网络安全实战攻防演习防守方案（38页 PPT）

微信扫码，打开到小程序

网络安全实战攻防演习 防守方案 汇报人 XXX 致力于打造世界一流网络安全企业 1. 概述 网络安全实战攻防演习简介 检测国家关键基础设施与单位备案重要信息系统的安全问题和隐患，检验其 事件监测、安全防护与应急处置，快速协同、应急处突的能力。 目 的 涉及的行业众多、范围广泛，包含政府、金融、电力、运营商、重点企业等 国家关键基础设施行业，每年由选中单位上报资产或国家指定对应关键目标。 目 标 由国家公安部组织全国各部委、行业专家、网络安全专家进行指挥统筹，由 国家网络安全队伍、科研机构、部队、网络安全企业组成攻击检测队伍。 攻 击 检 测 方 针对真实关键目标开展红蓝攻防对抗，攻击方在不破坏目标正常业务工作的 前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的 安全事件开展追踪溯源、应急处置、安全防护工作。 形 式 2.攻击视角 从攻击者视角分析整体安全视图 以核心系统为目标（重要系统、重要人） 总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 入内网后绕道攻击总部 目标 对内部员工发动邮件、 即时通讯的钓鱼攻击接 入内网 控制域控、堡垒机、云 平台、单点登录等系统 以点打面 使用弱口令、密码复用、 密码猜测攻击获取权限 攻击核心主机获取重要 系统权限 利用第三方运维、内部 违规员工非法外联入侵 专网 攻击第三方，利用第三 方接入网络攻击目标单 位 搜索多网卡主机、 4A 系 统、网闸等设备纵向渗 透 攻击供应链，挖掘漏洞 或利用已分配权限进入 内网 攻击手机 App 、微信小 程序等移动应用获取权 限 发现堡垒机漏洞，通过对集控系统的控制 实现以点打面 堡垒机漏洞 攻击者获取邮件账号权限，潜伏并查看邮 件中明文发送的敏感信息，也可利用管理 员账号或者领导账号发起钓鱼邮件 同权利用 攻防演练中出现的实际案例，说明攻击战法的隐蔽和难以防范的特性 往年案例 通过攻防演练裁判视角总结网络安全存在的主要问题，内网安全十分薄弱 网络安全存在的突出问题 一是 APT 攻击防不胜防。攻击者综合利用水坑、钓鱼、欺骗、伪装、跟随等谋略，针对内部人员实施定点攻击， 攻陷后同工同息，利用内部人员权限秘密渗透，攻击过程极难发现。 二是难以防范零日漏洞攻击。攻击方使用零日漏洞武器针对 VPN 、邮件系统、 JAVA 应用等互联网暴露面展开 攻击，可以直接撕破防守方的正面防线，大大缩短了攻击路径，快速取得战果。 三是互联网信息泄露严重。攻击方通过踩点与信息搜集，在百度文库、 Github 、 fofa 、求职 APP 第三方共享 平台发现大量敏感信息，为寻找攻击突破口提供了便捷，进而成功拿下多个重要成果。 四是网络暴露面过宽且漏洞大量存在。很多防守方互联网暴露面点多面广，老旧系统大量存在，攻击者可以通 过基层单位防护薄弱、管理存在缺陷等问题进入内网。 通过攻防演练裁判视角总结网络安全存在的主要问题，内网安全十分薄弱 网络安全存在的突出问题 五是供应链风险巨大。产品供应商、软件开发商、第三方运维厂商安全意识薄弱，频繁出现泄露系统源代码、 网络拓扑、建设方案、接入 VPN 账号密码以及违规外联情况，给攻击方以可乘之机。 六是网络区域之间缺乏有效隔离。 DMZ 区与内网区直接连通，内网和生产网直接相连，内网大区之间缺乏纵深 防御，更没有监测预警能力，攻击方一旦突破互联网边界防护，即可内网全网漫游。 