一文解读护网行动

护网行动背景

什么是“护网行动”?

指挥机构∶由公安机关统一组织的"网络安全实战攻防演习"。

护网分为两级演习∶公安部对总部,省厅对省级公司。

什么是“实战攻防演习”

每支队伍3-5 人组成,明确目标系统,不限制攻击路径。

提交漏洞不得分,获取权限、数据才能得分。

禁止的行为

能使用DDOS 攻击,部分目标系统需要在非常规攻击时段进行攻击操作;

不能使用破坏性的物理入侵,但针对如无人值守变电站、智能电表等均在测试范围之内;

不能使用有感染及多进程守护功能的木马;

重要业务系统进行攻击操作前需要向指挥部进行请示;

 

护网行动的演进历史

护网行动规则

攻击靶标由各单位自报或公安部指定,公安部一般提前3 周通知各单位参演靶标,以及攻击的起始时间与结束时间,各单位可在期间进行防御准 备。

红蓝对抗

红蓝对抗红队蓝队
人员组成 由公安部组织包括:
* 国家信息安全队伍、军队
科研机构
测评机构
* 安全公司 等共几十支队。
由护网单位自行组织
安全专家进行针对性防御。
人员组织 3-5 人一组,
每组对一个目标进行攻击。
护网单位运维人员
护网单位项目组成员
安全厂商安全工程师
攻击方式
防守方式
不限攻击方式,
但攻击过程受到监控。
不限防御方式,监控全网的攻击。
及时发现并处置,避免内部系统被攻陷。

指挥部拟对攻防双方进行评分考核。对防守方评分的总体原则是:

根据安全防护能力强弱对防守方进行排名;

初始分5000 分; 目标系统被拿下不参加排名,即护网失败;

攻击方提交报告1 小时内, 防守方发现来自攻击方的行为并上报,将不扣分;

主要考核参演单位监测发现能力、应急处置能力与公安机关配合能力。

防守方减分规则

获取权限类: 

防守方加分规则 

防守方避免减分技巧

技巧
* 非所属资产必须上诉;(合作企业资产带有单位名称/logo,不再负责运营管理的资产等)。
被判别为敏感数据但非数据库泄露的扣分项选择性上诉;
被判别为内网资产的扣分项,要求提供证明是我方资产;

要点:

态度严谨

无确凿证据,拒不承认

防守方主动得分技巧

技巧
* 关注文件沙箱的告警日志,分析业务系统/邮箱流量获取的恶意样本;
* 关注高危漏洞告警,如注入、命令执行、反序列化,系统提取等漏洞。

要点:

严格按照标准,提供充足证明

防守方实用提示

IP 封禁是简单有效的防护方式;

内网资产监测与防护极为重要;

遇到国外地址进行攻击一律封禁,虽无法得分但具有真实防护效果;

沙箱设备能覆盖木马攻击和邮件攻击,建议设置专人专职进行样本分析;

提交报告需包含关键内容:源IP,事件类型,流量分析(全流量),有样本需附上样本及分析报告,切忌只截设备告警图;

建立快速沟通渠道,避免耽误上报时间;

...

护网行动工作 

备战阶段

减少护网被攻击面

主动发现安全风险

闭环潜伏安全隐患

了解自身安全现状

完善安全监控能力

提高安全防护能力

安全加固

上设备

 

安全配置

具体工作

 

临战阶段

建立护网保障机制

熟悉应急响应流程

提高内部安全意识

检验护网保障能力

磨合护网保障团队

主动改进自身不足

具体工作

 

决战阶段

避免非必要的减分项 提前进行攻击拦截 主动获取各项加分项 …

具体工作

 

工作流程

总结阶段

闭环护网安全风险 吸取护网经验教训 备战后续护网保障 …

具体工作

posted @ 2022-12-27 20:54  智慧园区-老朱  阅读(4069)  评论(0编辑  收藏  举报