护网的过程

一、概述

1. 什么是 “护网行动” ？

   以国家组织牵头组织事业单位，国企单位，名企单位等开展攻防两方的网络安全演习，时间为2~3周。

2. 演习的方式。

   主办方组织攻击队伍，对行业重点单位目标系统进行集中攻击，检验防守方对网络攻击的防护能力，一积分的形式确定攻守两方的排名。

3. 护网中的角色及任务。

   • 指挥部（紫队）：由裁判组、专家组、联络员以及公安工作人员组成。保障整个护网活动顺利进行，搭建信息汇总平台，用于收集和记录攻守双方战况信息，而后根据攻守双方报告信息，进行评分。

   • 攻击方（红队）：由公安机关授权的国家科研机构、安全公司、安全团队等组织组成，将可验证的漏洞、攻击事件报告至平台，获取积分。

   • 防守方（蓝队）：防守企业组成，检测和防御攻击行为，并记录，报告至平台，获取积分。

二、护网中的攻击方

1.攻击流程

1. 信息收集：真实IP、账号密码泄露、敏感文件泄露、目标组织架构、重点人员社交关系、高价值目标邮箱、常规高危服务等。

2. 入口权限获取：钓鱼页面、木马邮件、Web渗透、各类已知高危漏洞、边界路由利用、实地wifi渗透、物理介质感染等。

3. 内网信息搜集/探测：本地常规提权、依托本地快速搜集内网主机信息、分析内网结构、探测隐蔽服务、域控寻找、重点机器分布定位、制作目标专属字典等。

4. 通道构建：常规代理(http,socks)、TCP正反向端口转发、隧道利用(ssh,dns)、内网穿透工具等。

5. 内网漏洞：木马免杀、基础高危服务利用 (mssql,smb,ftp,redis)、内网基础web漏洞、内网入侵检测和常 规监控规避等。

6. 横向移动：PTH hash传递、域内票据传递、SMB欺骗重放、WMI横向、其他跨平台横向等。

7. 权限维持：粘滞键后门、注册表注入后门、计划任务自启动后门、域管权限维持(金票， 银票,SSP,SID history)、webshell权限维持等。

8. 痕迹清理：Web日志伪造删除、SSH记录伪造删除、Windows敏感ID事件删除、各类操作历史记录删除等。

9. 成果获取：敏感文件、聊天记录、高价值信息、提交过程报告等。

2.突破入口

1. 常规Web漏洞利用：弱口令，sql注入，越权，命令/代码执行/反序列化，任意文件上传/下载/ 读取，文件包含，XSS ，业务逻辑漏洞等。

2. 传统钓鱼：伪造发信人，木马信，宏病毒，恶意捆绑，钓鱼链接等。

3. 各类基础服务漏洞：MSSQL，SMB，WMI，SSH，RDP，Redis，Mysql，Oracle等。

4. 中间件漏洞：Apache、Weblogic、Tomcat、IIS等。

5. CMS漏洞：Discuz!，帝国cms，Dedecms、Wordpress，Drupal等。

6. 框架漏洞：Thinkphp、Django、Spring、Apache Shiro、struts2等。

3.注意事项

1. 不能使用DDos攻击。

2. 部分目标系统需要在非常规攻击时段进行攻击时，时间另行通知。

3. 不能使用破坏性的物理入侵。

4. 不能使用具有感染及多进程守护功能的木马病毒。

5. 重要业务系统进行攻击操作前需向指挥部进行请示。

三、护网中的防守方

1.护网前工作重点

1. 资产梳理

   • 互联网资产梳理：使用互联网测绘系统（fofa、zoomeye等），对己方暴露在互联网上的设备、应用、数据库等资产进行排查，及时整改发现的漏洞及风险项。

   • 内网资产梳理：对己方的内网信息系统进行排查，明确资产归属，统计资产情况，形成资产台账。对废弃、无主、高危风险系统进行下线处理。对线上的系统进行漏洞扫描并及时修复相应漏洞。

