护网行动是由公安部牵头的网络安全评估活动,旨在通过红蓝对抗演练提升企事业单位的安全防护能力。文章详细解析了护网行动的分级分类、时间安排及影响,阐述了红队攻击与蓝队防守的核心职责与评分规则。内容涵盖红队侦查、渗透、横向移动等攻击流程,以及蓝队在监控、数据分析、工具使用和团队建设方面的防御策略。此外,补充了常见攻击向量如弱口令、漏洞利用、内网横向移动及社会工程学的防御建议,强调构建多层次防御体系和持续安全运营的重要性。
护网行动是以公安部牵头,用以评估企事业单位网络安全水平的专项活动。具体实践中,公安部会组织攻防两方,进攻方(红队)会在一个月内对防守方(蓝队/企事业单位)发动网络攻击,检测出防守方存在的安全漏洞。通过与进攻方的对抗,企事业单位的网络、系统以及设备等的安全能力会得到显著提高。
'护网行动'是国家应对网络安全问题所做的重要布局之一。自2016年开始,随着我国对网络安全的重视程度不断提升,涉及单位不断扩大,越来越多的机构加入到护网行动中。网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
护网一般按照行政级别分为国家级护网、省级护网、市级护网。除此之外,还有一些行业对于网络安全的要求比较高,因此也会在行业内部展开护网行动,比如教育、医疗、金融等行业。
不同级别的护网开始时间和持续时间都不一样。以国家级护网为例,一般来说护网都是每年的7、8月左右开始,一般持续时间是2~3周。省级大概在2周左右,再低级的就是一周左右。2021年比较特殊,所有的安全工作都要在7月之前完成,所有21年的护网在4月左右就完成了。
护网是政府组织的,会对所参与的单位进行排名。在护网中表现不佳的单位,未来评优评先等工作都会受到影响。并且护网是和政治挂钩的,一旦参与护网的企业、单位的网络被攻击者打穿,领导都有可能被撤职。比如去年的一个金融证券单位,网络被打穿了,该单位的二把手直接被撤职。整体付出的代价还是非常严重的。
护网一般分为红蓝两队,做红蓝对抗(网上关于红蓝攻防说法不一,这里以国内红攻蓝防为蓝本)。
蓝队初始积分为10000分,一旦被攻击成功就会扣相应的分。每年对于蓝队的要求都更加严格。2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来;但是到了2021年,蓝队必须满足及时发现、及时处置以及还原攻击链才能少扣一点分,不能再通过这个加分了。唯一的加分方式就是在护网期间发现真实的黑客攻击。
每只攻击队会有一些分配好的固定的目标。除此之外,还会选取一些目标放在目标池中作为公共目标。一般来说红队都会优先攻击这些公共目标,一旦攻击成功,拿到证据后,就会在一个国家提供的平台上进行提交,认证成功即可得分。一般来说,提交平台的提交时间是9:00-21:00,但是这并不意味着过了这段时间就没人攻击了。实际上红队依然会利用21:00-9:00这段时间进行攻击,然后将攻击成果放在白天提交。所以蓝队这边需要24小时进行监守防护。
红队是一种全范围的多层攻击模拟,旨在衡量公司的人员和网络、应用程序和物理安全控制,用以抵御现实对手的攻击。在红队交战期间,训练有素的安全顾问会制定攻击方案,以揭示潜在的物理、硬件、软件和人为漏洞。红队的参与也为坏的行为者和恶意内部人员提供了机会来破坏公司的系统和网络,或者损坏其数据。
我们认为站在红队的角度来说,任何网络安全保障任务都会通过安全检测的技术手段从寻找问题的角度出发,发现系统安全漏洞,寻找系统、网络存在的短板缺陷。红队安全检测方会通过使用多种检测与扫描工具,对蓝方目标网络展开信息收集、漏洞测试、漏洞验证。尤其是在面向规模型企业时,更会通过大规模目标侦查等快速手段发现系统存在的安全问题。
大规模目标侦查 红方为了快速了解蓝方用户系统的类型、设备类型、版本、开放服务类型、端口信息,确定系统和网络边界范围,将会通过Nmap、端口扫描与服务识别工具,甚至是使用ZMap、MASScan等大规模快速侦查工具了解用户网络规模、整体服务开放情况等基础信息,以便展开更有针对性的测试。
