網(wǎng)絡(luò)安全紅藍(lán)攻防演習(xí)實(shí)施方案v1

網(wǎng)絡(luò)安全攻防演練實(shí)施方案2023年目錄一.3工作背景 3網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演工作目標(biāo) 3二.4三.網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練流程 4準(zhǔn)備階段 4活動(dòng)準(zhǔn)備 4組建工作組 4資源準(zhǔn)備或確認(rèn) 5演練階段 5....................................................................................................................................................................5活動(dòng)啟動(dòng)會(huì) 5攻防演練實(shí)施 5產(chǎn)出文檔 6復(fù)盤階段 6收尾階段 6資源回收 6系統(tǒng)清理 6整改加固 6四.攻擊手段及常用工具說明 6典型攻擊流程 6攻擊工具 7五.附件（攻擊成果報(bào)告模板、防守成果報(bào)告模板） 8附件1：攻擊成果報(bào)-8附件2：防守成果報(bào)-10一. 項(xiàng)目概述工作背景90%40APT攻擊者的博弈過程中占得先機(jī)。攻防演練，指在專業(yè)的安全人員在既定的網(wǎng)絡(luò)及應(yīng)用環(huán)境中進(jìn)行模擬入侵及防御的一類演練活動(dòng)形式。參與者可以通過模擬的演練場(chǎng)景親身參與到安全事件攻防之中，進(jìn)而充分了解安全事件中攻、防雙方的思路及實(shí)踐方法。此次xxxx202x單位信息系統(tǒng)進(jìn)行實(shí)戰(zhàn)攻防演練。網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演工作目標(biāo)此次網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練計(jì)劃完成以下目標(biāo)：1.發(fā)現(xiàn)并消除安全威脅漏洞的加固和不斷優(yōu)化調(diào)整策略，提高系統(tǒng)整體安全水平和防御能力。完善安全事件應(yīng)急機(jī)制處理機(jī)制的不足或缺陷。全面提高技術(shù)人員安全技能水平攻防演練對(duì)于技術(shù)人員的安全水平提升是全面的。不僅包括攻擊技術(shù)分析，臨時(shí)防御措施，日志分析及事件識(shí)別等。二. 演習(xí)時(shí)間安排演練時(shí)間202x202x年 xx_月 xx_日_xx 時(shí)至202x年 xx_月 xx_日xx時(shí)演練單位 xxx單位 演練地點(diǎn) xxxxxx 三. 網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練流程準(zhǔn)備階段活動(dòng)準(zhǔn)備xxxx單位信息保障中心負(fù)責(zé)確定攻防演練接口人，組建攻擊隊(duì)伍，確定參參演人員名單并提供網(wǎng)絡(luò)環(huán)境等必要前置條件。