HVV行動是以公安部牽頭的��,用以評估企事業(yè)單位的網(wǎng)絡(luò)安全的活動����。具體實(shí)踐中,公安部會組織攻防兩方�����,進(jìn)攻方會在一個月內(nèi)對防守方發(fā)動網(wǎng)絡(luò)攻擊����,檢測出防守方(企事業(yè)單位)存在的安全漏洞���。通過與進(jìn)攻方的對抗,企事業(yè)單位網(wǎng)絡(luò)�、系統(tǒng)以及設(shè)備等的安全能力會大大提高。“HVV行動”是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一���。“HVV行動”從2016年開始���,隨著我國對網(wǎng)絡(luò)安全的重視��,涉及單位不斷擴(kuò)大���,越來越多的單位都加入到HVV行動中,網(wǎng)絡(luò)安全對抗演練越來越貼近實(shí)際情況�����,各機(jī)構(gòu)對待網(wǎng)絡(luò)安全需求也從被動構(gòu)建�����,升級為業(yè)務(wù)保障剛需。HVV一般按照行政級別分為國家級HVV��、省級HVV�����、市級HVV���;除此之外��,還有一些行業(yè)對于網(wǎng)絡(luò)安全的要求比較高�����,因此也會在行業(yè)內(nèi)部展開HVV行動�,比如教育���、醫(yī)療�����、金融等行業(yè)����。
不同級別的HVV開始時(shí)間和持續(xù)時(shí)間都不一樣。以國家級HVV為例���,一般來說HVV都是每年的7�����、8月左右開始�,一般持續(xù)時(shí)間是2~3周�����。省級大概在2周左右�,再低級的就是一周左右��。2021年比較特殊�����,所有的安全工作都要在7月之前完成�,所有21年的HVV在4月左右就完成了。HVV是政府組織的����,會對所參與的單位進(jìn)行排名,在HVV中表現(xiàn)不佳的單位,未來評優(yōu)評先等等工作都會受到影響�����。并且HVV是和政治掛鉤的����,一旦參與HVV的企業(yè)、單位的網(wǎng)絡(luò)被攻擊者打穿�����,領(lǐng)導(dǎo)都有可能被撤掉����。比如去年的一個金融證券單位,網(wǎng)絡(luò)被打穿了���,該單位的二把手直接被撤職���。整體付出的代價(jià)還是非常嚴(yán)重的。HVV一般分為紅藍(lán)兩隊(duì)����,做紅藍(lán)對抗(網(wǎng)上關(guān)于紅藍(lán)攻防說法不一���,這里以國內(nèi)紅攻藍(lán)防為藍(lán)本)。紅隊(duì)為攻擊隊(duì)�,紅隊(duì)的構(gòu)成主要有“國家隊(duì)”(國家的網(wǎng)安等專門從事網(wǎng)絡(luò)安全的技術(shù)人員)、廠商的滲透技術(shù)人員�����。其中“國家隊(duì)”的占比大概是60%左右�����,廠商的技術(shù)人員組成的攻擊小隊(duì)占比在40%左右�。一般來說一個小隊(duì)大概是3個人,分別負(fù)責(zé)信息收集�����、滲透���、打掃戰(zhàn)場的工作。藍(lán)隊(duì)為防守隊(duì)�����,一般是隨機(jī)抽取一些單位參與。藍(lán)隊(duì)初始積分為10000分��,一旦被攻擊成功就會扣相應(yīng)的分�。每年對于藍(lán)隊(duì)的要求都更加嚴(yán)格。2020年以前藍(lán)隊(duì)只要能發(fā)現(xiàn)攻擊就能加分����,或者把扣掉的分補(bǔ)回來;但是到了2021年��,藍(lán)隊(duì)必須滿足及時(shí)發(fā)現(xiàn)��、及時(shí)處置以及還原攻擊鏈才能少扣一點(diǎn)分����,不能再通過這個加分了。唯一的加分方式就是在HVV期間發(fā)現(xiàn)真實(shí)的黑客攻擊��。