本文通過(guò)兩部分介紹演練，第一部分是從如何組織到整體流程、重要注意事項(xiàng)、安排實(shí)施，從綜合的角度理解攻防演練對(duì)于銷(xiāo)售，售前工程師，安全工程師的意義，細(xì)化交付物和交付流程，幫助大家從零認(rèn)識(shí)網(wǎng)絡(luò)攻防演練。第二部分是技術(shù)部分，主要是防守方的技術(shù)重點(diǎn)，溯源，應(yīng)急響應(yīng)及流量分析等相關(guān)技術(shù)及技術(shù)要點(diǎn)。

1、網(wǎng)絡(luò)攻防演練介紹

2、安全設(shè)備日志告警分析及處理

3、網(wǎng)絡(luò)攻防演練應(yīng)急響應(yīng)

4、流量分析與溯源反制

網(wǎng)絡(luò)攻防演練介紹

網(wǎng)絡(luò)攻防演練是新形勢(shì)下網(wǎng)絡(luò)安全保障工作的重要組成部分，演練通常是以實(shí)際運(yùn)行的信息系統(tǒng)為保障目標(biāo)，通過(guò)有監(jiān)督的攻防對(duì)抗盡可能的模擬真實(shí)的網(wǎng)絡(luò)攻擊，以此來(lái)校驗(yàn)信息系統(tǒng)實(shí)際安全性和運(yùn)維保障實(shí)際有效性，網(wǎng)絡(luò)攻防演練實(shí)際是軍事用于網(wǎng)絡(luò)空間站的擴(kuò)展。

從國(guó)際上來(lái)看，美國(guó)從2010年成立網(wǎng)絡(luò)司令部并在2006年開(kāi)始每2年組織一次代號(hào)為“網(wǎng)絡(luò)風(fēng)暴”的網(wǎng)絡(luò)軍事演習(xí)，北約也有鎖定輪排的網(wǎng)絡(luò)安全演習(xí)，從2002年開(kāi)始實(shí)行，我國(guó)從2014年開(kāi)始，建立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，2016年發(fā)布國(guó)家網(wǎng)絡(luò)空間發(fā)展戰(zhàn)略，同年在國(guó)家有關(guān)的監(jiān)督機(jī)構(gòu)的推動(dòng)下推行開(kāi)展全國(guó)性的網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演練。

網(wǎng)絡(luò)攻防演練組織形式

• 國(guó)家、行業(yè)主管部門(mén)、監(jiān)管機(jī)構(gòu)組織

• 大型企事業(yè)單位自行組織

  一般由各級(jí)公安機(jī)關(guān)、網(wǎng)信部門(mén)、政府、金融、交通、衛(wèi)生、教育、電力、運(yùn)營(yíng)商等國(guó)家行業(yè)主管部門(mén)或監(jiān)督機(jī)構(gòu)組織開(kāi)展，針對(duì)行業(yè)關(guān)鍵性基礎(chǔ)和重要系統(tǒng)組織單位，組織攻擊隊(duì)及各行業(yè)內(nèi)各企業(yè)單位行程防守隊(duì)進(jìn)行實(shí)戰(zhàn)攻防演練。

2016年是8家參演單位、兩家防守單位，主要是民航系統(tǒng)，國(guó)家電網(wǎng)；2020年已經(jīng)擴(kuò)展到了上百家參演單位，大概100多個(gè)攻擊隊(duì)，橫跨30多個(gè)重點(diǎn)行業(yè)，同時(shí)各市地、行業(yè)行政單位也都在積極籌備組織各自范圍內(nèi)的攻防演練工作。隨著規(guī)模擴(kuò)大技術(shù)成熟，演練的規(guī)模范圍正在逐步下沉，這時(shí)候就注意到分子公司、也需要自己負(fù)責(zé)，它的責(zé)任也是下沉。重點(diǎn)行業(yè)覆蓋到了市地級(jí)，根據(jù)這個(gè)情況，會(huì)讓今年二級(jí)以下的體系系統(tǒng)受攻擊的可能性變大，這需要我們幫助客戶(hù)做好資產(chǎn)成立收斂攻擊面的工作，20年攻防演練推出了實(shí)網(wǎng)攻擊外還推出了沙灘推演。第一次開(kāi)設(shè)沙灘推演科目，攻擊方和防守方進(jìn)行沙盤(pán)辯論，同時(shí)也新開(kāi)展了抗D演練，對(duì)于部分撞目標(biāo)進(jìn)行了抗D測(cè)試。

