安全攻防實(shí)驗(yàn)室方案

1、四葉草安全攻防實(shí)驗(yàn)室目錄CONTENTS01、公司簡(jiǎn)介 Company profile02、需求分析Requirement analysis03、實(shí)驗(yàn)室介紹Laboratory introductions04、典型案例Typical cases05、聯(lián)系我們Contact us標(biāo)題0101公司簡(jiǎn)介企業(yè)介紹致力于幫助客戶解決安全隱患西安四葉草信息技術(shù)有限公司簡(jiǎn)稱“四葉草安全”創(chuàng)建于2012年，立足西安服務(wù)全國(guó)專注于為客戶提供網(wǎng)絡(luò)信息化安全服務(wù)致力于幫助用戶先于黑客發(fā)現(xiàn)并及時(shí)解決安全問(wèn)題國(guó)內(nèi)外安全檢測(cè)(監(jiān)測(cè))以及漏洞分析領(lǐng)域的領(lǐng)頭羊企業(yè)公司50%以上人員具有10年以上的網(wǎng)絡(luò)安全信息從業(yè)經(jīng)驗(yàn)研究領(lǐng)域

2、（Web安全、二進(jìn)制逆向分析、漏洞研究、移動(dòng)終端安全、工控安全、IoT安全、AI安全）成立至今，完成3100+個(gè)安全服務(wù)項(xiàng)目創(chuàng)始人西安四葉草信息技術(shù)有限公司創(chuàng)始人兼CEO馬坤頂級(jí)信息安全專家中國(guó)第一代“黑客”FST（火狐技術(shù)聯(lián)盟）發(fā)起人之一HUC（中國(guó)紅客聯(lián)盟）核心成員陜西省互聯(lián)網(wǎng)協(xié)會(huì)副秘書(shū)長(zhǎng)陜西省網(wǎng)絡(luò)信息安全協(xié)會(huì)副理事長(zhǎng)CSA全球云安全聯(lián)盟大中華區(qū)協(xié)調(diào)顧問(wèn) 對(duì)物聯(lián)網(wǎng)安全、云安全、大數(shù)據(jù)安全、AI安全等領(lǐng)域有極其深入的研究，并帶領(lǐng)旗下CloverSec實(shí)驗(yàn)室成員率先發(fā)現(xiàn)了蘋(píng)果公司的AirPlay協(xié)議認(rèn)證漏洞；挖掘過(guò)多個(gè)微軟、谷歌、Adobe、Java等知名企業(yè)的CVE級(jí)別漏洞，并獲得過(guò)多次官方

3、致謝。技術(shù)團(tuán)隊(duì)架構(gòu)產(chǎn)品研發(fā)團(tuán)隊(duì)分布式漏洞掃描框架BugScan漏洞插件社區(qū)感洞系列產(chǎn)品Hackhttp、DNSlog(已開(kāi)源)等安全工具安全研究院團(tuán)隊(duì)協(xié)議級(jí)漏洞分析研究底層內(nèi)核驅(qū)動(dòng)漏洞挖掘IoT智能硬件漏洞挖掘工控安全研究Web&滲透實(shí)戰(zhàn)型靶場(chǎng)實(shí)現(xiàn)與研究安全服務(wù)團(tuán)隊(duì)獨(dú)立完成過(guò)2100多個(gè)安全服務(wù)項(xiàng)目，累計(jì)數(shù)十萬(wàn)個(gè)目標(biāo)。產(chǎn)品應(yīng)用于安全服務(wù)安全服務(wù)中遇到問(wèn)題反饋到產(chǎn)品，積累的經(jīng)驗(yàn)整合到產(chǎn)品中安全研究院發(fā)現(xiàn)的安全問(wèn)題，擴(kuò)充到產(chǎn)品中安服中遇到的問(wèn)題又可以反饋給研究院，研究院攻關(guān)解決相輔相成產(chǎn)品研發(fā)、安全服務(wù)、CloverSec研究院三大塊，相輔相成互相扶助公司榮譽(yù)連續(xù)兩屆榮獲CNCERT支撐單位（省級(jí)

