HVV行動(dòng)是以公安部牽頭的�,用以評(píng)估企事業(yè)單位的網(wǎng)絡(luò)安全的活動(dòng)��。具體實(shí)踐中,公安部會(huì)組織攻防兩方����,進(jìn)攻方會(huì)在一個(gè)月內(nèi)對(duì)防守方發(fā)動(dòng)網(wǎng)絡(luò)攻擊���,檢測(cè)出防守方(企事業(yè)單位)存在的安全漏洞。通過與進(jìn)攻方的對(duì)抗��,企事業(yè)單位網(wǎng)絡(luò)�、系統(tǒng)以及設(shè)備等的安全能力會(huì)大大提高���。“HVV行動(dòng)”是國(guó)家應(yīng)對(duì)網(wǎng)絡(luò)安全問題所做的重要布局之一?!癏VV行動(dòng)”從2016年開始,隨著我國(guó)對(duì)網(wǎng)絡(luò)安全的重視�,涉及單位不斷擴(kuò)大,越來越多的單位都加入到HVV行動(dòng)中�,網(wǎng)絡(luò)安全對(duì)抗演練越來越貼近實(shí)際情況,各機(jī)構(gòu)對(duì)待網(wǎng)絡(luò)安全需求也從被動(dòng)構(gòu)建���,升級(jí)為業(yè)務(wù)保障剛需����。HVV一般按照行政級(jí)別分為國(guó)家級(jí)HVV����、省級(jí)HVV、市級(jí)HVV���;除此之外��,還有一些行業(yè)對(duì)于網(wǎng)絡(luò)安全的要求比較高���,因此也會(huì)在行業(yè)內(nèi)部展開HVV行動(dòng),比如教育、醫(yī)療����、金融等行業(yè)。
不同級(jí)別的HVV開始時(shí)間和持續(xù)時(shí)間都不一樣���。以國(guó)家級(jí)HVV為例�����,一般來說HVV都是每年的7���、8月左右開始,一般持續(xù)時(shí)間是2~3周��。省級(jí)大概在2周左右,再低級(jí)的就是一周左右����。2021年比較特殊��,所有的安全工作都要在7月之前完成���,所有21年的HVV在4月左右就完成了����。HVV是政府組織的,會(huì)對(duì)所參與的單位進(jìn)行排名�,在HVV中表現(xiàn)不佳的單位�,未來評(píng)優(yōu)評(píng)先等等工作都會(huì)受到影響。并且HVV是和政治掛鉤的����,一旦參與HVV的企業(yè)�、單位的網(wǎng)絡(luò)被攻擊者打穿�����,領(lǐng)導(dǎo)都有可能被撤掉。比如去年的一個(gè)金融證券單位��,網(wǎng)絡(luò)被打穿了,該單位的二把手直接被撤職����。整體付出的代價(jià)還是非常嚴(yán)重的���。HVV一般分為紅藍(lán)兩隊(duì)�,做紅藍(lán)對(duì)抗(網(wǎng)上關(guān)于紅藍(lán)攻防說法不一���,這里以國(guó)內(nèi)紅攻藍(lán)防為藍(lán)本)��。紅隊(duì)為攻擊隊(duì)����,紅隊(duì)的構(gòu)成主要有“國(guó)家隊(duì)”(國(guó)家的網(wǎng)安等專門從事網(wǎng)絡(luò)安全的技術(shù)人員)、廠商的滲透技術(shù)人員�����。其中“國(guó)家隊(duì)”的占比大概是60%左右��,廠商的技術(shù)人員組成的攻擊小隊(duì)占比在40%左右��。一般來說一個(gè)小隊(duì)大概是3個(gè)人�����,分別負(fù)責(zé)信息收集�、滲透�、打掃戰(zhàn)場(chǎng)的工作。藍(lán)隊(duì)為防守隊(duì)��,一般是隨機(jī)抽取一些單位參與����。藍(lán)隊(duì)初始積分為10000分�����,一旦被攻擊成功就會(huì)扣相應(yīng)的分���。每年對(duì)于藍(lán)隊(duì)的要求都更加嚴(yán)格��。2020年以前藍(lán)隊(duì)只要能發(fā)現(xiàn)攻擊就能加分�����,或者把扣掉的分補(bǔ)回來����;但是到了2021年����,藍(lán)隊(duì)必須滿足及時(shí)發(fā)現(xiàn)����、及時(shí)處置以及還原攻擊鏈才能少扣一點(diǎn)分���,不能再通過這個(gè)加分了�。