組建工作組本次網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練工作組架構(gòu)如下圖：應(yīng)急演練活動(dòng)專家組應(yīng)急演練活動(dòng)專家組攻防演練技術(shù)組應(yīng)急保障組紅方（攻擊隊(duì)）藍(lán)方（防守隊(duì)）攻防演練活動(dòng)專家組由xxxx單位信息保障中心工作人員組成，職責(zé)如下：審核整體方案，確認(rèn)組織架構(gòu)，統(tǒng)籌協(xié)調(diào)并推進(jìn)演習(xí)工作開展，召開啟動(dòng)會(huì)，并對(duì)整體風(fēng)險(xiǎn)進(jìn)行管控；對(duì)方案及攻防過程進(jìn)行整體把控，并對(duì)演練過程中可能產(chǎn)生的問題進(jìn)行技術(shù)研判。紅方（攻擊隊(duì)）由2名安全服務(wù)提供商技術(shù)人員組成，職責(zé)如下：負(fù)責(zé)對(duì)演習(xí)目標(biāo)實(shí)施攻擊，并對(duì)攻擊結(jié)果進(jìn)行提交和最終復(fù)盤。藍(lán)方（防守隊(duì)）由參演單位安全團(tuán)隊(duì)人員及安全服務(wù)提供商技術(shù)人員組成，職責(zé)如下：體系進(jìn)行有效性評(píng)估，在正式演練中調(diào)整防護(hù)策略，評(píng)估防守效果、遏制攻擊行為等。應(yīng)急保障組由xxxx單位信息保障中心工作人員組成，職責(zé)如下：負(fù)責(zé)對(duì)演習(xí)過程中突發(fā)事件做應(yīng)急處理，確保演練工作順利進(jìn)行。資源準(zhǔn)備或確認(rèn)在攻防演練正式開始前需要落實(shí)以下資源：確定攻防演練期間的攻擊人員、防守人員清單確定攻擊目標(biāo)資產(chǎn)清單和靶標(biāo)在攻防演練期間攻擊人員的工作場(chǎng)地和網(wǎng)絡(luò)接入確定攻擊目標(biāo)已完成數(shù)據(jù)備份和恢復(fù)有效性測(cè)試演練階段活動(dòng)啟動(dòng)會(huì)根據(jù)實(shí)施方案進(jìn)行實(shí)施。攻防演練實(shí)施（擊成果報(bào)告模板見附件1，裁判通過對(duì)攻擊成果進(jìn)行研判確認(rèn)。由本活動(dòng)專家組擔(dān)任裁判，針對(duì)攻擊方提交的攻擊成果進(jìn)行有效的判斷和評(píng)分。防守隊(duì)針對(duì)本單位信息系統(tǒng)進(jìn)行實(shí)施監(jiān)控，并通過對(duì)安全感知設(shè)備和安全防（防守成果報(bào)告模板見附件2時(shí)間安排，以免影響業(yè)務(wù)正常運(yùn)行。產(chǎn)出文檔（多份）《防守成果報(bào)告》復(fù)盤階段出后續(xù)整改建議。收尾階段資源回收攻防演習(xí)結(jié)束后，工作組和對(duì)選手使用電腦、綁定IP、賬號(hào)、帶寬等資源進(jìn)行回收登記。系統(tǒng)清理防守方可根據(jù)攻擊方提交的攻擊成果匯總報(bào)告和攻擊操作記錄，刪除演練期間攻擊方遺留的文件、數(shù)據(jù)及賬戶，攻擊方應(yīng)協(xié)助清理痕跡。整改加固防守方對(duì)攻防演練期間發(fā)現(xiàn)的系統(tǒng)漏洞、安全策略、管理漏洞等問題進(jìn)行整改加固，攻擊方協(xié)助防守方做相應(yīng)的整改；在防守方將發(fā)現(xiàn)的問題整改完畢后，攻擊方對(duì)發(fā)現(xiàn)的問題進(jìn)行復(fù)測(cè)。四. 攻擊手段及常用工具說明典型攻擊流程信息收集對(duì)測(cè)試范圍內(nèi)的目標(biāo)，收集設(shè)備的廠商、開放的端口、操作系統(tǒng)類對(duì)測(cè)試范圍內(nèi)的目標(biāo)，收集設(shè)備的廠商、開放的端口、操作系統(tǒng)類IP、中間件、指紋等信息。