七是集权系统防护脆弱。域控制器、堡垒机、云平台、大数据平台、杀毒管理系统、单点登录系统、 4A 系统成 为攻击重点目标，大量存在弱口令、口令复用、老旧漏洞问题，一旦被控给网络安全带来致命打击。 八是核心业务系统缺乏重点防御。核心业务系统安全防护基本依赖网络流量层设备，运行依赖的主机基本上是 零防御、零感知状态，攻击方基本发现即可将其控制。 3.防守思路 防守工作面临的现实困境 管理困境 技术困境 部分人员安全意识有待提高 安全专业技能有限 组织协调难度较大 资产暴露、泄露信息不清晰 各类漏洞难以防范 现有安全监测手段局限性 供应链监管困难 应急处置效率低、执行难 防守服务目标 发 现 内 部 隐 患 发现企业内部关键信息基础设施存在的突出问题 和深层次漏洞隐患，检验企业的精准防护能力 检 验 安 全 防 护 能 力 通过设立深层次的演练，检验公司已建的安全防 护措施是否有效 检 验 检 测 预 警 能 力 检验企业内部网络安全监测发现、威胁预警、安 全防护和应急处置的主动防御和动态防御能力 检 验 部 门 协 同 能 力 检验安全管理和安全服务部门之间的快速协同能 力 检 验 应 急 预 案 能 力 检验现有的网络安全队伍依据应急预案开展应急 处置工作执行能 累 计 实 战 经 验 通过真实攻击与防护演练，积累实战经验，增强 安全设施与人才队伍建设 防守服务内容 防护梳理 实战对抗 理论推演 梳理防护目标：核心目标、 重点目标、 DMZ 区暴露 设备、安全防护设备等； 梳理安全防线：第一道防 线网络边界，第二道防线 应用系统，第三道防线主 机，第四道防线控制系统； 梳理隔离措施 : 网络访 问控制明细；应用访问控 制明细；不同网络是否有 违规外联通道；梳理对外 提 供服务的资产 清单；集权类系统访问控 制策略； 组织引导攻击队员，可控的对 演习目标开展攻击； 裁判实时对演习成果研判； 对发生的安全事件实时进行应 急处置，确保业务连续性 护网演习裁判为主导，指导 现场攻击队员，对实战中可 能进一步深入使用的攻击手 法和攻击策略进行推演，发 现深层次的安隐患 裁判对实战演习进行全面总 结，凝练演习发现的深层次 安全隐患，并提出相应整改 意见 组织动员 工作统筹协调 制定防护任务、技术 应急处置、确保执行 外协人员安排、管理 流程管理与跟踪 实时跟进防护策略 行内运营人员 资产梳理与评估 渗透测试、漏洞挖掘 协助加固、优化策略 攻击、应急预演 实时攻击监控、溯源 专家研判、应急分析 攻击反制 外部安全专家 行方领导统筹指挥 行内员工全体动员 建立以领导为首的指挥中心，动员行内员工全员重视、全员参与，明确运营人员责任、确定工作边界 建立工作小组 总指挥组 分析研判组 监测防护组 处置响应组 专家团队 协调联络组 实时 监测 防护 安全 事件 告警 优化 安全 策略 事件 取证 分析 事件 研判 溯源 事件 研判 总结 事件 应急 响应 制定 处置 方案 优化 应急 预案 全面资产梳理、隐患排查 01 互 联 网 资 产 梳 理 互联网资产梳理，扫描 重要服务，发现暴露信 息，收敛暴露面 02 敏 感 信 息 排 查 搜索外泄的敏感信息， 检查网站、论坛、网盘、 GitHub 等 03 内 部 资 产 扫 描 扫描资产属性、明确责 任人、检查漏洞信息， 及时加固整改 04 分 析 攻 击 路 径 明确纵向突破口（邮件、 网站、 VPN ），重点关 注集控系统 渗透测试、漏洞挖掘 多厂商联合渗透测试，高强度漏洞挖掘，及时更新补丁、阻断漏洞利用路径 重点安全问题优化加固 邮 件 系 