HVV行動是以公安部牽頭的����,用以評估企事業(yè)單位的網(wǎng)絡安全的活動。具體實踐中,公安部會組織攻防兩方���,進攻方會在一個月內(nèi)對防守方發(fā)動網(wǎng)絡攻擊��,檢測出防守方(企事業(yè)單位)存在的安全漏洞����。通過與進攻方的對抗��,企事業(yè)單位網(wǎng)絡�����、系統(tǒng)以及設備等的安全能力會大大提高��。“HVV行動”是國家應對網(wǎng)絡安全問題所做的重要布局之一����。“HVV行動”從2016年開始����,隨著我國對網(wǎng)絡安全的重視��,涉及單位不斷擴大���,越來越多的單位都加入到HVV行動中�,網(wǎng)絡安全對抗演練越來越貼近實際情況,各機構對待網(wǎng)絡安全需求也從被動構建�,升級為業(yè)務保障剛需。HVV一般按照行政級別分為國家級HVV��、省級HVV�、市級HVV;除此之外�����,還有一些行業(yè)對于網(wǎng)絡安全的要求比較高�����,因此也會在行業(yè)內(nèi)部展開HVV行動���,比如教育���、醫(yī)療、金融等行業(yè)�。
不同級別的HVV開始時間和持續(xù)時間都不一樣。以國家級HVV為例,一般來說HVV都是每年的7����、8月左右開始,一般持續(xù)時間是2~3周�����。省級大概在2周左右��,再低級的就是一周左右�����。2021年比較特殊�,所有的安全工作都要在7月之前完成,所有21年的HVV在4月左右就完成了�。HVV是政府組織的,會對所參與的單位進行排名��,在HVV中表現(xiàn)不佳的單位�����,未來評優(yōu)評先等等工作都會受到影響��。并且HVV是和政治掛鉤的�,一旦參與HVV的企業(yè)、單位的網(wǎng)絡被攻擊者打穿���,領導都有可能被撤掉���。比如去年的一個金融證券單位,網(wǎng)絡被打穿了�,該單位的二把手直接被撤職。整體付出的代價還是非常嚴重的���。HVV一般分為紅藍兩隊�,做紅藍對抗(網(wǎng)上關于紅藍攻防說法不一����,這里以國內(nèi)紅攻藍防為藍本)。紅隊為攻擊隊����,紅隊的構成主要有“國家隊”(國家的網(wǎng)安等專門從事網(wǎng)絡安全的技術人員)、廠商的滲透技術人員��。其中“國家隊”的占比大概是60%左右���,廠商的技術人員組成的攻擊小隊占比在40%左右�����。一般來說一個小隊大概是3個人��,分別負責信息收集�、滲透、打掃戰(zhàn)場的工作��。藍隊初始積分為10000分����,一旦被攻擊成功就會扣相應的分。每年對于藍隊的要求都更加嚴格��。2020年以前藍隊只要能發(fā)現(xiàn)攻擊就能加分��,或者把扣掉的分補回來�;但是到了2021年,藍隊必須滿足及時發(fā)現(xiàn)�����、及時處置以及還原攻擊鏈才能少扣一點分,不能再通過這個加分了���。唯一的加分方式就是在HVV期間發(fā)現(xiàn)真實的黑客攻擊��。每只攻擊隊會有一些分配好的固定的目標。除此之外���,還會選取一些目標放在目標池中作為公共目標��。一般來說紅隊都會優(yōu)先攻擊這些公共目標�,一旦攻擊成功�����,拿到證據(jù)后����,就會在一個國家提供的平臺上進行提交,認證成功即可得分����。一般來說,提交平臺的提交時間是9:00-21:00�����,但是這并不意味著過了這段時間就沒人攻擊了。實際上紅隊依然會利用21:00-9:00這段時間進行攻擊����,然后將攻擊成果放在白天提交。所以藍隊這邊需要24小時進行監(jiān)守防護��。紅隊是一種全范圍的多層攻擊模擬����,旨在衡量公司的人員和網(wǎng)絡、應用程序和物理安全控制�,用以抵御現(xiàn)實對手的攻擊。在紅隊交戰(zhàn)期間�����,訓練有素的安全顧問會制定攻擊方案�,以揭示潛在的物理、硬件���、軟件和人為漏洞�。紅隊的參與也為壞的行為者和惡意內(nèi)部人員提供了機會來破壞公司的系統(tǒng)和網(wǎng)絡��,或者損壞其數(shù)據(jù)。2. 通過實現(xiàn)預演(訪問CEO電子郵件、訪問客戶數(shù)據(jù)等)來評估客戶網(wǎng)絡的安全態(tài)勢��。3. 演示攻擊者訪問客戶端資產(chǎn)的潛在路徑����。我們認為站在紅隊的角度來說,任何網(wǎng)絡安全保障任務都會通過安全檢測的技術手段從尋找問題的角度出發(fā)�,發(fā)現(xiàn)系統(tǒng)安全漏洞�����,尋找系統(tǒng)����、網(wǎng)絡存在的短板缺陷。