使用谷歌搜索及其他各種方法來獲取目標(biāo)系統(tǒng)數(shù)據(jù)。使用網(wǎng)頁源代碼分析技術(shù)獲取有關(guān)系統(tǒng)，軟件和插件版本等其他更多信息。發(fā)現(xiàn)漏洞web種輸入傳遞給應(yīng)用程序并記錄響應(yīng)。發(fā)現(xiàn)其中存在的漏洞。識(shí)別入口點(diǎn)以SQLI、XSS、CSRF、SSRF命令執(zhí)行、文件上傳、目錄遍歷、弱口令、越權(quán)訪問、功能缺陷等。獲取權(quán)限在確定漏洞后，測(cè)試人員將利用這些漏洞，以獲得對(duì)目標(biāo)的訪問權(quán)限。在確定漏洞后，測(cè)試人員將利用這些漏洞，以獲得對(duì)目標(biāo)的訪問權(quán)限。請(qǐng)注意，并非所有漏洞都會(huì)引導(dǎo)測(cè)試人員進(jìn)入此階段。測(cè)試人員需要擁有足夠可利用的內(nèi)容，才能最終獲取對(duì)目標(biāo)的訪問權(quán)限。在獲取權(quán)限之后，測(cè)試人員將在內(nèi)網(wǎng)獲得一個(gè)立足點(diǎn)，測(cè)試人員將利用該立足點(diǎn)作為跳板持續(xù)向內(nèi)網(wǎng)其他服務(wù)器和區(qū)域進(jìn)行滲透。并反復(fù)重復(fù)信息收集、發(fā)現(xiàn)漏洞、獲取權(quán)限、橫向移動(dòng)的過程。在獲取權(quán)限之后，測(cè)試人員將在內(nèi)網(wǎng)獲得一個(gè)立足點(diǎn)，測(cè)試人員將利用該立足點(diǎn)作為跳板持續(xù)向內(nèi)網(wǎng)其他服務(wù)器和區(qū)域進(jìn)行滲透。并反復(fù)重復(fù)信息收集、發(fā)現(xiàn)漏洞、獲取權(quán)限、橫向移動(dòng)的過程。分析報(bào)告滲透測(cè)試人員將編寫滲透測(cè)試報(bào)告，詳細(xì)說明測(cè)試范圍內(nèi)的被測(cè)系統(tǒng)存在的安全風(fēng)險(xiǎn)、漏洞危害、影響范圍。同時(shí)安全人員會(huì)對(duì)報(bào)告中的漏洞進(jìn)滲透測(cè)試人員將編寫滲透測(cè)試報(bào)告，詳細(xì)說明測(cè)試范圍內(nèi)的被測(cè)系統(tǒng)存在的安全風(fēng)險(xiǎn)、漏洞危害、影響范圍。同時(shí)安全人員會(huì)對(duì)報(bào)告中的漏洞進(jìn)行分析，并給出修復(fù)建議。攻擊工具清單：漏洞安全檢測(cè)平臺(tái)漏洞安全檢測(cè)平臺(tái)可作為行業(yè)監(jiān)管部門的監(jiān)督檢查工具，快速摸排資產(chǎn)、精準(zhǔn)定位風(fēng)險(xiǎn)隱患。平臺(tái)采用模擬人工方式對(duì)漏洞進(jìn)行分析，整個(gè)過程不需要使用者參與，自動(dòng)對(duì)漏洞進(jìn)行驗(yàn)證、判斷、最后生成包含漏洞驗(yàn)證成果的檢測(cè)報(bào)告。2.GOBYGoby是一款新的網(wǎng)絡(luò)安全測(cè)試工具，由國(guó)內(nèi)知名安全團(tuán)隊(duì)Zwell（Pangolin、JSky、FOFA作者）打造，它能夠針對(duì)一個(gè)目標(biāo)企業(yè)梳理最全的攻擊面信息，同時(shí)能進(jìn)行高效、實(shí)戰(zhàn)化漏洞掃描，并快速地從一個(gè)驗(yàn)證入口點(diǎn)，切換到橫向。3.IBMSecurityAppScanIBMSecurityAppScanWEB4.MetaspoiltMetaspoilt載”，即在目標(biāo)計(jì)算機(jī)上執(zhí)行操作的代碼，從而為滲透測(cè)試創(chuàng)建完美的框架。