统 通过防护和过滤技术，阻断针对页面的攻击、 识别并过滤钓鱼邮件 集 控 系 统 增强访问控制，建立内网访问白名单，增加 多因素身份认证 V P N 系 统 关注 VPN 设备 0DAY 漏洞，及时更新，或 在演练期间采取特殊处理办法 应 用 系 统 隐藏管理页面，管理与业务端口分离，修改 配置信息，部署诱饵文件 安 装 补 丁 客户端部署补丁分发系统，服务器尽量对漏 洞进行防护措施 安 全 意 识 全面强化口令，避免弱口令，加强安全意识， 避免被鱼叉攻击 全面升级纵深防御技术手段 互联网接入区 网站服务区（ DMZ 区） 核心交换区（旁 路） 核心业务区 安全管理区 防火墙 入侵防御 防火墙 防火墙 蜜罐 入侵检测 APT 检测 内网 哨兵 负载均衡 （应用交付） 态势感 知平台 WAF 镜像流量 安全管理终端 SOAR 安全运 营平台 01 产 品集中 管控平 台 数据库 服务器 核心交换机 核心业务服务器 交换机 汇聚交换机 汇聚交换机 路由器 网站服务器群 网盾 K01 网防 G01 Agent 网探 D01 交换机 网哨 Z01 交换机 网防 G01 Agent 安全应急演练 01 准 备 阶 段 按照演示内容进行 环境搭建，准备攻 击和监测的工具 02 攻 击 阶 段 根据演练的内容， 按照演练方案对目 标进行相应的模拟 攻击 03 监 测 阶 段 发现攻击行为，并 分析其攻击性质， 严重程度等关键信 息，记录上报 04 处 理 阶 段 对攻击事件进行处 理，包括协调人员、 技术问题处理等 05 总 结 阶 段 总结安全事件的原 因、定位、处理、 解决方法、分析经 验等，形成报告 制定有针对性的应急响应预案，模拟演练使安全人员熟练掌握应急处置流程及工作步骤 确保安全事件发生时，能及时响应处置、协调联动。 攻防演练开始前的准备工作，相关安全服务和安全产品 准备阶段工作汇总 安全防护 安全监测 资产识别 建立 IT 资产库，建 立资产特征白名单， 发现安全隐患，减 少资产互联网暴露 面 设置安全监测产品， 提升内部网络安全 监测发现能力、预 警能力、应急处置 能力 实行边界防护 + 内 网防护机制，建立 深层次安全防御体 系，增强内网访问 控制 攻防演练 进行模拟攻防演练 （预演） 资产评估服务 网探 D01 （资产探 测） APT 检测系统 网防 G01 （主机防 护） 网哨 Z01 （ APT ） 蜜罐系统 内网哨兵 网盾 K01 （情报） 渗透测试 攻防演练服务 正式演习防护阶段 预测：威胁情报服务 全网威胁情报监测预警 防御：配备 APT 检测、 蜜罐、 01 系列等安全设备 响应：专家分析研判 平台自动化取证与响应 监控：人工配合多威胁 检测工具，实时监控 持续监控 与分析 策略 流程 专家对网络流量数据进行安全威胁分析，有效识别网络中存在的高级持续性威胁攻击，并及时进行 自动化取证分析和响应处置，配合威胁情报和专家研判服务，优化提升网络安全策略。 实战对抗中的攻击溯源与反制 基于 MITRE ATT&CK 框架，从“网络层、应用层、主机层”对攻击行为全量溯源。 有效识别攻击，努力获取加分 探测扫描 渗透攻击 攻陷蜜罐 后门远控 跳板攻击 • 可疑访问 • 尝试登陆 • 端口扫描 • 漏洞攻击 • 暴力破解 • 登陆成功 • 命令执行 • 可疑程序 • 病毒文件 • 利用蜜罐 发起跳板 攻击 还原攻击链 演习结束后经验积累与能力建设 经验积累 技 术 转 移 资产梳理技术工具 漏洞挖掘、利用技术工具 攻击溯源、反制技术工具 能 力 转 移 实施组织与协调 应急响应与处置 攻击监测与研判 4.