关于护网行动

前言

“护网行动”是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始，随着我国对网络安全的重视，涉及单位不断扩大，越来越多的单位都加入到护网行动中，网络安全对抗演练越来越贴近实际情况，各机构对待网络安全需求也从被动构建，升级为业务保障刚需。

简单了解护网行动

什么是护网行动
护网行动是以GA牵头的，用以评估企事业单位的网络安全的活动。具体实践中。GA会组织攻防两方，进攻方会在一个月内对防守方发动网络攻击，检测出防守方（企事业单位）存在的安全漏洞。通过与进攻方的对抗，企事业单位网络、系统以及设备等的安全能力会大大提高。

护网分类、规模、时间
护网一般按照行政级别分为国家级护网、省级护网、市级护网，但有些对网络安全要求较高的行业也会参加。22年基本上各行各业都参与其中 ，以国家级护网为例，一般来说护网都是每年的由GA部门确定开始，一般持续时间是2~3周。省级大概在2周左右，市级的就是一周左右。21年因为是建党100年，所以把时间定在了上半年完成，22年的话因为疫情原因不得不延迟在七月底八月初举行。

护网行动发展前景
没有网络安全就没有国家安全，网络安全上升到了国家层面，所以整个行业的前景还是非常好的，而且对于这方面的人才国家也很重视，缺口也很大，薪资待遇可观。

分享护网经验

防扣分技巧：
非所属资产被扣分一定要上诉;若攻击方提供的报告是内网资产，要求证明是我方资产;保持严谨态度，无确凿证据绝不承认。要是红方被溯源的话，也要保持严谨态度，无确凿证据绝不承认。
加分妙招：
关注文件沙箱，waf ，ids，ips等设备的告警信息，关注一些高危告警漏洞，就是收集一切能利用的有用信息并联系裁判组进行仲裁。
防护建议：一般来说看到境外的ip直接封禁，加强设备对内网的防护，对于漏洞还有木马等攻击手段一定要研判仔细，有的不会出现告警这时可以去分析流量特征，对待护网一定要认真。
双方沟通：
对于代表各个厂商来到各个公司，一定要会沟通，派过来不是来找麻烦的，日志报告一定要写的规范，告警数量，上报事件，重要事件，攻击手段等，一定跟客户确定好不是内部资产，然后上报给客户进行相应处置。
安全工作指南：
本指南主要为了规避驻场工程师在护网防守期间出现违规行为，从保密要求、网络传播、值守要求、关键个人操作行为等方面提出最基本的护网期间工作准则，规避驻场工程师、小白等被攻击者利用的风险

一、保密要求
跟客户签订好保密协议后，协议里面涉及到不允许做的事情，一概不去触碰，还有不能泄露任何关于用户的个人信息数据等，不能随便张贴关于公司设备账号密码的纸条。
二、网络传播
不允许在微步、微博、微信朋友圈、qq空间等社交平台发布有关HW的任何信息。
也不允许在各个网站或者外部应用上使用跟公司同样的账号密码。最后不允许通过网盘、云盘、社交软件等方式对公司敏感文件存储和共享。
三、值守要求
不能擅离职守，轮到值班的时候一定要尽职尽责，保持通讯顺畅。不能隐瞒和恶意利用木马，一旦发现问题立刻上报，尤其是不能拍照，带有公司logo、办公现场等，切记不要打探公司内部员工的任何消息。
四、关键操作行为
不允许任何形式的漏扫，漏洞验证，渗透测试。不能在办公网络中搭建自己的无线热点。告诉客户不能点击或者打开任何来路不明的链接或者图片。不允许随意使用自己的u盘或者硬盘插拔公司电脑，不允许下载不安全的工具跟软件等。

攻防入侵路径

web互联网资产暴露面
互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产所面临的安全风险更高，攻击者可利用的点更多，且攻击的成本也更低。
设备部署方式
如果说客户疏忽设备的部署方式，或者使用了错误的部署方式，那就跟不起不到真正的防护作用了，那就很容易被拿下靶标系统。所以一定要先检查各个设备是否能起到作用。
社工
所谓社工就是社会工程学，也就是红队可以伪造身份，进入公司中做近源渗透、套取公司信息、插U盘获取信息等，所以公司的员工安全意识层面要增强，尤其是护网期间出现的任何可疑人员都要进行登记排查。
本部及附属单位
在本部做好了防御的同时，还要严格要求有业务来往或者下级的一些单位也做好相应的防护，防止顺着线索一步一步爬上来拿到靶标系统，这在护网期间也是非常常见的，有的行业业务分布的太散很容易沦陷。