IDSGUIAppleMacOSXLinuxMicrosoftWindows5.BurpsuiteBurp（具有有限的攻擊工具候，安全測(cè)試人員用它作為中間人來攔截和回放請(qǐng)求數(shù)據(jù)包。五.附件（攻擊成果報(bào)告模板、防守成果報(bào)告模板）-模版一、基本信息隱患名稱一、基本信息隱患名稱*填寫風(fēng)險(xiǎn)隱患名稱隱患類型*HTTPStruts漏洞、源碼泄漏、內(nèi)網(wǎng)地址泄漏、未加密登錄請(qǐng)求、敏感信息泄漏、緩沖區(qū)溢出、權(quán)限許可和訪問控制、輸入驗(yàn)證、源碼管理錯(cuò)誤、代碼注入、跨站請(qǐng)求偽造、路徑遍歷、數(shù)字錯(cuò)誤、加密問題、信任管理、授權(quán)管理、操作系統(tǒng)入侵事件、智能硬件、解析漏洞、命令執(zhí)行、配置文件泄露、其他。單位名稱*填寫存在安全隱患單位全稱歸屬系統(tǒng)名稱*填寫存在安全隱患系統(tǒng)名稱系統(tǒng)域名/IP（端口）*填寫系統(tǒng)域名/IP網(wǎng)絡(luò)性質(zhì)*填寫系統(tǒng)網(wǎng)絡(luò)性質(zhì)（互聯(lián)網(wǎng)/內(nèi)部網(wǎng)絡(luò)）二、滲透過程/路徑說明及分析（主要是指滲透過程和策略）滲透策略及過程簡(jiǎn)述該單位在網(wǎng)絡(luò)安全方面存在的問題

*簡(jiǎn)述最終獲取目標(biāo)風(fēng)險(xiǎn)的整個(gè)滲透策略及過程。如：1.滲透策略通過前期工作中，掌握的目標(biāo)信息，簡(jiǎn)述前期獲取的目標(biāo)信息配套滲透策略。滲透過程及成果描述XXXXXXXXXXXXX*必要過程及成果應(yīng)當(dāng)附截圖佐證。*根據(jù)滲透成果，逐條簡(jiǎn)述目前該單位在網(wǎng)絡(luò)安全防護(hù)方面存在的不足。三、隱患詳細(xì)信息及建議隱患URL *填寫風(fēng)險(xiǎn)隱患詳細(xì)URL路徑*（漏洞進(jìn)行截圖證明。重點(diǎn)注意：提交的漏洞證明，需重點(diǎn)包含以下幾項(xiàng)內(nèi)容：事件證明存在風(fēng)險(xiǎn)隱患的詳細(xì)地址；payload（如果是弱口令需提供密碼）；漏洞利用及滲透的完整過程（每一步都需搭配對(duì)應(yīng)截圖）；漏洞造成的真實(shí)影響證明*不能單純描述通用漏洞影響。而是需要通過對(duì)發(fā)現(xiàn)漏洞進(jìn)行安全、合理利用后，全面評(píng)估安全風(fēng)險(xiǎn)可造成數(shù)據(jù)泄露（哪些數(shù)據(jù)、數(shù)據(jù)量多大）/破壞（破壞面有多大）/社會(huì)影響（一旦該系統(tǒng)遭受破壞，可能會(huì)給社會(huì)帶影響分析 來的影響）等維度，進(jìn)行客觀評(píng)價(jià)。如：通過該sql注入漏洞，可直接獲取下載XX單位XX數(shù)據(jù)XX條，一旦相關(guān)數(shù)據(jù)泄露，將會(huì)造成XXX方面的影響。*必要漏洞利用過程及影響情況應(yīng)當(dāng)附截圖佐證。風(fēng)險(xiǎn)建議 *為重點(diǎn)單位提出針對(duì)性、可落地的風(fēng)險(xiǎn)整改建議。待清除后門/賬待清除后門/賬號(hào)清單*梳理滲透過程中遺留的后門、賬號(hào)，后期可參照對(duì)相關(guān)后門是否清除進(jìn)行驗(yàn)證。注：1.每個(gè)漏洞隱患滲透過程及成果需單獨(dú)填寫。提交日志、木馬、報(bào)告等原始材料的，請(qǐng)單獨(dú)附件并打包。攻擊成果報(bào)告-模版攻擊成果報(bào)告-模版.docx-模板一、成果概況