产品应用 防守工作评判 标准 04 05 06 01 02 03 内部核心系统风险发现 （安全隐患排查能力） 安全防护能力（深层防 护体系建设） 网络安全监测与预警 （内网威胁发现能力） 应急预案（应急响应与 处置能力） 部门协同（安全部门跨 部门协同能力） 积累实战经验能力（技 术落地与人才建设） 防守工作评判标准 主 机 应 用 综 合 防 护 系 统 ( 网 防 G 0 1 ) 通过在主机上安装软探针，对重要信息系统开展精准防护 网 络 资 产 与 风 险 综 合 管 控 系 统 ( 网 探 D 0 1 ) 通过主动扫描和植入探针，全面进行网络资产和风险管理 网 络 威 胁 情 报 联 防 处 置 平 台 ( 网 盾 K 0 1 ) 通过威胁情报共享，实现全行业联防联控，及时 IP 阻断 应 用 高 级 威 胁 防 御 系 统 （ 网 哨 Z 0 1 ） 通过接入 Web 应用流量，实现对 0day 等高危未知威胁的防护 公安部一所 产品 一所金融行业服务站 网探 D01( 网络资产风险感知系统 ) 先外网、再内网，对网络资产进行全面、准确的 梳理，清晰的掌握攻击面暴露资产，存活主机、 端口、服务探测 • 资产异常变更情况 • 应用服务的上、下线 • 资产的拓扑结构 • 资产变化轨迹 • 资产安全风险（漏洞、弱口令、敏感信息 等） • 对网络资产进行全方位的风险评估， 主动发现网络资产上面存在的安全漏 洞、弱密码、应用风险、系统风险、 资产暴露性风险等，同时结合资产的 重要程度进行风险分析，准确定位风 险优先级，快速有效的解决潜在的威 胁 • 通过高兼容性的探针进行全量主机部署构建全面 安全监测能力，构建持续监测能力分为内部和外 部两个层面 • 内部层面：根据自己的安全管理规范制定合规监 测规则，让一切违规操作都可以被及时的发现和 追溯，阻断从内部产生的网络安全隐患 • 外部层面，能够实时、准确地感知攻击入侵事件， 发现失陷主机，并提供对入侵事件的响应手段， 及时规避来自外部的攻击入侵。 了解所有资产 开展风险评估 加强安全监测能力 场景一：资产全面梳理 场景二：资产风险评估 场景三：全面、自动且持续安全监测 企业资产清点 入侵检测 风险监测 资产合规性监测 安全风险 大屏展示 资产详情 内网资产清点 互联网资产清点 资产组件清点 风险识别 • 发现未安装的重要补丁 • 发现应用配置缺陷导致的安全问题 • 快速发现系统和应用的新型漏洞 • 智能化的弱口令检测，支持多种应用 • 发现运维人员的违规操作 合规性监测 •IP 资源被占用监测 • 重要 IP 资源离线监测 • 禁用软件监测 禁用硬件监测 • • 禁用端口监测 禁用服务监测 • 漏洞修复 • 数据指标丰富、质量高，可视 化，提供个性化定制服务，完美 匹配用户的实际使用场景 • 独特的可交互式设计可帮用户 从资产名称、端口号、协议名称、 漏洞名称、厂商品牌等多个维度 快速锁定资产范围 入侵检测 • 暴力破解监控 • Web 后门监控 • 本地提权监控 • 系统后门监控 网防 G01 （主机应用综合防护系统） 永恒之蓝 weblogic 反序列化 获取控制权 口令暴力破解 struts2 服务器安全巡检 子账号 攻击检测预警 服务器安全防护 安全审计 安全事件告警 备份所有在网防 G01 平台上的登录、 配置、开关功能等操作 提供微信、短信、邮件三种告警形式 威胁提醒 入侵报警 自行创建下一级子账号供本单位其他部门使用 用户可以指定子账号可以操作的服务器 网页木马扫描 