网络安全红蓝攻防演习实施方案v1

网络安全攻防演练实施方案2023年目录一.3工作背景 3网络安全实战攻防演工作目标 3二.4三.网络安全实战攻防演练流程 4准备阶段 4活动准备 4组建工作组 4资源准备或确认 5演练阶段 5....................................................................................................................................................................5活动启动会 5攻防演练实施 5产出文档 6复盘阶段 6收尾阶段 6资源回收 6系统清理 6整改加固 6四.攻击手段及常用工具说明 6典型攻击流程 6攻击工具 7五.附件（攻击成果报告模板、防守成果报告模板） 8附件1：攻击成果报-8附件2：防守成果报-10一. 项目概述工作背景90%40APT攻击者的博弈过程中占得先机。攻防演练，指在专业的安全人员在既定的网络及应用环境中进行模拟入侵及防御的一类演练活动形式。参与者可以通过模拟的演练场景亲身参与到安全事件攻防之中，进而充分了解安全事件中攻、防双方的思路及实践方法。此次xxxx202x单位信息系统进行实战攻防演练。网络安全实战攻防演工作目标此次网络安全实战攻防演练计划完成以下目标：1.发现并消除安全威胁漏洞的加固和不断优化调整策略，提高系统整体安全水平和防御能力。完善安全事件应急机制处理机制的不足或缺陷。全面提高技术人员安全技能水平攻防演练对于技术人员的安全水平提升是全面的。不仅包括攻击技术分析，临时防御措施，日志分析及事件识别等。二. 演习时间安排演练时间202x202x年 xx_月 xx_日_xx 时至202x年 xx_月 xx_日xx时演练单位 xxx单位 演练地点 xxxxxx 三. 网络安全实战攻防演练流程准备阶段活动准备xxxx单位信息保障中心负责确定攻防演练接口人，组建攻击队伍，确定参参演人员名单并提供网络环境等必要前置条件。组建工作组本次网络安全实战攻防演练工作组架构如下图：应急演练活动专家组应急演练活动专家组攻防演练技术组应急保障组红方（攻击队）蓝方（防守队）攻防演练活动专家组由xxxx单位信息保障中心工作人员组成，职责如下：审核整体方案，确认组织架构，统筹协调并推进演习工作开展，召开启动会，并对整体风险进行管控；对方案及攻防过程进行整体把控，并对演练过程中可能产生的问题进行技术研判。红方（攻击队）由2名安全服务提供商技术人员组成，职责如下：负责对演习目标实施攻击，并对攻击结果进行提交和最终复盘。蓝方（防守队）由参演单位安全团队人员及安全服务提供商技术人员组成，职责如下：体系进行有效性评估，在正式演练中调整防护策略，评估防守效果、遏制攻击行为等。应急保障组由xxxx单位信息保障中心工作人员组成，职责如下：负责对演习过程中突发事件做应急处理，确保演练工作顺利进行。资源准备或确认在攻防演练正式开始前需要落实以下资源：确定攻防演练期间的攻击人员、防守人员清单确定攻击目标资产清单和靶标在攻防演练期间攻击人员的工作场地和网络接入确定攻击目标已完成数据备份和恢复有效性测试演练阶段活动启动会根据实施方案进行实施。攻防演练实施（击成果报告模板见附件1，裁判通过对攻击成果进行研判确认。由本活动专家组担任裁判，针对攻击方提交的攻击成果进行有效的判断和评分。防守队针对本单位信息系统进行实施监控，并通过对安全感知设备和安全防（防守成果报告模板见附件2时间安排，以免影响业务正常运行。产出文档（多份）《防守成果报告》复盘阶段出后续整改建议。收尾阶段资源回收攻防演习结束后，工作组和对选手使用电脑、绑定IP、账号、带宽等资源进行回收登记。系统清理防守方可根据攻击方提交的攻击成果汇总报告和攻击操作记录，删除演练期间攻击方遗留的文件、数据及账户，攻击方应协助清理痕迹。整改加固防守方对攻防演练期间发现的系统漏洞、安全策略、管理漏洞等问题进行整改加固，攻击方协助防守方做相应的整改；在防守方将发现的问题整改完毕后，攻击方对发现的问题进行复测。四. 攻击手段及常用工具说明典型攻击流程信息收集对测试范围内的目标，收集设备的厂商、开放的端口、操作系统类对测试范围内的目标，收集设备的厂商、开放的端口、操作系统类IP、中间件、指纹等信息。使用谷歌搜索及其他各种方法来获取目标系统数据。使用网页源代码分析技术获取有关系统，软件和插件版本等其他更多信息。发现漏洞web种输入传递给应用程序并记录响应。发现其中存在的漏洞。识别入口点以SQLI、XSS、CSRF、SSRF命令执行、文件上传、目录遍历、弱口令、越权访问、功能缺陷等。获取权限在确定漏洞后，测试人员将利用这些漏洞，以获得对目标的访问权限。在确定漏洞后，测试人员将利用这些漏洞，以获得对目标的访问权限。请注意，并非所有漏洞都会引导测试人员进入此阶段。测试人员需要拥有足够可利用的内容，才能最终获取对目标的访问权限。在获取权限之后，测试人员将在内网获得一个立足点，测试人员将利用该立足点作为跳板持续向内网其他服务器和区域进行渗透。并反复重复信息收集、发现漏洞、获取权限、横向移动的过程。在获取权限之后，测试人员将在内网获得一个立足点，测试人员将利用该立足点作为跳板持续向内网其他服务器和区域进行渗透。并反复重复信息收集、发现漏洞、获取权限、横向移动的过程。分析报告渗透测试人员将编写渗透测试报告，详细说明测试范围内的被测系统存在的安全风险、漏洞危害、影响范围。同时安全人员会对报告中的漏洞进渗透测试人员将编写渗透测试报告，详细说明测试范围内的被测系统存在的安全风险、漏洞危害、影响范围。同时安全人员会对报告中的漏洞进行分析，并给出修复建议。攻击工具清单：漏洞安全检测平台漏洞安全检测平台可作为行业监管部门的监督检查工具，快速摸排资产、精准定位风险隐患。平台采用模拟人工方式对漏洞进行分析，整个过程不需要使用者参与，自动对漏洞进行验证、判断、最后生成包含漏洞验证成果的检测报告。2.GOBYGoby是一款新的网络安全测试工具，由国内知名安全团队Zwell（Pangolin、JSky、FOFA作者）打造，它能够针对一个目标企业梳理最全的攻击面信息，同时能进行高效、实战化漏洞扫描，并快速地从一个验证入口点，切换到横向。3.IBMSecurityAppScanIBMSecurityAppScanWEB4.MetaspoiltMetaspoilt载”，即在目标计算机上执行操作的代码，从而为渗透测试创建完美的框架。IDSGUIAppleMacOSXLinuxMicrosoftWindows5.BurpsuiteBurp（具有有限的攻击工具候，安全测试人员用它作为中间人来拦截和回放请求数据包。五.附件（攻击成果报告模板、防守成果报告模板）-模版一、基本信息隐患名称一、基本信息隐患名称*填写风险隐患名称隐患类型*HTTPStruts漏洞、源码泄漏、内网地址泄漏、未加密登录请求、敏感信息泄漏、缓冲区溢出、权限许可和访问控制、输入验证、源码管理错误、代码注入、跨站请求伪造、路径遍历、数字错误、加密问题、信任管理、授权管理、操作系统入侵事件、智能硬件、解析漏洞、命令执行、配置文件泄露、其他。单位名称*填写存在安全隐患单位全称归属系统名称*填写存在安全隐患系统名称系统域名/IP（端口）*填写系统域名/IP网络性质*填写系统网络性质（互联网/内部网络）二、渗透过程/路径说明及分析（主要是指渗透过程和策略）渗透策略及过程简述该单位在网络安全方面存在的问题

