3分钟带你搞懂什么是网络安全护网行动?

3分钟带你搞懂什么是网络安全护网行动?

内容目录
  • 什么是护网行动
  • 护网经验分享
  • 攻防入侵路径
  • 红队攻击方式
  • 蓝队防守策略
    • 极端防守策略
    • 积极防守策略
    • 防守工作内容
    • 资产梳理
    • 渗透概述
    • 中期防守
  • 参加护网行动的好处
  • 护网蓝队技能要求

0****1

什么是护网行动

1.1.什么是护网行动?

护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动。

具体实践中,公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。

“护网行动”是国家应对网络安全问题所做的重要布局之一。

“护网行动”从2016年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多的单位都加入到护网行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。

1.2.护网行动规模

各大企事业单位、部属机关,大型企业(不限于互联网)。

1.3.护网行动分类

护网一般按照行政级别分为国家级护网、省级护网、市级护网;

除此之外,还有一些行业对于网络安全的要求比较高,因此也会在行业内部展开护网行动,比如教育、医疗、金融等行业。

1.4.护网行动时间

不同级别的护网开始时间和持续时间都不一样。以国家级护网为例,一般来说护网都是每年的7、8月左右开始,一般持续时间是2~3周。

省级大概在2周左右,再低级的就是一周左右。

1.5.护网禁止的行为

不能使用DDOS 攻击,部分目标系统需要在非常规攻击时段进行攻击操作;

不能使用破坏性的物理入侵,但针对如无人值守变电站、智能电表等均在测试范围之内;

不能使用有感染及多进程守护功能的木马;

重要业务系统进行攻击操作前需要向指挥部进行请示;

img

0****2

护网经验分享

2.1.防扣分技巧:

非所属资产被扣分一定要上诉;若攻击方提供的报告是内网资产,要求证明是我方资产;保持严谨态度,无确凿证据绝不承认。**
**

2.2.加分技巧:

关注文件沙箱告警日志,分析样本;关注高危漏洞告警,例如反序列化,注入类漏洞,系统层获取权限类漏洞;对攻击信息收集充分的可以联系裁判组进行仲裁。**
**

2.3.防护建议:

善用IP封禁,境外IP一律封禁;加强内网防护;专职样本分析人员;漏洞利用攻击和木马攻击是避免失分;英文钓鱼邮件不得分。**
**

2.4.内外部沟通

报告上报内容:源IP事件类型,流量分析(全流量),有样本需分析样本并附上样本,切忌只截设备告警图;

内部沟通以微信为主,避免流程限制时效。

0****3

攻防入侵路径

3.1.web互联网资产暴露面

互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产所面临的安全风险更高,攻击者可利用的点更多,且攻击的成本也更低。**
**

3.2.设备串入网络且具有漏洞

设备部署有旁路(不改变现有网络结构)有串行(串行接入现有网络当中)等方式,对于串到网络中的设备要慎重,一旦设备本身带有漏洞,可直接被利用,内网穿透。**
**

3.3.社工高权限管理安全意识

对于员工的安全意识层面要贯彻到底,每个人对于自己可执行的权限,负责的内容及区域,工作的流程步骤了解清楚,避免攻击者冒充领导或其他部门]人员套取信息等。

3.4.跳板二级单位及下属机构

在本身已经做好基础防护措施的同时,要对下级单位提出明确需求,使可以有通讯或数据传输的下级单位同样做好防护手段,且对于通讯的策略做好相应的收紧。

0****4

红队攻击方式

web攻击、主机攻击、已知漏洞、敏感文件、口令爆破

攻击团队

团队组成:由公安部组织包括国家信息安全队伍、军队、科研机构、测评机构、 安全公司等共百余支队伍,数百人组成。

攻击方式:在确保防守方靶心系统安全的前提下(如禁用DDoS类攻击),不限制攻击路径,模拟可能使用的任意方法,以提权控制业务、获取数据为最终目的!