4、）連續(xù)兩屆榮獲CNVD成員單位連續(xù)兩屆榮獲SNCERT網(wǎng)絡(luò)安全信息通報(bào)成員單位國(guó)家信息安全漏洞庫(kù)（CNNVD）技術(shù)支撐單位第二屆絲綢之路（敦煌）國(guó)際文化博覽會(huì)技術(shù)支撐單位寧夏十九大網(wǎng)絡(luò)安全優(yōu)秀技術(shù)支持單位技術(shù)支撐單位2016貴陽(yáng)大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練“安全價(jià)值獎(jiǎng)”螞蟻金服企業(yè)安全聯(lián)合實(shí)驗(yàn)室成員連續(xù)四年阿里安全應(yīng)急響應(yīng)中心生態(tài)合作伙伴京東安全應(yīng)急響應(yīng)中心安全聯(lián)盟成員百度安全應(yīng)急響應(yīng)中心戰(zhàn)略合作伙伴聯(lián)想安全應(yīng)急響應(yīng)中心（LSRC）年度優(yōu)秀安全團(tuán)隊(duì)CNVD2016、2017年原創(chuàng)漏洞報(bào)送突出貢獻(xiàn)單位WISE 2016 年度最具影響力信息安全服務(wù)商獎(jiǎng)項(xiàng)第六屆陜西省互聯(lián)網(wǎng)大會(huì)戰(zhàn)略合作伙伴資質(zhì)&軟著企業(yè)

5、資質(zhì)知識(shí)產(chǎn)權(quán)高新技術(shù)企業(yè)證書(shū)AAA企業(yè)信用等級(jí)證書(shū)軟件企業(yè)證書(shū)通信網(wǎng)絡(luò)安全服務(wù)能力（風(fēng)險(xiǎn)評(píng)估一級(jí)）信息安全服務(wù)資質(zhì)（安全工程類一級(jí)）信息安全服務(wù)資質(zhì)（風(fēng)險(xiǎn)評(píng)估類一級(jí)）質(zhì)量管理體系認(rèn)證證書(shū)計(jì)算機(jī)安全專用產(chǎn)品銷售許可證技術(shù)貿(mào)易資格證應(yīng)急處理服務(wù)資質(zhì) BugScan分布式漏洞掃描軟件全時(shí)漏洞感知平臺(tái)主機(jī)弱點(diǎn)掃描平臺(tái)感洞風(fēng)險(xiǎn)感知平臺(tái)信息安全線上奪旗系統(tǒng)信息安全線下比賽系統(tǒng)V1.0網(wǎng)絡(luò)攻防平臺(tái)（CLS-ADP）安全采集數(shù)據(jù)分析軟件一種遠(yuǎn)程漏洞的檢測(cè)方法 標(biāo)題0202需求分析網(wǎng)絡(luò)安全形勢(shì)Facebook用戶數(shù)據(jù)泄漏上海醫(yī)保信息系統(tǒng)癱瘓近4小時(shí)！新加坡衛(wèi)生部醫(yī)療系統(tǒng)遭數(shù)據(jù)竊取“黑客”入侵快遞公司盜近億客戶信

6、息英特爾芯片漏洞美網(wǎng)絡(luò)空間作戰(zhàn)戰(zhàn)略- 2013年11月12日，中央國(guó)家安全委員會(huì)正式成立- 2014年02月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立- 提升到國(guó)家戰(zhàn)略高度重視網(wǎng)絡(luò)空間安全保障工作- 要有高素質(zhì)的網(wǎng)絡(luò)安全和信息化人才隊(duì)伍- 2015年12月，上海交大等5所高校獲批成為首批國(guó)家級(jí)網(wǎng)絡(luò)空間安全人才培養(yǎng)基地- 2016年2月，上海交大等29所高校獲批成為首批網(wǎng)絡(luò)空間安全一級(jí)科學(xué)博士學(xué)位授權(quán)點(diǎn)單位- 2016年6月，中網(wǎng)辦、發(fā)改委、教育部等六部門(mén)近日聯(lián)合印發(fā)關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見(jiàn)，要求加快網(wǎng)絡(luò)安全學(xué)科專業(yè)和院系建設(shè)，創(chuàng)新網(wǎng)絡(luò)安全人才培養(yǎng)機(jī)制，強(qiáng)化網(wǎng)絡(luò)安全師資隊(duì)伍建設(shè)，推

