其他分享
首页 > 其他分享> > Hwang

Hwang

作者:互联网

  1. 认清形势,提升站位,切实增强责任意识。
  2. 精心组织,确保安全,稳步推进攻防演习
  3. 以攻促防,查漏补缺,网络安全防线。

攻防演练是什么?

公安部主办,获取目标系统的最高控制权为目标。保障业务系统安全前提下,不限制攻击路径,不限制攻击手段。形成有组织的网络攻击行为。

攻击方:由组织方给定目标系统,不允许进行破坏性攻击和物理暴力攻击。
以获得系统权限,进入生产网为目标。

防守方:防守方自行组织监控,溯源,防守能力,对攻击行为进行识别和处置。

攻防得分技巧

有能力的前提下,就需要加点战略战术了。
蓝队
退赛规则-目标系统被控

  1. 位于互联网区的目标
  2. 位于业务内网的目标
  3. 位于核心生产网的目标
    万一,也不要一走了之,要溯源,证据,还原攻击链条。

加分规则-发现类
发现的攻击ip来自演习平台,扫描类攻击行为不给分
4. 发现webshell木马,主机木马 //网络重要性
5. 发现账号异常,并采取处置措施 //
6. 发现恶意邮件(恶意链接,病毒)

加分规则-消除类
基础条件是发现攻击ip来自演习平台
7. 处置现场接触式攻击
。。。

加分规则-应急处置
积极配合应急组工作,快速定位受害系统,提供日志记录

加分规则-追踪溯源
溯源反制

加分规则-演习总结

-----蓝队算分工具

失分原因

正面渗透--应用漏洞,框架漏洞,0day,中间件漏洞,系统漏洞,弱口令
迂回社工---**专线**,近源攻击,钓鱼邮件

红队
加分规则-靶标分

  1. 位于互联网区的目标
  2. 位于业务内网的目标
  3. 位于核心生产网的目标

加分规则-突破边界(路径分)
4. 进入逻辑隔离业务内网
5. 进入逻辑强隔离业务内网
6. 进入核心生产网
7. 其他情况

加分规则-获取权限(路径分)
8. 获取参演单位的域名控制权限
9. 获取终端计算机权限
10.获取邮箱账号权限
10. 获取web应用,ftp等应用的用户权限
11. 获取单点登录认证系统sso权限
12. 服务器主机权限
13. 域控系统权限
14. 获取堡垒机,运维机权限
15. 云管理平台权限,大数据系统控制权
16. 获取数据库连接账号密码(含sql注入)
17. 防火墙,路由器,交换机,网闸,vpn等网络设备权限
18. 。。。。

加分规则-发现演习前已有攻击
19. 已植入webshell木马,主机木马
20.新增账号
隐蔽通道
溯源
。。。。
红队算分工具

网络整体策略优化

安全防护设备概述
防火墙,web防火墙waf,入侵防御ips,入侵检测ids,防毒墙等。

网络安全架构评估
”一中心三防护“
什么是网闸? this

互联网暴露面检测

可能被利用和入侵的应用,系统,设备,信息等

防守保障的经验和技巧

监控和分析研判

分析研判思路 – 资产信息

分析研判思路–换位思考
攻击者入侵目标,冬季,方法,途径?

分析研判思路–行为维度

分析研判思路–事件维度

分析研判思路–恶意代码分析
(平台)

分析思路-hw分析实战技巧

攻击场景 --互联网扫描
流量中包含扫描器特征
端口扫描
漏洞扫描
目录爆破

攻击场景–sql注入
攻击场景–命令注入
攻击场景–文件上传
攻击场景–webshell连接
攻击场景–xss攻击流量特征

手工验证

漏洞分析

漏洞分析 --hw常见攻击
漏洞分析–

应急/溯源/反制

windows 应急思路

  1. 检查系统账号安全
    linux 排查思路

内存马

标签:分析,攻击,漏洞,研判,权限,Hwang,溯源
来源: https://blog.csdn.net/weixin_43123409/article/details/117932415