但攻击过程受到监控。

0****5

蓝队防守策略

5.1.极端防守策略

全下线:非重要业务系统全部下线;目标系统阶段性下线; 狂封IP:疯狂封IP (C段)宁可错杀1000,不能放过1个; 边缘化:核心业务仅保留最核心的功能且仅上报边缘系统。

5.2.积极防守策略

策略收紧常态化

联系现有设备的厂商将现有的安全设备策略进行调整,将访问控制策略收紧,数据库、系统组件等进行加固。**
**

减少攻击暴露面

暴露在互联网上的资产,并于能在互联网中查到的现网信息进行清除。**
**

各种口令复杂化

不论是操作系统、业务入口,还是数据库、中间件,甚至于主机,凡是需要口令认证的都将口令复杂化设置。**
**

核心业务白名单

将核心业务系统及重要业务系统做好初始化的工作,记录业务正常产生的流量,实施白名单策略。**
**

主机系统****打补丁

对业务系统做基线核查,将不符合标准的项进行整改,并对业务系统做漏洞检查,并对找出的脆弱想进行整改。

img

5.3.蓝队防守流程

img

5.4.防守工作内容

护网前期整体方案**
**

建立组织

总指挥领导小组;指挥决策组;

监测预警小组;应急处置小组;

业务保障小组;对外联络小组。**
**

资产梳理

外网资产IP、端口、域名

内网资产:主机、系统、服务器

资产风险:漏洞、弱口令、边界完整性**
**

架构分析

拓扑梳理:内网区、互联网接入区等;

靶心系统及相关联系统:互访关系;业务流**
**

渗透测试

人工渗透;漏扫工具 获取现有资产威胁;了解业务系统漏洞。**
**

整改加固

安全加固;漏洞修复;安全设备策略;

缺少监控手段部署**
**

应急演练

查缺补漏;安全策略优化;防守方案优化;

验证各方面能力;应急演练

img

5.4.资产梳理
基础信息梳理
基于组织架构、资产类型、资产重要性进行梳理(人工/平台),包括: IP、 MAC、(域 名)、厂商、名称、资产类型、系统识别、开放端口、开放服务、中间件、开放业务、系统版本、责任人、业务部门、部署位置、等。** **
** **

资产脆弱性检测

弱口令、高危端口、高危漏洞、违规外联、违规内联、双网卡、等。**
**

基础信息梳理

资产清单、漏洞台账、资产映射关系、风险列表等。

5.5.渗透概述
  1. 模拟黑客攻击手法,对重要业务系统进行非破坏性的漏洞检测和攻击测试,查找应用代码层面存在的漏洞。
  2. 渗透测试的内容,包括配置管理、身份鉴别、认证授权、会话管理、 输入验证、错误处理、业务逻辑等方面的漏洞。
  3. 忽视点:所有内部文档服务上敏感信息清理或限制访问权限(网络 拓扑、安全防护方案和部署位置、密码文件)。
  4. 备份网站、系统源代码保存位置(开发商或外包商代码管理服务) 避免系统应用0day攻击。

整改加固

img

应急演练

img

0****6

参加护网行动的好处

6.1.技术提升:

**
**

参加护网可以接触到实际的网络攻防技术,了解最新的攻防策略和技术趋势,提升自己的技术水平。

**
**

6.2.团队协作能力:

**
**

参加护网通常需要组成团队进行协作,通过与团队成员的合作,可以提高自己的团队协作能力和沟通能力。

**
**

6.3.社交拓展:

**
**

参加护网会结识到来自不同领域的人才,拓展自己的社交圈,建立人脉关系。

**
**

6.4.知识分享:

**
**

护网通常会有专家分享网络安全领域的知识和经验,参加可以获得这些宝贵的经验和知识,让自己不断学习成长。

**
**

6.5.激发创造力:

**
**

参加护网可以激发个人的创造力和想象力,让自己有更多的灵感和创意,不断创新和改进安全策略。

07

护网蓝队技能要求

图片

网络安全学习路线&学习资源

在这里插入图片描述

网络安全的知识多而杂,怎么科学合理安排?

下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!

初级网工
1、网络安全理论知识(2天)

①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)

①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

“脚本小子”成长进阶资源领取

7、脚本编程(初级/中级/高级)

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程:

需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。

在这里插入图片描述

结语

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值