什么是护网行动
护网行动是以公安部牵头,用以评估企事业单位网络安全水平的专项活动。具体实践中,公安部会组织攻防两方,进攻方(红队)会在一个月内对防守方(蓝队/企事业单位)发动网络攻击,检测出防守方存在的安全漏洞。通过与进攻方的对抗,企事业单位的网络、系统以及设备等的安全能力会得到显著提高。
'护网行动'是国家应对网络安全问题所做的重要布局之一。自2016年开始,随着我国对网络安全的重视程度不断提升,涉及单位不断扩大,越来越多的机构加入到护网行动中。网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
护网的分类
护网一般按照行政级别分为国家级护网、省级护网、市级护网。除此之外,还有一些行业对于网络安全的要求比较高,因此也会在行业内部展开护网行动,比如教育、医疗、金融等行业。
护网的时间
不同级别的护网开始时间和持续时间都不一样。以国家级护网为例,一般来说护网都是每年的7、8月左右开始,一般持续时间是2~3周。省级大概在2周左右,再低级的就是一周左右。2021年比较特殊,所有的安全工作都要在7月之前完成,所有21年的护网在4月左右就完成了。
护网的影响
护网是政府组织的,会对所参与的单位进行排名。在护网中表现不佳的单位,未来评优评先等工作都会受到影响。并且护网是和政治挂钩的,一旦参与护网的企业、单位的网络被攻击者打穿,领导都有可能被撤职。比如去年的一个金融证券单位,网络被打穿了,该单位的二把手直接被撤职。整体付出的代价还是非常严重的。
护网的规则
护网一般分为红蓝两队,做红蓝对抗(网上关于红蓝攻防说法不一,这里以国内红攻蓝防为蓝本)。
队伍构成
- 红队:为攻击队。红队的构成主要有'国家队'(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中'国家队'的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。
- 蓝队:为防守队,一般是随机抽取一些单位参与。
评分机制
蓝队分数
蓝队初始积分为10000分,一旦被攻击成功就会扣相应的分。每年对于蓝队的要求都更加严格。2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来;但是到了2021年,蓝队必须满足及时发现、及时处置以及还原攻击链才能少扣一点分,不能再通过这个加分了。唯一的加分方式就是在护网期间发现真实的黑客攻击。
红队分数
每只攻击队会有一些分配好的固定的目标。除此之外,还会选取一些目标放在目标池中作为公共目标。一般来说红队都会优先攻击这些公共目标,一旦攻击成功,拿到证据后,就会在一个国家提供的平台上进行提交,认证成功即可得分。一般来说,提交平台的提交时间是9:00-21:00,但是这并不意味着过了这段时间就没人攻击了。实际上红队依然会利用21:00-9:00这段时间进行攻击,然后将攻击成果放在白天提交。所以蓝队这边需要24小时进行监守防护。
什么是红队
红队是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对手的攻击。在红队交战期间,训练有素的安全顾问会制定攻击方案,以揭示潜在的物理、硬件、软件和人为漏洞。红队的参与也为坏的行为者和恶意内部人员提供了机会来破坏公司的系统和网络,或者损坏其数据。
红队测试的意义
- 评估客户对威胁行为的反应能力。
- 通过实现预演(访问CEO电子邮件、访问客户数据等)来评估客户网络的安全态势。
- 演示攻击者访问客户端资产的潜在路径。
我们认为站在红队的角度来说,任何网络安全保障任务都会通过安全检测的技术手段从寻找问题的角度出发,发现系统安全漏洞,寻找系统、网络存在的短板缺陷。红队安全检测方会通过使用多种检测与扫描工具,对蓝方目标网络展开信息收集、漏洞测试、漏洞验证。尤其是在面向规模型企业时,更会通过大规模目标侦查等快速手段发现系统存在的安全问题。
红队主要流程
-
大规模目标侦查 红方为了快速了解蓝方用户系统的类型、设备类型、版本、开放服务类型、端口信息,确定系统和网络边界范围,将会通过Nmap、端口扫描与服务识别工具,甚至是使用ZMap、MASScan等大规模快速侦查工具了解用户网络规模、整体服务开放情况等基础信息,以便展开更有针对性的测试。
-
口令与常用漏洞测试 红方掌握蓝方用户网络规模、主机系统类型、服务开放情况后,将会使用Metasploit或手工等方式展开针对性的攻击与漏洞测试,其中包含:各种Web应用系统漏洞(如SQL注入、XSS跨站脚本),中间件漏洞,系统、应用、组件远程代码执行漏洞等,同时也会使用Hydra等工具对各种服务、中间件、系统的口令进行常用弱口令测试,最终通过技术手段获得主机系统或组件权限。
