什么是护网行动
护网行动(HW)是由公安部牵头组织的网络安全攻防演练活动。具体实践中,公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。
通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。'护网行动'是国家应对网络安全问题所做的重要布局之一。从 2016 年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多的单位都加入到护网行动中。网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
护网分类
护网一般按照行政级别分为省级护网、市级护网;除此之外,还有一些行业对于网络安全的要求比较高,因此也会在行业内部展开护网行动,比如金融行业。
红蓝对抗实战经验
防守方(蓝队)技巧
- 防扣分:非所属资产被扣分一定要上诉;若攻击方提供的报告是内网资产,要求证明是我方资产;保持严谨态度,无确凿证据拒不承认。
- 加分技巧:关注文件沙箱告警日志,分析样本;关注高危漏洞告警,例如反序列化、注入类漏洞、系统层获取权限类漏洞;对攻击信息收集充分的可以联系裁判组进行仲裁。
- 防护建议:善用 IP 封禁;加强内网防护;专职样本分析人员;漏洞利用攻击和木马攻击是避免失分;英文钓鱼邮件不得分。
- 内外部沟通:报告上报内容需包含源 IP、事件类型、流量分析(全流量)、有样本需分析样本并附上样本,切忌只截设备告警图;内部沟通以微信为主,避免流程限制有效。
红队(攻击方)现状
实际工作中,红队并非全是顶尖高手,也有初级人员混杂。主要工作包括扫描器辅助、寻找软柿子目标。蓝队则面临海量假警报,需处理态势感知、流量分析、防火墙策略等。
如何参加护网行动
技能要求
- 基础网络知识:TCP/IP 协议、操作系统原理、常见服务端口及协议。
- Web 安全:SQL 注入、XSS、文件上传、逻辑漏洞等 OWASP Top 10 漏洞原理及修复方案。
- 工具使用:Nmap、Burp Suite、Metasploit、Wireshark、Cobalt Strike 等主流安全工具的使用。
- 脚本能力:Python 或 Go 编写简单 PoC 或自动化脚本,提升效率。
- 内网渗透:域环境理解、横向移动、提权技术、免杀技术等。
准备路径
- 系统学习:掌握上述基础知识,可通过官方教材、开源教程或专业培训课程。
- 实战练习:参与 CTF 比赛、SRC 漏洞挖掘平台练习,积累真实场景经验。
- 证书考取:CISP-PTE、CISP-IRE 等认证有助于求职,证明专业能力。
- 渠道投递:关注安全厂商招聘、护网外包公司、猎头推荐,建立人脉网络。
常见工作流程
- 前期准备:资产梳理、基线检查、策略配置、监控部署。
- 攻击阶段:信息收集、漏洞扫描、渗透测试、权限维持。
- 防守阶段:流量分析、日志审计、威胁研判、应急响应。
- 总结复盘:漏洞修复、策略优化、报告撰写、经验分享。
薪资水平
护网薪资通常按天计算。初级人员日薪约 1.5K-2K,资深专家可达 2W/天甚至更高。具体取决于技术能力和岗位角色。红队与蓝队的薪资结构有所不同,通常红队因技术门槛较高,平均薪资略高于蓝队。
结语
护网是检验安全能力的试金石。对于从业者而言,持续学习和实战积累是关键。通过不断的攻防演练,不仅能提升个人技术水平,还能为企业构建更坚固的网络安全防线。