*简述最终获取目标风险的整个渗透策略及过程。如：1.渗透策略通过前期工作中，掌握的目标信息，简述前期获取的目标信息配套渗透策略。渗透过程及成果描述XXXXXXXXXXXXX*必要过程及成果应当附截图佐证。*根据渗透成果，逐条简述目前该单位在网络安全防护方面存在的不足。三、隐患详细信息及建议隐患URL *填写风险隐患详细URL路径*（漏洞进行截图证明。重点注意：提交的漏洞证明，需重点包含以下几项内容：事件证明存在风险隐患的详细地址；payload（如果是弱口令需提供密码）；漏洞利用及渗透的完整过程（每一步都需搭配对应截图）；漏洞造成的真实影响证明*不能单纯描述通用漏洞影响。而是需要通过对发现漏洞进行安全、合理利用后，全面评估安全风险可造成数据泄露（哪些数据、数据量多大）/破坏（破坏面有多大）/社会影响（一旦该系统遭受破坏，可能会给社会带影响分析 来的影响）等维度，进行客观评价。如：通过该sql注入漏洞，可直接获取下载XX单位XX数据XX条，一旦相关数据泄露，将会造成XXX方面的影响。*必要漏洞利用过程及影响情况应当附截图佐证。风险建议 *为重点单位提出针对性、可落地的风险整改建议。待清除后门/账待清除后门/账号清单*梳理渗透过程中遗留的后门、账号，后期可参照对相关后门是否清除进行验证。注：1.每个漏洞隐患渗透过程及成果需单独填写。提交日志、木马、报告等原始材料的，请单独附件并打包。攻击成果报告-模版攻击成果报告-模版.docx-模板一、成果概况