唯一的加分方式就是在HVV期間發(fā)現(xiàn)真實(shí)的黑客攻擊���。每只攻擊隊(duì)會(huì)有一些分配好的固定的目標(biāo)��。除此之外,還會(huì)選取一些目標(biāo)放在目標(biāo)池中作為公共目標(biāo)。一般來說紅隊(duì)都會(huì)優(yōu)先攻擊這些公共目標(biāo)�����,一旦攻擊成功�,拿到證據(jù)后�����,就會(huì)在一個(gè)國(guó)家提供的平臺(tái)上進(jìn)行提交����,認(rèn)證成功即可得分���。一般來說,提交平臺(tái)的提交時(shí)間是9:00-21:00�,但是這并不意味著過了這段時(shí)間就沒人攻擊了�。實(shí)際上紅隊(duì)依然會(huì)利用21:00-9:00這段時(shí)間進(jìn)行攻擊��,然后將攻擊成果放在白天提交���。所以藍(lán)隊(duì)這邊需要24小時(shí)進(jìn)行監(jiān)守防護(hù)���。紅隊(duì)是一種全范圍的多層攻擊模擬,旨在衡量公司的人員和網(wǎng)絡(luò)����、應(yīng)用程序和物理安全控制���,用以抵御現(xiàn)實(shí)對(duì)手的攻擊���。在紅隊(duì)交戰(zhàn)期間�,訓(xùn)練有素的安全顧問會(huì)制定攻擊方案��,以揭示潛在的物理���、硬件���、軟件和人為漏洞。紅隊(duì)的參與也為壞的行為者和惡意內(nèi)部人員提供了機(jī)會(huì)來破壞公司的系統(tǒng)和網(wǎng)絡(luò)����,或者損壞其數(shù)據(jù)���。1. 評(píng)估客戶對(duì)威脅行為的反應(yīng)能力��。2. 通過實(shí)現(xiàn)預(yù)演(訪問CEO電子郵件、訪問客戶數(shù)據(jù)等)來評(píng)估客戶網(wǎng)絡(luò)的安全態(tài)勢(shì)����。3. 演示攻擊者訪問客戶端資產(chǎn)的潛在路徑。我們認(rèn)為站在紅隊(duì)的角度來說����,任何網(wǎng)絡(luò)安全保障任務(wù)都會(huì)通過安全檢測(cè)的技術(shù)手段從尋找問題的角度出發(fā)����,發(fā)現(xiàn)系統(tǒng)安全漏洞�,尋找系統(tǒng)���、網(wǎng)絡(luò)存在的短板缺陷��。紅隊(duì)安全檢測(cè)方會(huì)通過使用多種檢測(cè)與掃描工具�,對(duì)藍(lán)方目標(biāo)網(wǎng)絡(luò)展開信息收集����、漏洞測(cè)試、漏洞驗(yàn)證���。尤其是在面向規(guī)模型企業(yè)時(shí)����,更會(huì)通過大規(guī)模目標(biāo)偵查等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問題,其主要流程如下:紅方為了快速了解藍(lán)方用戶系統(tǒng)的類型����、設(shè)備類型、版本�、開放服務(wù)類型���、端口信息,確定系統(tǒng)和網(wǎng)絡(luò)邊界范圍�����,將會(huì)通過Nmap、端口掃描與服務(wù)識(shí)別工具,甚至是使用ZMap�����、MASScan等大規(guī)?���?焖賯刹楣ぞ吡私庥脩艟W(wǎng)絡(luò)規(guī)模���、整體服務(wù)開放情況等基礎(chǔ)信息�����,以便展開更有針對(duì)性的測(cè)試���。紅方掌握藍(lán)方用戶網(wǎng)絡(luò)規(guī)模��、主機(jī)系統(tǒng)類型�、服務(wù)開放情況后����,將會(huì)使用Metasploit或手工等方式展開針對(duì)性的攻擊與漏洞測(cè)試���,其中包含:各種Web應(yīng)用系統(tǒng)漏洞�,中間件漏洞�,系統(tǒng)、應(yīng)用��、組件遠(yuǎn)程代碼執(zhí)行漏等���,同時(shí)也會(huì)使用Hydra等工具對(duì)各種服務(wù)��、中間件��、系統(tǒng)的口令進(jìn)行常用弱口令測(cè)試��,最終通過技術(shù)手段獲得主機(jī)系統(tǒng)或組件權(quán)限���。