二进制后门扫描 弱口令扫描 漏洞扫描等 网站漏洞防护 放端口扫描 文件监控防护 网站后台防护 反序列化漏洞防护、任意文件读 取漏洞防护 网盾 K01 （网络威胁情报联防处置平台） 01 03 04 公安部第一研究所情报中心 攻击 IP 画像 行业情报 情报溯源 网络攻击阻断系统 自动检测与阻断 被控外联检测 统计分析 集中管控平台 区域隔离 多情报融合 统一策略集中下发 攻击动态展示 02 行业内部自有情报平台 开放式多情报融合 网哨 Z01 （应用高级威胁防御系统） 威胁监测 攻击处置 精细化管理 应用画像 流量识别 协议识别、内容提取、应用识别 白名单学习、参数学习、行为学习 异常访问监测、异常参数监测、异常行为监测、黑名单特征 匹配、双向 web 入侵检测、异常外联检测 攻击处置 智能白名单管理、安全可视化、多级用户管理、其他管理 高级持续性威胁检测系统（ APT 检测系统）产品旁路部署在网络出口处，通过对网络进出流量进行监测， 深度发现和分析零日漏洞（ 0DAY ）、恶意代码、黑客控制及渗透行为等已知、未知攻击及控制行为。 主机控制检测 网站控制检测 异常通信检测 隐蔽信道检测 DGA 域名检测 实时流量采集 离线流量重放 支持 70+ 种文件还原 自定义文件格式还原 WEB 攻击检测 远程漏洞攻击检测 邮件攻击检测 挂马攻击检测 恶意文件检测 Kill Chain 分析 ATT&CK 技术点分析 时间序列分析 实时告警 流量采集及文件还原 高级入侵植入检测 高级远程控制检测 可视化分析与预警 高级持续性威胁检测系统 攻击诱捕与威胁检测系统（蜜罐），可实现攻击诱捕与威胁监测，发现内网失陷主机。同时支持资产梳 理、漏洞监测及管理功能，可在内网威胁的事前、事后中发挥处置决策的作用。 攻击诱捕与威胁检测系统  内置“各类数据库、中间件、 web 应用、远程协 议应用、大数据应用、物联网应用”，共 30+ 高 交互蜜罐，基于 kvm&docker 架构，扩展性强。  内置多种场景下的蜜罐模板，可随意组合不同 高交互蜜罐服务成新蜜罐模板。  支持对多台蜜罐主机一键切换蜜罐模板，在攻 防对抗中根据实际情况随意调整诱捕策略。 网络安全预警系统 网络安全预警系统（内网哨兵）采用主被动结合、拟态仿真、诱捕欺骗为原理，幻化出大量虚假仿真主 机，混淆攻击视线，访问到“哨兵主机”一律默认为攻击，第一时间发现攻击者。 中毒主机 网安预警系统 虚假主机 子网边界 主机仿真 攻击分析 哨兵管理 攻击报警 真实主机 攻击流 态势感知 +SOAR 平台 痛点  系统自动化不足，增加日常 运维工作量  缺少一致性流程安全效果难 评估  缺少专业运营人员 • 基于 ATT&CK 全面了解企业信息安全防御体系，从战略、战术、技术维度指导客户完 善信息安全防御体系 • 通过 API 网关及工作流实现对接内部系统、友商防火墙、 EDR 等产品 • 提供调查处置工作台，不仅可支持安全告警分析研判，同时支持外部通报事件调查处置 效果  自动化取证，时间降低到 分钟级  运营标准化、管控体系化， 运营指标可度量  专业运营人才供给 基于 SOAR ，固化信息安全事件处置经验，标准化、流程化安全事件处置流程，提升应急响应效率 （ MTTD+MTTR ） 客户价值 对应防守方标准，减少失分、尽量得分，确保不得低分 01 国 家 级 资 源 一所各产品，对互联网边 界进行安全检测与防护 02 延 缓 攻 击 蜜罐迷惑攻击并进行捕捉， 提高攻击成本，配合服务 可以反制 03 A P T 攻 击 检 测 APT