7、動(dòng)高等院校與行業(yè)企業(yè)合作育人、協(xié)同創(chuàng)新，完善網(wǎng)絡(luò)安全人才培養(yǎng)配套措施。沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全沒(méi)有信息化，就沒(méi)有現(xiàn)代化網(wǎng)絡(luò)安全成為國(guó)家戰(zhàn)略網(wǎng)絡(luò)安全人才需求規(guī)模2017年網(wǎng)絡(luò)安全人才的缺口已經(jīng)達(dá)到70萬(wàn)以上，缺口高達(dá)95%，而這種勢(shì)頭仍將持續(xù)。預(yù)計(jì)到2020年，相關(guān)人才的需求 會(huì)增長(zhǎng)到140萬(wàn)，并且還會(huì)以每年1.5萬(wàn)人的速度遞增?，F(xiàn)階段人才培養(yǎng)情況3000多所120所安全專業(yè)每個(gè)院校每年培養(yǎng) 約100人 一年約培養(yǎng)1-2萬(wàn)人10-20家多數(shù)都為 證書(shū)培訓(xùn)每年培養(yǎng)人數(shù)約1-2萬(wàn)人高等院校社會(huì)機(jī)構(gòu)網(wǎng)絡(luò)空間安全人才培養(yǎng)面臨挑戰(zhàn)網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力的較量。要以技術(shù)對(duì)技術(shù)，以

8、技術(shù)管技術(shù)，做到魔高一尺、道高一丈?！竟?jié)選自419講話】從攻擊者視角分析問(wèn)題，以防御者視角解決問(wèn)題，用實(shí)戰(zhàn)演練檢驗(yàn)效果。如何開(kāi)展網(wǎng)安人才培養(yǎng)建設(shè)一個(gè)專業(yè)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)室迫在眉睫。專業(yè)性難以保障實(shí)驗(yàn)室功能單一缺乏實(shí)踐網(wǎng)絡(luò)安全實(shí)驗(yàn)的場(chǎng)景太少，不能建立起完整的實(shí)踐課程。理論學(xué)習(xí)與實(shí)踐脫節(jié)，不能滿足培養(yǎng)信息安全專業(yè)人才的需求。 傳統(tǒng)培養(yǎng)方式無(wú)法滿足現(xiàn)有需要國(guó)家企事業(yè)個(gè)人職能部門(mén)部隊(duì)?wèi)?zhàn)略研究指揮控制企業(yè)院校民間網(wǎng)絡(luò)攻擊主動(dòng)防御安全咨詢安全開(kāi)發(fā)安全運(yùn)維技術(shù)研究安全工程全民安全意識(shí)考察選拔推薦競(jìng)賽征召安全戰(zhàn)略制定網(wǎng)絡(luò)作戰(zhàn)隊(duì)伍專家技術(shù)團(tuán)隊(duì)工程技術(shù)人才黑客白帽子人才培養(yǎng)專業(yè)分類人才評(píng)定人才使用網(wǎng)絡(luò)安全人才培養(yǎng)的