紅隊安全檢測方會通過使用多種檢測與掃描工具��,對藍方目標網(wǎng)絡展開信息收集�、漏洞測試、漏洞驗證���。尤其是在面向規(guī)模型企業(yè)時�����,更會通過大規(guī)模目標偵查等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問題��,其主要流程如下:紅方為了快速了解藍方用戶系統(tǒng)的類型、設備類型��、版本�����、開放服務類型����、端口信息,確定系統(tǒng)和網(wǎng)絡邊界范圍����,將會通過Nmap、端口掃描與服務識別工具�����,甚至是使用ZMap、MASScan等大規(guī)??焖賯刹楣ぞ吡私庥脩艟W(wǎng)絡規(guī)模、整體服務開放情況等基礎信息��,以便展開更有針對性的測試�����。紅方掌握藍方用戶網(wǎng)絡規(guī)模、主機系統(tǒng)類型�����、服務開放情況后��,將會使用Metasploit或手工等方式展開針對性的攻擊與漏洞測試���,其中包含:各種Web應用系統(tǒng)漏洞,中間件漏洞�,系統(tǒng)、應用�、組件遠程代碼執(zhí)行漏等,同時也會使用Hydra等工具對各種服務、中間件��、系統(tǒng)的口令進行常用弱口令測試����,最終通過技術手段獲得主機系統(tǒng)或組件權限。紅方通過系統(tǒng)漏洞或弱口令等方式獲取到特定目標權限后����,利用該主機系統(tǒng)權限���、網(wǎng)絡可達條件進行橫向移動���,擴大戰(zhàn)果控制關鍵數(shù)據(jù)庫、業(yè)務系統(tǒng)��、網(wǎng)絡設備�����,利用收集到的足夠信息���,最終控制核心系統(tǒng)�、獲取核心數(shù)據(jù)等,以證明目前系統(tǒng)安全保障的缺失�����。紅隊充當真實且有動力的攻擊者�����。大多數(shù)時候��,紅隊攻擊范圍很大����,整個環(huán)境都在范圍內(nèi),他們的目標是滲透����,維持持久性�����、中心性�����、可撤退性,以確認一個頑固的敵人能做什么�����。所有策略都可用�,包括社會工程。最終紅隊會到達他們擁有整個網(wǎng)絡的目的����,否則他們的行動將被捕獲,他們將被所攻擊網(wǎng)絡的安全管理員阻止��,屆時�,他們將向管理層報告他們的調(diào)查結果,以協(xié)助提高網(wǎng)絡的安全性���。紅隊的主要目標之一是即使他們進入組織內(nèi)部也要保持隱身�����。滲透測試人員在網(wǎng)絡上表現(xiàn)不好��,并且可以很容易的被檢測到��,因為他們采用傳統(tǒng)的方式進入組織����,而紅隊隊員是隱秘的、快速的��,并且在技術上具備了規(guī)避AV��、端點保護解決方案����、防火墻和組織已實施的其他安全措施的知識。藍隊面臨的更大挑戰(zhàn)�,是在不對用戶造成太多限制的情況下,發(fā)現(xiàn)可被利用的漏洞�����,保護自己的領域��。對藍隊而言最重要的�����,是了解自身環(huán)境中現(xiàn)有控制措施的能力�,尤其是在網(wǎng)絡釣魚和電話釣魚方面。有些公司還真就直到正式對抗了才開始找自家網(wǎng)絡中的防護措施���。因為藍隊的功效基于收集和利用數(shù)據(jù)的能力���,日志管理工具,比如Splunk�,就特別重要了。另一塊能力則是知道如何收集團隊動作的所有數(shù)據(jù)����,并高保真地記錄下來,以便在復盤時確定哪些做對了�����,哪些做錯了�����,以及如何改進�。藍隊所用工具取決于自身環(huán)境所需。他們得弄清“這個程序在干什么�?為什么它會試圖格式化硬盤?”��,然后加上封鎖非預期動作的技術。測試該技術是否成功的工具����,則來自紅隊。除了工具��,藍隊最有價值的東西����,是隊員的知識。隨著經(jīng)驗的增長���,你會開始想“我見過這個���,那個也見過,他們做了這個��,還做了那個�����,但我想知道這里是否有個漏洞���?����!比绻阒会槍σ阎臇|西做準備�,那你對未知就毫無準備����。提問,是通往探索未知的寶貴工具���。別止步于為今天已存在的東西做準備��,要假定自己的基礎設施中將會有失敗���。最好的思路,就是假設終將會有漏洞�����,沒什么東西是100%安全的�����。
該文章在 2023/8/15 16:55:15 編輯過
400 186 1886
