什么是护网行动
护网行动(HW)是一场针对全国范围真实网络目标的网络安全攻防演练。该行动自2016年开始,由公安部组织,旨在通过实战化的攻防对抗,发现、暴露和解决企事业单位及政府机关的网络安全问题,检验其安全防护水平和应急处置能力。
护网行动通常持续2-3周,虽然主要在工作日进行,但攻击方会全天候不间断发起攻击。参与者包括国家信息安全队伍、军队、科研机构、测评机构及安全公司等百余支队伍,数百名专业人员参与。演练需遵守严格规则,例如禁止对靶心系统进行DDoS攻击,确保防守方核心业务安全的前提下模拟任意攻击路径。
组织架构与规则
护网行动的组织架构通常包含总指挥领导小组、指挥决策组、监测预警小组、应急处置小组、业务保障小组及对外联络小组。各小组分工明确,确保演练有序进行。
评分机制
- 扣分项:攻击方成功获取内网权限、窃取敏感数据或造成业务中断。非所属资产被扣分可上诉,需提供资产归属证明;无确凿证据绝不承认失分。
- 加分项:主动分析文件沙箱告警日志、挖掘高危漏洞(如反序列化、注入类漏洞)、系统层提权等。对攻击信息收集充分的团队可联系裁判组进行仲裁。
红队攻击视角
红队的主要目标是模拟真实黑客攻击,以提权控制业务、获取数据为最终目的。攻击过程受到监控,但不限制攻击路径。
攻击路径
- Web互联网资产暴露面:互联网暴露面资产直接面向外部攻击者,风险最高。攻击者可利用的点更多,成本更低。常见入口包括未授权访问、弱口令、已知漏洞利用等。
- 设备串入网络:设备部署方式分为旁路(不改变现有网络结构)和串行(接入现有网络)。串行接入的设备若本身存在漏洞,可直接被利用作为跳板实现内网穿透。
攻击技术栈
- Web攻击:SQL注入、XSS跨站脚本、命令执行、文件上传漏洞利用。
- 主机攻击:操作系统漏洞利用、中间件漏洞、服务端口扫描。
- 已知漏洞:利用公开披露的CVE漏洞进行快速渗透。
- 敏感文件:获取配置文件、源代码、备份文件等敏感信息。
- 口令爆破:针对SSH、RDP、数据库等服务的暴力破解。
蓝队防守体系
蓝队的核心任务是防御攻击,保护资产安全。防守策略可分为极端防守策略和常规加固策略。
极端防守策略
在特定高风险场景下,可能采取以下措施:
- 全下线:非重要业务系统全部下线,目标系统阶段性下线。
- 狂封IP:疯狂封禁IP段(C段),宁可错杀一千,不能放过一个。
- 边缘化:核心业务仅保留最核心功能,且仅上报边缘系统。
常规加固策略
- 基线核查:对业务系统进行基线核查,将不符合标准的项进行整改。
- 漏洞检查:全面扫描并修复找出的脆弱点。
- 补丁管理:及时更新操作系统和应用软件的安全补丁。
- IP封禁:善用IP封禁,境外IP一律封禁,减少攻击面。
- 内网防护:加强内网横向移动检测,防止一旦失守后扩散。
资产梳理与加固
资产梳理是防守的基础工作,需在护网前期完成整体方案制定。
资产清单梳理
基于组织架构、资产类型、资产重要性进行人工或平台梳理,包括:
- 外网资产:IP、端口、域名。
- 内网资产:主机、系统、服务器。
- 资产风险:漏洞、弱口令、边界完整性。
