信息的化时代,网络战场早已成继陆海空之后的兵家必争之地。公安部自2016年起,每年组织HW行动,检验各单位的网络安全防护能力。
“HW行动”作为国家应对网络安全问题所做的重要布局之一。加强网络安全意识,是所有单位有序地完成“HW行动”必不可少的一项基础和必须做扎实的工作。
现在灰产、黑产环境又多,攻击手段已向云和SaaS服务方面发展,暗网已经存在专业提供RaaS(勒索即服务)的服务模式,另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。
“HW行动”已成惯例了
2017年部分政府部门加入“HW2017”行动,组织演练模拟门户网站、重要信息系统遭受攻击破坏等真实场景;2018年部分国有企事业单位及其它重点单位加入“HW2018”行动,组织演练模拟对相关网站和信息系统展开攻击。
2019年涉及范围更广,工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位都加入到“HW2019”行动中。
防守方和攻击方
攻防演练的主要的角色就是防守方和攻击方。梳理一下具体:
防守方它是不限制防御方式、监控全网攻击、及时发现并处理问题、避免内部系统被攻陷。
防守方的评分规则:发现类、消除类、应急处置类、追踪溯源类、演结类攻击。
攻击方是不限制攻击方式、不限制攻击手段、不限制攻击路径、以获取权限为目的。
攻击方的评分规则:获取权限、突破边界、入侵分析、攻陷靶标、重大成果
防守方的防守要点:限制报告数量,注重上报准确度;明确非正常防守扣分要求;设置加分上限;强化追踪溯源重要性;重视云、大、物、域控等管控权限;强调同等重要系统重要性。
防护方普遍存在的困难点:防御与监测覆盖不全、资产管理难度大、人员意识技能不足、自动化处置率低、弱口令存在率高。
攻击方突破手段
利用百度文库、github、fofa、域名注册、互联网暴露资产渠道收集信息;
利用网站、系统应用、手机APP、微信小程序后台漏洞打开互联网入口;
控制内部员工邮箱、办公终端、配合社工手段获取vpn账号密码进入内网;
迂回攻击下属单位,进入内网后绕道攻击总部目标;
攻击供应链、挖掘漏洞或利用已分配权限进入内网;
利用第三方运维、内部违规员工非常外联入群专网;
使用弱口令、密码复用、密码猜测攻击获取权限;
控制欲控、堡垒机、云平台、单点登录、杀毒软件后台等系统以点打面;
搜索多网卡主机、4A系统、网闸等设备纵向渗透;
攻击核心主机获取重要系统权限;
对内部员工发动水坑、求职APP钓鱼邮件、QQ聊天、信用卡账单等社工手段进入办公网;
攻击第三方、利用第三方接入网络攻击目标单位。
漏洞攻击
漏洞攻击类型包括:SQL注入(GET注入、POST注入、HTTP头注入)、XSS(跨站脚本攻击)、暴力破解、扫描探测、弱口令、远程命令执行、反序列化、任意代码执行、URL重定向、文件包含、任意文件上传、未授权访问、目录穿越、业务逻辑篡改。
攻击手段和方式
常见的攻击手段包括:Oday漏洞攻击、社工钓鱼攻击、多源低频攻击、人员和管理漏洞探测、武器化攻击等等。
常见的攻击方式:弱口令攻击、钓鱼攻击、用户系统攻击、集权系统攻击、横向扩展攻击
攻防演练的阶段
启动阶段、备战阶段、临战阶段、实战阶段、总结阶段、备战阶段的全面风险自查、备战阶段互联网暴露资产自查、互联网资产的外联机构信息
好了,本期分享到这里啦,下期会分享更多的干货
可以分享一些我自己的网络安全、渗透测试、黑客攻防的学习路线、奇安信华为老师给我的课件资料、笔记、面试课题~
私信我即可无偿领取所有资料合集,希望能够帮到你们!
,