口令与常用漏洞测试 红方掌握蓝方用户网络规模、主机系统类型、服务开放情况后,将会使用Metasploit或手工等方式展开针对性的攻击与漏洞测试,其中包含:各种Web应用系统漏洞(如SQL注入、XSS跨站脚本),中间件漏洞,系统、应用、组件远程代码执行漏洞等,同时也会使用Hydra等工具对各种服务、中间件、系统的口令进行常用弱口令测试,最终通过技术手段获得主机系统或组件权限。
权限获取与横向移动 红方通过系统漏洞或弱口令等方式获取到特定目标权限后,利用该主机系统权限、网络可达条件进行横向移动,扩大战果控制关键数据库、业务系统、网络设备,利用收集到的足够信息,最终控制核心系统、获取核心数据等,以证明目前系统安全保障的缺失。
持久化与隐蔽 红队充当真实且有动力的攻击者。大多数时候,红队攻击范围很大,整个环境都在范围内,他们的目标是渗透,维持持久性、中心性、可撤退性,以确认一个顽固的敌人能做什么。所有策略都可用,包括社会工程。最终红队会到达他们拥有整个网络的目的,否则他们的行动将被捕获,他们将被所攻击网络的安全管理员阻止,届时,他们将向管理层报告他们的调查结果,以协助提高网络的安全性。
规避检测 红队的主要目标之一是即使他们进入组织内部也要保持隐身。渗透测试人员在网络上表现不好,并且可以很容易的被检测到,因为他们采用传统的方式进入组织,而红队队员是隐秘的、快速的,并且在技术上具备了规避AV、端点保护解决方案、防火墙和组织已实施的其他安全措施的知识。
蓝队面临的更大挑战,是在不对用户造成太多限制的情况下,发现可被利用的漏洞,保护自己的领域。
弄清控制措施 对蓝队而言最重要的,是了解自身环境中现有控制措施的能力,尤其是在网络钓鱼和电话钓鱼方面。有些公司还真就直到正式对抗了才开始找自家网络中的防护措施。
确保能收集并分析数据 因为蓝队的功效基于收集和利用数据的能力,日志管理工具,比如Splunk,就特别重要了。另一块能力则是知道如何收集团队动作的所有数据,并高保真地记录下来,以便在复盘时确定哪些做对了,哪些做错了,以及如何改进。
使用适合于环境的工具 蓝队所用工具取决于自身环境所需。他们得弄清'这个程序在干什么?为什么它会试图格式化硬盘?',然后加上封锁非预期动作的技术。测试该技术是否成功的工具,则来自红队。
挑有经验的人加入团队 除了工具,蓝队最有价值的东西,是队员的知识。随着经验的增长,你会开始想'我见过这个,那个也见过,他们做了这个,还做了那个,但我想知道这里是否有个漏洞。'如果你只针对已知的东西做准备,那你对未知就毫无准备。
假定会有失败 提问,是通往探索未知的宝贵工具。别止步于为今天已存在的东西做准备,要假定自己的基础设施中将会有失败。最好的思路,就是假设终将会有漏洞,没什么东西是100%安全的。
为了有效应对红队的攻击,蓝队需要构建多层次的防御体系:
网络层防御 部署下一代防火墙(NGFW)、入侵检测系统(IDS)和入侵防御系统(IPS)。配置严格的访问控制列表(ACL),限制不必要的端口和服务暴露。定期进行网络拓扑梳理,消除单点故障和逻辑死角。
主机层防御 安装主机入侵检测系统(HIDS)和终端检测响应系统(EDR)。定期更新操作系统补丁,关闭高危端口和服务。实施最小权限原则,防止提权攻击。加强密码策略,强制使用复杂密码并定期更换。
应用层防御 部署Web应用防火墙(WAF),拦截常见的Web攻击如SQL注入、XSS等。对代码进行安全审计,修复已知漏洞。实施输入验证和输出编码,防止数据泄露。
数据安全与备份 对敏感数据进行加密存储和传输。建立完善的备份恢复机制,确保在遭受勒索软件攻击时能快速恢复业务。实施数据防泄漏(DLP)策略,监控异常数据外传行为。
安全运营中心(SOC) 建立7x24小时安全监控机制。整合各类日志源,利用SIEM系统进行关联分析。制定应急响应预案,定期进行演练。确保在发生安全事件时能够迅速定位、遏制和清除威胁。
在护网行动中,红队通常会尝试以下攻击向量,蓝队应重点关注:
护网行动不仅是一次技术对抗,更是对企业网络安全建设水平的一次全面体检。通过红蓝对抗,企业能够发现自身在技术、管理和流程上的不足,从而有针对性地提升安全防护能力。对于红队而言,这是检验攻击技术和战术的机会;对于蓝队而言,这是提升应急响应和威胁狩猎能力的实战平台。只有持续投入资源,构建动态、主动的防御体系,才能在日益复杂的网络威胁环境中保障业务安全。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
