻击的可能性,最大程度地保障企业网络安全。
零基础网络安全学习计划
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
【一一帮助网络安全学习,以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
扫一扫
2304
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