防守成果报告系统名称系统名称互联网网络层级办公网 业务内网产网生攻击手段防御手段、威胁文件清除等防守成果摘要监测发现XXXXXX:XX:XXXXX方式发现攻击：邮箱账户发送钓鱼邮件向分析研判经分析，成功解析木马运作过程，成功获取CS主控端IP【XXX.XXX.XXX.XXX】经研判此邮箱属于XXX单位，由于人员安全意识不足，导致钓鱼邮件XXX、XXX、XXXXX个邮箱收到此钓鱼邮件，IP，全单位通报钓鱼邮件情况。应急处置应急处置受到攻击后，我单位立即组织应急响应，业务未受到影响，10分钟内完成IP封禁，1小时内完成威胁文件清除，根除攻击。成功溯源到以下信息：追踪溯源•••XXX.XXX.XXX.XXX】】……】并成功控制攻击者主机【XXX.XXX.XXX.XXX】二、成果说明此处整体的结论描述，建议有完整的事件溯源流程图面加以文字描述，图中关键信息用红色框框和文字标出来键节点。（一）监测发现发现过程（注：突出发现攻击、分析研判和提交报告的时效。示例：XX月XX日XX:XX:XX通过XXX系统监测到 于XX:XX:XX向 采用的工具和手段示例：NDRIP，截图（日志）如下：发现的攻击手段和方式18、1、1111、内存口令提取）示例：安全保障人员通过天眼分析平台监测到XX:XX:XX于被尝试通过map截图如下：件内容存在问题。经分析邮件带源代码，发现邮件发件地址为XXX.XXX.XXX.XXX，截图如下：发件人随意尝试。Docxzip发：postdoctor提取exe文件进行分析如下图：在沙箱虚拟机中运行”XXX.docx”的可执行文件后，可以发现改程序建立多个对外网络连接，截图如下：通过沙箱和人工逆向分析，发现起到主要通讯作用的IP为XXX.XXX.XXX.XXX，截图如下：（二）分析研判1.受影响资产涉事单位及关联单位（相关单位）主要责任人及相关责任人（责人员及相关责任）详情见下表：受影响资产资产范围受影响资产资产范围资产负责人2.事件研判（注：按照涉事件单位网络安全分级分类管理办法和应急处置预。（2）攻击的影响范围。详情见下表：

事件研判事件的影响范围（如业务连续性）3.采用的工具和手段（的作用）事件研判工具日志提取工具提取相关日志信息关联分析工具情报提取工具（三）应急处置应急处置记录（）事件处置处置措施处置结果

采取的具体阻断攻击的措施（IP封禁，