每只攻擊隊(duì)會有一些分配好的固定的目標(biāo)���。除此之外���,還會選取一些目標(biāo)放在目標(biāo)池中作為公共目標(biāo)。一般來說紅隊(duì)都會優(yōu)先攻擊這些公共目標(biāo)�����,一旦攻擊成功,拿到證據(jù)后����,就會在一個國家提供的平臺上進(jìn)行提交,認(rèn)證成功即可得分�。一般來說,提交平臺的提交時(shí)間是9:00-21:00�����,但是這并不意味著過了這段時(shí)間就沒人攻擊了����。實(shí)際上紅隊(duì)依然會利用21:00-9:00這段時(shí)間進(jìn)行攻擊,然后將攻擊成果放在白天提交�。所以藍(lán)隊(duì)這邊需要24小時(shí)進(jìn)行監(jiān)守防護(hù)。紅隊(duì)是一種全范圍的多層攻擊模擬����,旨在衡量公司的人員和網(wǎng)絡(luò)����、應(yīng)用程序和物理安全控制���,用以抵御現(xiàn)實(shí)對手的攻擊。在紅隊(duì)交戰(zhàn)期間��,訓(xùn)練有素的安全顧問會制定攻擊方案�����,以揭示潛在的物理��、硬件����、軟件和人為漏洞。紅隊(duì)的參與也為壞的行為者和惡意內(nèi)部人員提供了機(jī)會來破壞公司的系統(tǒng)和網(wǎng)絡(luò)����,或者損壞其數(shù)據(jù)。1. 評估客戶對威脅行為的反應(yīng)能力�。2. 通過實(shí)現(xiàn)預(yù)演(訪問CEO電子郵件、訪問客戶數(shù)據(jù)等)來評估客戶網(wǎng)絡(luò)的安全態(tài)勢�����。3. 演示攻擊者訪問客戶端資產(chǎn)的潛在路徑��。我們認(rèn)為站在紅隊(duì)的角度來說,任何網(wǎng)絡(luò)安全保障任務(wù)都會通過安全檢測的技術(shù)手段從尋找問題的角度出發(fā)���,發(fā)現(xiàn)系統(tǒng)安全漏洞��,尋找系統(tǒng)�����、網(wǎng)絡(luò)存在的短板缺陷�����。紅隊(duì)安全檢測方會通過使用多種檢測與掃描工具����,對藍(lán)方目標(biāo)網(wǎng)絡(luò)展開信息收集�����、漏洞測試����、漏洞驗(yàn)證。尤其是在面向規(guī)模型企業(yè)時(shí),更會通過大規(guī)模目標(biāo)偵查等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問題�����,其主要流程如下:紅方為了快速了解藍(lán)方用戶系統(tǒng)的類型����、設(shè)備類型、版本�����、開放服務(wù)類型���、端口信息�,確定系統(tǒng)和網(wǎng)絡(luò)邊界范圍�,將會通過Nmap、端口掃描與服務(wù)識別工具���,甚至是使用ZMap����、MASScan等大規(guī)模快速偵查工具了解用戶網(wǎng)絡(luò)規(guī)模��、整體服務(wù)開放情況等基礎(chǔ)信息�,以便展開更有針對性的測試。紅方掌握藍(lán)方用戶網(wǎng)絡(luò)規(guī)模、主機(jī)系統(tǒng)類型����、服務(wù)開放情況后,將會使用Metasploit或手工等方式展開針對性的攻擊與漏洞測試���,其中包含:各種Web應(yīng)用系統(tǒng)漏洞��,中間件漏洞�����,系統(tǒng)���、應(yīng)用����、組件遠(yuǎn)程代碼執(zhí)行漏等�����,同時(shí)也會使用Hydra等工具對各種服務(wù)���、中間件、系統(tǒng)的口令進(jìn)行常用弱口令測試�����,最終通過技術(shù)手段獲得主機(jī)系統(tǒng)或組件權(quán)限�。