1. 初級(jí)階段
   

   2016-2017年互聯(lián)網(wǎng)及網(wǎng)絡(luò)邊界測(cè)發(fā)起攻擊十分有效，橫向移動(dòng)，跨越攻擊容易實(shí)現(xiàn)?！ヂ?lián)網(wǎng)內(nèi)網(wǎng)邊界

2. 中級(jí)階段
   

   2018年隨著防守方對(duì)演練的熟悉，進(jìn)攻方難度有所增加但是還是收獲頗豐?！珳?zhǔn)攻擊、供應(yīng)鏈攻擊

3. 高級(jí)階段
   

   2019-2020年攻防演練常態(tài)化進(jìn)行，防守方安全設(shè)備及安全意識(shí)提高，進(jìn)攻方利用常規(guī)手段已經(jīng)很難得分——0day、nday、社工、近源

攻防演練主體由紫隊(duì)、紅隊(duì)、藍(lán)隊(duì)三部分組成

• 攻擊隊(duì)：紅隊(duì)，通過(guò)模擬攻擊實(shí)現(xiàn)系統(tǒng)提權(quán)，控制業(yè)務(wù)獲取數(shù)據(jù)等，以及發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)通過(guò)這些攻擊性的實(shí)驗(yàn)來(lái)綜合提升系統(tǒng)安全性。

• 防守隊(duì)：藍(lán)隊(duì)，我們本次重點(diǎn)講解。一般是參演單位的網(wǎng)絡(luò)防護(hù)體系為基礎(chǔ)，在演練期間組成的防守隊(duì)伍，

• 紫隊(duì)是組織方，以組織方為角色，開(kāi)展組織工作過(guò)程監(jiān)控指導(dǎo)應(yīng)急保障等，以及最后演練總結(jié)和最后優(yōu)化建議。

攻防演練組織架構(gòu)

分析研判與溯源反制

常見(jiàn)攻擊場(chǎng)景及特征——命令注入

任意文件上傳

漏洞成因：

導(dǎo)致該漏洞的原因在于代碼作者沒(méi)有對(duì)訪客提交的數(shù)據(jù)進(jìn)行檢驗(yàn)或者；過(guò)濾不嚴(yán)，可以直接提交修改過(guò)的數(shù)據(jù)繞過(guò)擴(kuò)展名的檢驗(yàn)。

網(wǎng)絡(luò)攻防演練交付方案

1、準(zhǔn)備階段：

明確項(xiàng)目需求、項(xiàng)目團(tuán)隊(duì)組建、項(xiàng)目統(tǒng)一監(jiān)管

項(xiàng)目啟動(dòng)會(huì)：

明確目標(biāo)、要求、職責(zé)范圍，安全培訓(xùn)、主題宣導(dǎo)，達(dá)成共識(shí)、建立溝通機(jī)制，獲取資源與領(lǐng)導(dǎo)支持。

2、交付階段：

項(xiàng)目計(jì)劃指定、項(xiàng)目交付管理、項(xiàng)目交付實(shí)施、項(xiàng)目資源共享

3、收尾階段：

項(xiàng)目總結(jié)匯報(bào)、項(xiàng)目驗(yàn)收、知識(shí)沉淀

防守方的工作目標(biāo)和本質(zhì)

對(duì)于交付工程師來(lái)說(shuō)，可以做到一定的技術(shù)沉淀，但對(duì)于防守方的本質(zhì)來(lái)說(shuō)是挖掘客戶(hù)的需求。

以上內(nèi)容選取自安全牛課堂獨(dú)家課程《網(wǎng)絡(luò)攻防演練之藍(lán)隊(duì)》，為演練藍(lán)方的入門(mén)課程，適合對(duì)演練感興趣的技術(shù)人員、小白、在校大學(xué)生等，課程正在參與限時(shí)秒殺，平時(shí)價(jià)399，4月21日前僅需11.9元。

活動(dòng)地址：https://www.aqniukt.com/goods/show/2190?targetId=15604&preview=0??