9、探索指定人才培養(yǎng)建設(shè)目標(biāo)“真實(shí)”場(chǎng)景的實(shí)戰(zhàn)訓(xùn)練配套的實(shí)踐課程靈活的實(shí)驗(yàn)?zāi)Ｊ桨踩シ兰夹g(shù)模擬科學(xué)的評(píng)價(jià)與考核機(jī)制實(shí)時(shí)更新的安全攻防素材標(biāo)題0303實(shí)驗(yàn)室介紹實(shí)驗(yàn)室模塊組成形成基于“理論體系-工具產(chǎn)品-事件案例-攻防實(shí)踐”知識(shí)鏈牽引的授課思路，以及“從攻擊者視角分析問(wèn)題，以防御者視角解決問(wèn)題，用實(shí)戰(zhàn)演練檢驗(yàn)效果”攻防角色互換 的技術(shù)研究思路。攻防兼?zhèn)涞膶?shí)戰(zhàn)型網(wǎng)安人才培養(yǎng)實(shí)踐設(shè)計(jì)理念網(wǎng)絡(luò)安全實(shí)踐教育閉環(huán)攻防兼?zhèn)鋵哟渭軜?gòu)場(chǎng)景為基礎(chǔ)的網(wǎng)絡(luò)安全人才培養(yǎng)框架攻防實(shí)訓(xùn)云攻防教學(xué)安全實(shí)訓(xùn)安全基礎(chǔ)安全工具密碼安全社會(huì)工程逆向分析漏洞挖掘安全運(yùn)維基于虛擬化平臺(tái)實(shí)驗(yàn)調(diào)度云主機(jī)管理課程管理路由交換虛擬換管理用戶管理AP

10、I單兵作訓(xùn)Web逆向Pwn取證加密解密信息隱匿MISC攻防業(yè)務(wù)安全基礎(chǔ)學(xué)習(xí)Web安全代碼審計(jì)滲透測(cè)試內(nèi)網(wǎng)滲透逆向分析漏洞挖掘安全運(yùn)維漏洞場(chǎng)景SQL注入XSS漏洞CSRF弱配置文件上傳框架注入命令執(zhí)行代碼注入未授權(quán)代碼執(zhí)行弱口令XXE注入信息泄露文件下載關(guān)鍵技術(shù)支持大規(guī)模并發(fā)訪問(wèn)的攻防平臺(tái)技術(shù)網(wǎng)絡(luò)靶場(chǎng)設(shè)計(jì)與構(gòu)建技術(shù)遠(yuǎn)程網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)交互協(xié)作技術(shù)支持大規(guī)模網(wǎng)絡(luò)環(huán)境仿真建模和虛擬應(yīng)用技術(shù)實(shí)驗(yàn)管理設(shè)備管理用戶管理攻防考核安全意識(shí)無(wú)線安全密碼安全密碼安全無(wú)線安全物聯(lián)網(wǎng)業(yè)務(wù)安全安全實(shí)驗(yàn)GetShell漏洞利用攻防技巧弱配置文件上傳框架注入常見(jiàn)命令代碼注入未授權(quán)代碼執(zhí)行漏洞探測(cè)XXE注入業(yè)務(wù)安全文件下載Web

11、安全代碼審計(jì)滲透測(cè)試內(nèi)網(wǎng)滲透移動(dòng)安全移動(dòng)安全漏洞利用漏洞挖掘競(jìng)賽單兵演練紅藍(lán)對(duì)抗團(tuán)隊(duì)攻防仿真開(kāi)發(fā)業(yè)務(wù)漏洞復(fù)現(xiàn)風(fēng)險(xiǎn)場(chǎng)景復(fù)盤(pán)APT業(yè)務(wù)漏洞風(fēng)險(xiǎn)系統(tǒng)攻防平臺(tái)平臺(tái)架構(gòu)定制化的培養(yǎng)方案體系化的培養(yǎng)過(guò)程完善的人才培養(yǎng)體系豐富的培訓(xùn)教學(xué)資源多層次安全實(shí)操 以安全實(shí)訓(xùn)專題的學(xué)習(xí)為主，實(shí)現(xiàn)學(xué)習(xí)+實(shí)踐相結(jié)合的模式，強(qiáng)化學(xué)員實(shí)際操作能力安全實(shí)驗(yàn)從實(shí)踐切入，依靠交互性、操作性更強(qiáng)的課程，理論學(xué)習(xí)+動(dòng)手實(shí)踐共同激發(fā)創(chuàng)造力。漏洞場(chǎng)景漏洞場(chǎng)景實(shí)戰(zhàn)教學(xué)業(yè)務(wù)場(chǎng)景APT場(chǎng)景漏洞場(chǎng)景典型攻擊場(chǎng)景漏洞場(chǎng)景實(shí)戰(zhàn)教學(xué)定制化考核多維度攻防競(jìng)賽多維度攻防競(jìng)賽單兵作戰(zhàn)團(tuán)隊(duì)攻防紅藍(lán)對(duì)抗管理后臺(tái)自定義拓?fù)浒袌?chǎng)是承載和生成場(chǎng)景的基礎(chǔ)條件實(shí)訓(xùn)云平臺(tái)獨(dú)