紅方通過系統(tǒng)漏洞或弱口令等方式獲取到特定目標(biāo)權(quán)限后����,利用該主機(jī)系統(tǒng)權(quán)限、網(wǎng)絡(luò)可達(dá)條件進(jìn)行橫向移動����,擴(kuò)大戰(zhàn)果控制關(guān)鍵數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)�����、網(wǎng)絡(luò)設(shè)備,利用收集到的足夠信息�,最終控制核心系統(tǒng)、獲取核心數(shù)據(jù)等����,以證明目前系統(tǒng)安全保障的缺失。紅隊(duì)充當(dāng)真實(shí)且有動力的攻擊者�。大多數(shù)時(shí)候,紅隊(duì)攻擊范圍很大�����,整個環(huán)境都在范圍內(nèi)��,他們的目標(biāo)是滲透��,維持持久性�����、中心性����、可撤退性���,以確認(rèn)一個頑固的敵人能做什么。所有策略都可用�,包括社會工程。最終紅隊(duì)會到達(dá)他們擁有整個網(wǎng)絡(luò)的目的����,否則他們的行動將被捕獲,他們將被所攻擊網(wǎng)絡(luò)的安全管理員阻止�,屆時(shí)�����,他們將向管理層報(bào)告他們的調(diào)查結(jié)果����,以協(xié)助提高網(wǎng)絡(luò)的安全性。紅隊(duì)的主要目標(biāo)之一是即使他們進(jìn)入組織內(nèi)部也要保持隱身�。滲透測試人員在網(wǎng)絡(luò)上表現(xiàn)不好,并且可以很容易的被檢測到�,因?yàn)樗麄儾捎脗鹘y(tǒng)的方式進(jìn)入組織,而紅隊(duì)隊(duì)員是隱秘的����、快速的���,并且在技術(shù)上具備了規(guī)避AV、端點(diǎn)保護(hù)解決方案�����、防火墻和組織已實(shí)施的其他安全措施的知識��。藍(lán)隊(duì)面臨的更大挑戰(zhàn)�����,是在不對用戶造成太多限制的情況下�����,發(fā)現(xiàn)可被利用的漏洞���,保護(hù)自己的領(lǐng)域��。對藍(lán)隊(duì)而言最重要的,是了解自身環(huán)境中現(xiàn)有控制措施的能力�����,尤其是在網(wǎng)絡(luò)釣魚和電話釣魚方面。有些公司還真就直到正式對抗了才開始找自家網(wǎng)絡(luò)中的防護(hù)措施���。因?yàn)樗{(lán)隊(duì)的功效基于收集和利用數(shù)據(jù)的能力�����,日志管理工具�,比如Splunk�����,就特別重要了�����。另一塊能力則是知道如何收集團(tuán)隊(duì)動作的所有數(shù)據(jù)�,并高保真地記錄下來����,以便在復(fù)盤時(shí)確定哪些做對了,哪些做錯了�,以及如何改進(jìn)。藍(lán)隊(duì)所用工具取決于自身環(huán)境所需����。他們得弄清“這個程序在干什么�����?為什么它會試圖格式化硬盤�?”�,然后加上封鎖非預(yù)期動作的技術(shù)。測試該技術(shù)是否成功的工具�,則來自紅隊(duì)。4. 挑有經(jīng)驗(yàn)的人加入團(tuán)隊(duì)除了工具���,藍(lán)隊(duì)最有價(jià)值的東西���,是隊(duì)員的知識。隨著經(jīng)驗(yàn)的增長�����,你會開始想“我見過這個���,那個也見過����,他們做了這個,還做了那個�����,但我想知道這里是否有個漏洞��?���!比绻阒会槍σ阎臇|西做準(zhǔn)備,那你對未知就毫無準(zhǔn)備���。提問���,是通往探索未知的寶貴工具。別止步于為今天已存在的東西做準(zhǔn)備�,要假定自己的基礎(chǔ)設(shè)施中將會有失敗��。最好的思路��,就是假設(shè)終將會有漏洞�����,沒什么東西是100%安全的。
該文章在 2023/8/15 16:55:15 編輯過
400 186 1886