防守成果報(bào)告系統(tǒng)名稱系統(tǒng)名稱互聯(lián)網(wǎng)網(wǎng)絡(luò)層級(jí)辦公網(wǎng) 業(yè)務(wù)內(nèi)網(wǎng)產(chǎn)網(wǎng)生攻擊手段防御手段、威脅文件清除等防守成果摘要監(jiān)測(cè)發(fā)現(xiàn)XXXXXX:XX:XXXXX方式發(fā)現(xiàn)攻擊：郵箱賬戶發(fā)送釣魚郵件向分析研判經(jīng)分析，成功解析木馬運(yùn)作過程，成功獲取CS主控端IP【XXX.XXX.XXX.XXX】經(jīng)研判此郵箱屬于XXX單位，由于人員安全意識(shí)不足，導(dǎo)致釣魚郵件XXX、XXX、XXXXX個(gè)郵箱收到此釣魚郵件，IP，全單位通報(bào)釣魚郵件情況。應(yīng)急處置應(yīng)急處置受到攻擊后，我單位立即組織應(yīng)急響應(yīng)，業(yè)務(wù)未受到影響，10分鐘內(nèi)完成IP封禁，1小時(shí)內(nèi)完成威脅文件清除，根除攻擊。成功溯源到以下信息：追蹤溯源???XXX.XXX.XXX.XXX】】……】并成功控制攻擊者主機(jī)【XXX.XXX.XXX.XXX】二、成果說明此處整體的結(jié)論描述，建議有完整的事件溯源流程圖面加以文字描述，圖中關(guān)鍵信息用紅色框框和文字標(biāo)出來鍵節(jié)點(diǎn)。（一）監(jiān)測(cè)發(fā)現(xiàn)發(fā)現(xiàn)過程（注：突出發(fā)現(xiàn)攻擊、分析研判和提交報(bào)告的時(shí)效。示例：XX月XX日XX:XX:XX通過XXX系統(tǒng)監(jiān)測(cè)到 于XX:XX:XX向 采用的工具和手段示例：NDRIP，截圖（日志）如下：發(fā)現(xiàn)的攻擊手段和方式18、1、1111、內(nèi)存口令提?。┦纠喊踩Ｕ先藛T通過天眼分析平臺(tái)監(jiān)測(cè)到XX:XX:XX于被嘗試通過map截圖如下：件內(nèi)容存在問題。經(jīng)分析郵件帶源代碼，發(fā)現(xiàn)郵件發(fā)件地址為XXX.XXX.XXX.XXX，截圖如下：發(fā)件人隨意嘗試。Docxzip發(fā)：postdoctor提取exe文件進(jìn)行分析如下圖：在沙箱虛擬機(jī)中運(yùn)行”XXX.docx”的可執(zhí)行文件后，可以發(fā)現(xiàn)改程序建立多個(gè)對(duì)外網(wǎng)絡(luò)連接，截圖如下：通過沙箱和人工逆向分析，發(fā)現(xiàn)起到主要通訊作用的IP為XXX.XXX.XXX.XXX，截圖如下：（二）分析研判1.受影響資產(chǎn)涉事單位及關(guān)聯(lián)單位（相關(guān)單位）主要責(zé)任人及相關(guān)責(zé)任人（責(zé)人員及相關(guān)責(zé)任）詳情見下表：受影響資產(chǎn)資產(chǎn)范圍受影響資產(chǎn)資產(chǎn)范圍資產(chǎn)負(fù)責(zé)人2.事件研判（注：按照涉事件單位網(wǎng)絡(luò)安全分級(jí)分類管理辦法和應(yīng)急處置預(yù)。（2）攻擊的影響范圍。詳情見下表：

事件研判事件的影響范圍（如業(yè)務(wù)連續(xù)性）3.采用的工具和手段（的作用）事件研判工具日志提取工具提取相關(guān)日志信息關(guān)聯(lián)分析工具情報(bào)提取工具（三）應(yīng)急處置應(yīng)急處置記錄（）事件處置處置措施處置結(jié)果

采取的具體阻斷攻擊的措施（IP封禁，