12、有特色-最接近真實(shí)互聯(lián)網(wǎng)環(huán)境的網(wǎng)絡(luò)攻防場(chǎng)景網(wǎng)絡(luò)區(qū)域設(shè)定模擬業(yè)務(wù)劃分網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)場(chǎng)景選取源于真實(shí)互 聯(lián)網(wǎng)環(huán)境網(wǎng)絡(luò)拓?fù)涑橄蠖ㄎ魂P(guān)鍵網(wǎng) 絡(luò)節(jié)點(diǎn)攻防題目設(shè)計(jì)立足攻防實(shí)戰(zhàn) 經(jīng)驗(yàn)擁護(hù)最接近實(shí)戰(zhàn)的攻防環(huán)境完善的網(wǎng)絡(luò)安全培訓(xùn)體系豐富的CTF出題經(jīng)驗(yàn)與題目環(huán)境可構(gòu)建符合業(yè)務(wù)需求的仿真環(huán)境+環(huán)境來(lái)自BugScan社區(qū)的漏洞插件環(huán)境來(lái)自安全服務(wù)團(tuán)隊(duì)的滲透經(jīng)驗(yàn)成功舉辦歷屆攻防比賽平臺(tái)基本包括出現(xiàn)過(guò)的CTF的題目環(huán)境平臺(tái)集成網(wǎng)絡(luò)安全各方面的培訓(xùn)平臺(tái)集成最新漏洞的實(shí)際分析與漏洞教學(xué)復(fù)雜網(wǎng)絡(luò)拓?fù)洵h(huán)境復(fù)雜網(wǎng)絡(luò)業(yè)務(wù)仿真10年滲透測(cè)試經(jīng)驗(yàn)7000+的漏洞素材100+課時(shí)的網(wǎng)絡(luò)安全培訓(xùn)教程100+的漏洞分析實(shí)際案例剖析10+攻防大

13、賽的決賽環(huán)境20+各類業(yè)務(wù)系統(tǒng)仿真實(shí)驗(yàn)室優(yōu)勢(shì)核心價(jià)值符合發(fā)展趨勢(shì)要求提升安全研究能力提升用戶應(yīng)急響應(yīng)能力提升成本效益標(biāo)題0404典型案例攻防平臺(tái)典型案例-陜西電信 攻防平臺(tái)通過(guò)網(wǎng)絡(luò)安全基礎(chǔ)學(xué)習(xí)、網(wǎng)絡(luò)安全培訓(xùn)、漏洞復(fù)現(xiàn)教程和攻防實(shí)戰(zhàn)等全方位一體化的學(xué)習(xí)模式，采用“學(xué)”、“練”、“補(bǔ)”、“戰(zhàn)”的模式提高網(wǎng)絡(luò)攻防技能，結(jié)合對(duì)標(biāo)靶場(chǎng)的構(gòu)建，從而增強(qiáng)防御能力與預(yù)警能力，威脅識(shí)別與應(yīng)急能力。提升安全攻防實(shí)戰(zhàn)、漏洞挖掘、應(yīng)急響應(yīng)實(shí)操能力水平以賽代訓(xùn)，以賽促訓(xùn)，提供支撐陜西公司整體網(wǎng)絡(luò)安全梯隊(duì)人才的硬件基礎(chǔ)針對(duì)性的應(yīng)急響應(yīng)演練，有效提升應(yīng)對(duì)處置重大事件的能力水平攻防平臺(tái)典型案例-蘇州移動(dòng) 由四葉草安全構(gòu)建的網(wǎng)

