护网行动是由公安部牵头的网络安全评估活动,旨在通过红蓝对抗演练提升企事业单位的安全防御能力。文章详细介绍了护网的分类、时间周期、评分规则及影响,并深入解析了红队攻击模拟与蓝队防守策略的核心技术流程,包括信息收集、漏洞利用、横向移动以及日志分析、威胁检测等关键防御手段。
护网行动(HW)是由公安部牵头组织的全国性网络安全攻防演练活动,旨在评估企事业单位的网络安全防护能力。该行动通过模拟真实网络攻击场景,检验防守方的监测、预警、处置及恢复能力。
具体实践中,公安部组织专业的攻击方(红队)在特定周期内对防守方(蓝队)发动网络攻击,检测并挖掘防守方存在的安全漏洞。通过与进攻方的实战对抗,企事业单位的网络、系统以及设备等安全能力得到实质性提升。
'护网行动'是国家应对网络安全问题的重要布局之一。自 2016 年启动以来,随着我国对网络安全的重视程度不断提高,参与单位不断扩大,涉及行业从政府机构延伸至金融、能源、通信等关键基础设施领域。网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动合规构建,升级为业务保障刚需。
护网行动通常按照行政级别和覆盖范围进行分类:
不同级别的护网开始时间和持续时间有所不同,但通常遵循以下规律:
值得注意的是,特殊年份(如 2021 年)可能会因政策调整提前完成所有安全工作,例如将原定于下半年的护网提前至 4 月完成。因此,各单位需密切关注官方通知,做好全年常态化安全防护准备。
护网行动由政府主导,会对所参与的单位进行排名和通报。其影响深远且严肃:
护网一般分为红蓝两队,进行红蓝对抗(国内主流模式为红攻蓝防)。
红队是一种全范围的多层攻击模拟,旨在衡量公司的人员、网络、应用程序和物理安全控制,用以抵御现实对手的攻击。在红队交战期间,训练有素的安全顾问会制定攻击方案,以揭示潜在的物理、硬件、软件和人为漏洞。
站在红队的角度,任何网络安全保障任务都通过安全检测的技术手段从寻找问题的角度出发,发现系统安全漏洞,寻找系统、网络存在的短板缺陷。红队安全检测方会使用多种检测与扫描工具,对蓝方目标网络展开信息收集、漏洞测试、漏洞验证。
红方为了快速了解蓝方用户系统的类型、设备类型、版本、开放服务类型、端口信息,确定系统和网络边界范围,将会使用 Nmap、端口扫描与服务识别工具,甚至是使用 ZMap、MASScan 等大规模快速侦查工具了解用户网络规模、整体服务开放情况等基础信息,以便展开更有针对性的测试。
# 示例:Nmap 基础扫描命令
nmap -sV -O -p- <target_ip>
红方掌握蓝方用户网络规模、主机系统类型、服务开放情况后,将会使用 Metasploit 或手工等方式展开针对性的攻击与漏洞测试,其中包含:各种 Web 应用系统漏洞(SQL 注入、XSS、RCE)、中间件漏洞、系统、应用、组件远程代码执行漏洞等。同时也会使用 Hydra 等工具对各种服务、中间件、系统的口令进行常用弱口令测试,最终通过技术手段获得主机系统或组件权限。
红方通过系统漏洞或弱口令等方式获取到特定目标权限后,利用该主机系统权限、网络可达条件进行横向移动,扩大战果控制关键数据库、业务系统、网络设备,利用收集到的足够信息,最终控制核心系统、获取核心数据等,以证明目前系统安全保障的缺失。
红队充当真实且有动力的攻击者。大多数时候,红队攻击范围很大,整个环境都在范围内,他们的目标是渗透,维持持久性、中心性、可撤退性,以确认一个顽固的敌人能做什么。所有策略都可用,包括社会工程。最终红队会到达他们拥有整个网络的目的,否则他们的行动将被捕获,他们将被所攻击网络的安全管理员阻止,届时,他们将向管理层报告他们的调查结果,以协助提高网络的安全性。
红队的主要目标之一是即使他们进入组织内部也要保持隐身。渗透测试人员在网络上表现不好,并且可以很容易的被检测到,因为他们采用传统的方式进入组织,而红队队员是隐秘的、快速的,并且在技术上具备了规避 AV、端点保护解决方案、防火墙和组织已实施的其他安全措施的知识。
蓝队面临的更大挑战,是在不对用户造成太多限制的情况下,发现可被利用的漏洞,保护自己的领域。
对蓝队而言最重要的,是了解自身环境中现有控制措施的能力,尤其是在网络钓鱼和电话钓鱼方面。有些公司还真就直到正式对抗了才开始找自家网络中的防护措施。建立资产清单和权限管理基线是第一步。
因为蓝队的功效基于收集和利用数据的能力,日志管理工具,比如 Splunk、ELK Stack 就特别重要了。另一块能力则是知道如何收集团队动作的所有数据,并高保真地记录下来,以便在复盘时确定哪些做对了,哪些做错了,以及如何改进。
蓝队所用工具取决于自身环境所需。他们得弄清'这个程序在干什么?为什么它会试图格式化硬盘?',然后加上封锁非预期动作的技术。测试该技术是否成功的工具,则来自红队。部署 EDR(端点检测与响应)系统和 WAF(Web 应用防火墙)是常见手段。
除了工具,蓝队最有价值的东西,是队员的知识。随着经验的增长,你会开始想'我见过这个,那个也见过,他们做了这个,还做了那个,但我想知道这里是否有个漏洞。'如果你只针对已知的东西做准备,那你对未知就毫无准备。建立安全运营中心(SOC)并培养分析师至关重要。
提问,是通往探索未知的宝贵工具。别止步于为今天已存在的东西做准备,要假定自己的基础设施中将会有失败。最好的思路,就是假设终将会有漏洞,没什么东西是 100% 安全的。建立应急响应预案(IRP)和灾难恢复计划(DRP)是底线思维。
护网行动不仅是一次演练,更是对企业网络安全建设的一次全面体检。通过红蓝对抗,企业能够直观地发现自身在架构设计、代码安全、运维管理等方面的不足。建议企业在日常工作中落实以下措施:
只有将安全理念融入业务流程,才能真正构建起坚固的网络安全防线。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online