3��、權(quán)限獲取與橫向移動(dòng)紅方通過系統(tǒng)漏洞或弱口令等方式獲取到特定目標(biāo)權(quán)限后�����,利用該主機(jī)系統(tǒng)權(quán)限��、網(wǎng)絡(luò)可達(dá)條件進(jìn)行橫向移動(dòng)��,擴(kuò)大戰(zhàn)果控制關(guān)鍵數(shù)據(jù)庫(kù)���、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備����,利用收集到的足夠信息�,最終控制核心系統(tǒng)��、獲取核心數(shù)據(jù)等����,以證明目前系統(tǒng)安全保障的缺失。紅隊(duì)充當(dāng)真實(shí)且有動(dòng)力的攻擊者����。大多數(shù)時(shí)候�����,紅隊(duì)攻擊范圍很大�,整個(gè)環(huán)境都在范圍內(nèi)���,他們的目標(biāo)是滲透��,維持持久性�����、中心性�、可撤退性,以確認(rèn)一個(gè)頑固的敵人能做什么����。所有策略都可用,包括社會(huì)工程�。最終紅隊(duì)會(huì)到達(dá)他們擁有整個(gè)網(wǎng)絡(luò)的目的,否則他們的行動(dòng)將被捕獲����,他們將被所攻擊網(wǎng)絡(luò)的安全管理員阻止,屆時(shí)�,他們將向管理層報(bào)告他們的調(diào)查結(jié)果,以協(xié)助提高網(wǎng)絡(luò)的安全性�����。紅隊(duì)的主要目標(biāo)之一是即使他們進(jìn)入組織內(nèi)部也要保持隱身��。滲透測(cè)試人員在網(wǎng)絡(luò)上表現(xiàn)不好�,并且可以很容易的被檢測(cè)到,因?yàn)樗麄儾捎脗鹘y(tǒng)的方式進(jìn)入組織�,而紅隊(duì)隊(duì)員是隱秘的、快速的��,并且在技術(shù)上具備了規(guī)避AV�����、端點(diǎn)保護(hù)解決方案、防火墻和組織已實(shí)施的其他安全措施的知識(shí)�。藍(lán)隊(duì)面臨的更大挑戰(zhàn),是在不對(duì)用戶造成太多限制的情況下���,發(fā)現(xiàn)可被利用的漏洞�����,保護(hù)自己的領(lǐng)域�。對(duì)藍(lán)隊(duì)而言最重要的����,是了解自身環(huán)境中現(xiàn)有控制措施的能力,尤其是在網(wǎng)絡(luò)釣魚和電話釣魚方面��。有些公司還真就直到正式對(duì)抗了才開始找自家網(wǎng)絡(luò)中的防護(hù)措施�。因?yàn)樗{(lán)隊(duì)的功效基于收集和利用數(shù)據(jù)的能力,日志管理工具�,比如Splunk�����,就特別重要了。另一塊能力則是知道如何收集團(tuán)隊(duì)動(dòng)作的所有數(shù)據(jù)���,并高保真地記錄下來���,以便在復(fù)盤時(shí)確定哪些做對(duì)了,哪些做錯(cuò)了��,以及如何改進(jìn)�����。藍(lán)隊(duì)所用工具取決于自身環(huán)境所需��。他們得弄清“這個(gè)程序在干什么�?為什么它會(huì)試圖格式化硬盤?”�����,然后加上封鎖非預(yù)期動(dòng)作的技術(shù)��。測(cè)試該技術(shù)是否成功的工具���,則來自紅隊(duì)��。4. 挑有經(jīng)驗(yàn)的人加入團(tuán)隊(duì)除了工具,藍(lán)隊(duì)最有價(jià)值的東西��,是隊(duì)員的知識(shí)�����。隨著經(jīng)驗(yàn)的增長(zhǎng)�����,你會(huì)開始想“我見過這個(gè)��,那個(gè)也見過�����,他們做了這個(gè)��,還做了那個(gè)����,但我想知道這里是否有個(gè)漏洞?����!比绻阒会槍?duì)已知的東西做準(zhǔn)備��,那你對(duì)未知就毫無準(zhǔn)備����。提問,是通往探索未知的寶貴工具��。別止步于為今天已存在的東西做準(zhǔn)備���,要假定自己的基礎(chǔ)設(shè)施中將會(huì)有失敗�。最好的思路��,就是假設(shè)終將會(huì)有漏洞�,沒什么東西是100%安全的。
該文章在 2023/8/15 16:55:15 編輯過
400 186 1886