红队攻击方式

介绍红队常见的几种攻击方式
一、利用弱口令获得权限
就是很多红队专家都利用公司设置的弱密码、默认密码、已经泄露的密码等来进行暴力破解获取权限，这种攻击方式是最常见的。好多公司采用中国式命名规则，名字或者姓氏的英文加数字或者用自己的身份证 生日 手机号等命名格式。（建议还是跟自己身边干运维的朋友多学学怎样设置比较安全）
二、利用互联网边界渗透内网
大部分的企业都设置有边界设备或者系统，例如：VPN系统，邮件系统、官网、桌面系统等,(今年就出现了VPN的一个0day)这些都可以从互联网访问，红队提前打点的时候要是被发现了，很容易成为突破点。
三、利用产品组件漏洞
红队组成队伍有各大厂商的人员，有些安全组件中都存在安全漏洞，今年出现的有通用产品漏洞有：通达OA系统、蓝凌OA系统、泛微OA系统、邮件系统、中间件漏洞、nginx0day等这些漏洞被利用后，可以使攻击方快速获取大量的账户权限，进而控制目标系统，但是安全设备会把这一系列操作当成正常业务而被忽略。
四、 利用安全产品的0day漏洞
产品本身也是一行行代码构成，包含操作系统、数据库、各类组件等组合成的产品。因为历年的攻防演练中，被发现跟利用的各类安全产品的0day漏洞，使得攻击者突破网络边界，获取权限进入网络，获取用户账户信息。
五、社工
利用人们的安全意识不足，通过钓鱼邮件或者社交平台、各个网上社区进行诱骗，此手段是红队历年管用伎俩。(搞人要比搞系统容易的多)。还有就是冒充客户在一些平台上对公司进行虚假投诉，诱使客服人员接受带毒文件或者带毒压缩包，只要一打开，就可以进行内网渗透。
六、利用供应链隐蔽攻击
攻击者会通过IT服务商、安全服务商、办公及生产服务商等供应链入手，寻找软件、设备及系统漏洞，利用此种方法，可以实现第三方软件系统的恶意更新，第三方服务后台秘密操控，物理边界防御突破 等多种复杂的攻击目标。
七、利用附属单位迂回攻击
公司总部设备多，防守人员多，技术较强，不容易攻破，那么此时只能换个思路去攻击。红队历年来发现绝大部分企业机构，下属单位与总部的内部网络未进行有效隔阂，都设置一条专线网络，来打通各地内网，这种方法方便了公司同时也方便了红队攻陷的话直接进行横向渗透。
八、特定渗透(秘密渗透)
红队一般都不会大规模使用漏扫工具，那样很容易暴露，各大安全设备都有检测漏扫工具的能力，所以很容易报警。所以会有针对性地根据特定系统，平台，特定版本寻找对应漏洞，有能力者自行编写设备的EXP进行攻击，达到目的。
九、多点潜伏
红队通常不会仅仅站在一个据点上去去开展渗透工作，采取不同的Webshell，使用不同的后门程序，利用不同的协议来建立不同特征的据点。真实的溯源可能并没有溯源攻击源头，也未必能分析完整攻击路径，防守方或者运维人员有的时候并没有真正的把攻击者排除内网之外，使得他们还可以‘死灰复燃’。

蓝队防守方式

一、蓝队分组：

1.检测组：主要是监控设备，发现异常报警及时上报研判组。
2.研判组：至关重要的一组。确定是否发生了事件，影响面有多大，若是判定为攻击上交处置组。
3.处置组：主要是甲方的业务人员，确认是否是公司资产，如若不是，则进行封禁ip，限制后续动作。
4.应急组：主要对演戏过程中的各类突发安全事件，进行及时处理。
5.溯源组：对某个阶段的攻击特点进行分析，结合已掌握的威胁情报数据将攻击特点和数据聚类，能够有效掌握攻击者的攻击手法和ip&域名资产。

二、防守流程：
前期：准备阶段
流程：确定方案组织架构–确定参演人员–确定演戏规则–准备演戏环境–签署演习授权

1.资产梳理：外网资产、端口、域名。 内网资产：主机、系统、服务器。资产风险：漏洞、弱口令、边界完整性。应减少攻击暴露面。
2.架构分析：拓扑梳理:内网区、互联网接入区等  靶标系统及相关联系统:互访关系;业务流。
3.简单的渗透测试：人工渗透;漏扫工具  获取现有资产威胁;了解业务系统漏洞
4.整改加固：漏洞加固、安全配置、设备防护、口令加固、防护能力验证。
5.进行应急演练或者内部的攻防演练：查缺补漏;安全策略优化;防守方案优化。

中期：实战阶段
攻守双方展开全面对抗，蓝队必须依据备战明确的组织和职责，集中精力和兵力，做到监测及时、分析准确、处置高效，力求系统不破、数据不失。
一、全面展开安全监测预警
攻守双方展开全面对抗，蓝队必须依据备战明确的组织和职责，集中精力和兵力，做到监测及时、分析准确、处置高效，力求系统不破、数据不失
二、全局性分析研判工作
在实战防护中，分析研判应作为核心环节，分析研判人员要具备攻防技术能力，熟悉网络和业务。分析研判人员作为整个防护工作的大脑，应充分发挥专家和指挥棒的作用。向前，对监测人员发现的攻击预警、威胁情报进行分析确认，向后，指导协助事件处置人员对确认的攻击进行处置
三、提高事件处置效率效果
确定攻击时间成功后，最重要的是在最短时间内采取技术手段遏制攻击、防止蔓延。事件处置环节，应联合网络、主机、应用和安全等多个岗位人员协同处置
四、追踪溯源，全面反制
在发现攻击事件后，防守队伍可根据安全防护设备、安全监测设备产生的告警信息、样本信息等，结合各种情报系统追踪溯源。条件允许时，可通过部署诱捕系统反制攻击队攻击终端，做到追踪溯源、防守反制。

后期：总结整顿阶段
护网行动的结束也是防护工作改进的开始。并向相关单位汇报情况包括：组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等总结成报告。
一、通过复盘会找出护网期间备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足，输出技术和管理两方面问题整改措施计划，为护网队伍在下一次保障提供防守技术指导。
二、护网行动并不是一次保障性活动，其最终目的就是通过演习发现网络安全建设存在的不足，改进和提升整体安全防御的安全能力。

个人总结：
就个人来说，参加护网行动带来的好处是很多的，尤其是对刚进入网络安全圈的小白来说，每次的护网经历都是与众不同的，会让你看到各种各样的漏洞报警信息，能够涨不少知识，对于刚毕业的大学生来说也不错 ，多了项目经验，可以找一份薪资待遇不错的工作。总而言之，凭借着自己的能力来参加都是不错的。要知道护网行动跟传统的渗透测试是两回事。

趣事分享

原来甲方早就知道我只是点鼠标的猴子，说一线只要点点就行