2. 风险排查

   • 敏感信息排查清理：防止攻击方在互联网上收集被保护目标网络相关的敏感信息（技术方案、源码、网络拓扑等），要对百度文库、知网、github类的代码托管网站等开源情报系统细致排查清理。

   • 风险排查：对网络拓扑、主机、应用配置进行风险项排查，可根据参考以下排查项：

     • 护网目标系统是否与单位其他网段网络隔离。

     • 确认服务器、网络设备、安全设备运维方式，是否使用堡垒机，若直接远程运维，建议护网期间，只允许运维人员使用SSH、RDP等管理运维。

     • 核心系统安全策略确认，建议护网期间配置更严格的ACL策略。

     • 终端杀毒软件保证护网前期和护网期间每天进行病毒查杀。

     • 网络设备、安全设备应设置强口令，不能使用统一口令。

     • 网站上传目录是否有运行权限。

     • 删除长期不使用VPN、服务器的测试账号、临时账号。

     • 监控设备（流量分析、态势感知）流量接入是否全部覆盖单位互联网网络。

     • 应用系统后台地址暴露情况，是否对公网暴露。

3. 防护加固

   • 收敛网络攻击暴露面：加强互联网出口设备管理，做好网络边界安全；加强终端统一管控，安装防病毒软件和终端安全管理以及系统补丁等；加强网络安全管理，尽可能关闭各系统中远程接入的服务和账号。

   • 全面防御隔离：做好防火墙的访问控制策略，对出入流量进行管理；使用VLAN、防火墙等技术对网络进行分区分域，进行隔离防护；全局监控违规访问的行为，及时预警。

   • 防护手段建设：加强重点应用主机、堡垒机、域控服务器、管理平台、数据库等资产的防护，防止漏洞攻击、远控，做好审计。

   • 发现能力建设：完善安全发现能力，使用入侵检测系统、审计系统、态势感知等平台，监测发现攻击行为，并及时记录上报。

4. 内部演练

   • 配置安全策略：根据主机情况进行安全策略的配置。

   • 检测预警：能熟练使用安全设备，对攻击行为进行检测预警。

   • 应急处置：防护人员能掌握应急处置方法，根据应急预案处置紧急事件。

   • 安全意识教育：开展全员安全意识教育，提高员工网络安全意识。

2.护网行动中工作重点

1. 实时监控：重点关注核心目标业务系统，同时针对核心业务系统外与之关联的服务，对目标系统的出入流量和日志进行集中式的监控和分析。

2. 封堵隐患：护网期间每天进行风险排查，发现并解决隐患。

3. 应急处置：安全事件发生后，根据应急预案在最短时间内采取技术手段遏制攻击、防止蔓延。在内网发现攻击痕迹，大概率有己方重要资产失陷的情况下这时候的快速处置方式主要有：

   • 断网，注意断网操作的规范

   • 临时添加ACL和防火墙规则

   • 和业务方进行沟通，下线业务

   • 封锁IP

4. 攻击溯源：通过对受害资产与日志流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，帮助修复漏洞与风险避免二次事件的发生，还可以利用各种手段尝试追踪网络攻击的发起者。

5. 事件上报：将发现的攻击事件及时记录并上报。

3.护网行动后工作重点

1. 复盘总结：对本次护网行动进行全面分析，总结经验和教训。包括资产梳理阶段是否存在漏网之鱼、风险分析阶段是否有遗留风险点、演习活动中各部门沟通渠道是否畅通以及业务系统运行状态是否平稳等各个方面综合评估，另外还要考虑在企业人员安全意识和应急预案的及时处置上是否存在问题。

2. 问题整改：对护网中暴露出来的不足之处，管理层应积极改善，努力推动相关部门进行整改。

3. 能力提升：完善安全防护措施，优化安全策略的同时提升人员安全防范意识，有效提升企业整体安全防护能力。