14、絡(luò)攻防平臺(tái)（CLS-ADP）通過(guò)網(wǎng)絡(luò)安全基礎(chǔ)學(xué)習(xí)，網(wǎng)絡(luò)安全培訓(xùn)，CTF（奪旗比賽/紅藍(lán)對(duì)抗賽），漏洞復(fù)現(xiàn)教程，攻防實(shí)戰(zhàn)等全方位一體化的學(xué)習(xí)模式，采用“學(xué)”、“練”、“補(bǔ)”、“戰(zhàn)”的模式提高網(wǎng)絡(luò)攻防技能。該平臺(tái)為用戶的相關(guān)人員建立一個(gè)完整的安全知識(shí)體系和一個(gè)完善的安全必備技能表。攻防平臺(tái)典型案例-福建移動(dòng) 四葉草安全攻防平臺(tái)主要為用戶提供安全基礎(chǔ)學(xué)習(xí)、網(wǎng)絡(luò)安全培訓(xùn)、漏洞學(xué)習(xí)教程、CTF實(shí)戰(zhàn)練習(xí)和沙盒演練環(huán)境。為用戶量身打造一套培訓(xùn)攻防演練一體化的學(xué)習(xí)平臺(tái)。培訓(xùn)課程、漏洞教程、CTF題庫(kù)、攻防靶場(chǎng)環(huán)境可根據(jù)用戶需求具體定制。第一屆SSCTF寧夏網(wǎng)絡(luò)技能挑戰(zhàn)賽“華山杯”網(wǎng)絡(luò)安全技能大賽陜西省網(wǎng)絡(luò)空間

15、技能大賽第二屆SSCTF北京4.29網(wǎng)絡(luò)攻防大賽新疆克拉瑪依“絲綢之路”杯網(wǎng)絡(luò)安全精英賽中國(guó)移動(dòng)蘇州網(wǎng)絡(luò)安全運(yùn)維技能大賽第三屆SSCTF寧夏新潮杯網(wǎng)絡(luò)攻防競(jìng)賽基于平臺(tái)的競(jìng)賽服務(wù)案例分享支持完成CTF比賽規(guī)模說(shuō)明2014年11月第一屆SSCTF線上500多人次，線下30人分線上線下2014年11月寧夏網(wǎng)絡(luò)技能挑戰(zhàn)賽線下30人線下比賽2015年11月“華山杯”網(wǎng)絡(luò)技能挑戰(zhàn)賽線上800多人次，線下30人分線上線下2015年12月陜西省網(wǎng)絡(luò)空間技能挑戰(zhàn)賽線下30人線下比賽2016年2月第二屆SSCTF線上8000多人，線下30人分線上線下2016年4月29日首都網(wǎng)絡(luò)安全日攻防比賽線上賽選300人，線下30人分線上線下2016年7月新疆克拉瑪依“絲綢之路”杯網(wǎng)絡(luò)技能邀請(qǐng)賽線下30人線下邀請(qǐng)賽2016年8月中國(guó)移動(dòng)蘇州總部網(wǎng)絡(luò)攻防比賽線下60人線下比賽2017年廈門(mén)航空攻防演練比賽線下30人線下比賽2017年寧夏公安廳新潮杯攻防競(jìng)賽線上300多人次，線下45人線上線下攻防競(jìng)賽規(guī)模 在2018年4月25日至4月26日，西北五省通信行業(yè)網(wǎng)絡(luò)安全攻防技術(shù)聯(lián)賽在西安舉行，四葉草安全作為本次比賽獨(dú)家技術(shù)支撐。2018西北五省通信行業(yè)網(wǎng)絡(luò)安全攻防技術(shù)聯(lián)賽 在2018 年 4 月 23 日，由陜西省委網(wǎng)信辦、陜西省公安廳指導(dǎo)，陜西省信息網(wǎng)絡(luò)安全協(xié)會(huì)主辦，西安四葉草信息技術(shù)有限公司（簡(jiǎn)稱：四葉草安全）作為