网络安全红蓝攻防演习实施方案v1

网络安全攻防演练实施方案2023年目录TOC\o"1-5"\h\z\o"CurrentDocument"项目概述 3\o"CurrentDocument"工作背景 3网络安全实战攻防演工作目标 3\o"CurrentDocument"演习时间安排 4\o"CurrentDocument"网络安全实战攻防演练流程 4\o"CurrentDocument"准备阶段 4活动准备 4组建工作组 4资源准备或确认 5\o"CurrentDocument"演练阶段 5 5活动启动会 5攻防演练实施 5产出文档 6\o"CurrentDocument"复盘阶段 6\o"CurrentDocument"收尾阶段 6资源回收 6系统清理 6整改加固 6\o"CurrentDocument"攻击手段及常用工具说明 6\o"CurrentDocument"典型攻击流程 6攻击工具 7\o"CurrentDocument"附件（攻击成果报告模板、防守成果报告模板） 8附件1：攻击成果报告-模版 8附件2：防守成果报告-模板 10项目概述.1.工作背景根据中国网络安全协会的调查报告显示，近几年以来中国90%的信息系统遭受过不同层次的攻击，其中近40%的系统被黑客成功入侵，数据泄露、勒索软件、APT攻击等网络安全事件也频繁被国内外报道并造成了巨大损失。网络安全从某种程度上就是攻击方（黑客）与防守方（合法用户）之间的博弈，作为防守方必须站在攻击者的角度思考，掌握攻击者的攻击思路、使用的攻击手段，才能在与攻击者的博弈过程中占得先机。攻防演练，指在专业的安全人员在既定的网络及应用环境中进行模拟入侵及防御的一类演练活动形式。参与者可以通过模拟的演练场景亲身参与到安全事件攻防之中，进而充分了解安全事件中攻、防双方的思路及实践方法。此次xxxx单位为落实202乂年度“护航二十大网信保平安”工作要求，计划针对XX单位信息系统进行实战攻防演练。.2.网络安全实战攻防演工作目标此次网络安全实战攻防演练计划完成以下目标：.发现并消除安全威胁网络安全攻防演练根据黑客思维采取不对称对抗，在真实网络环境中进行实战攻防，及时发现信息系统中存在的漏洞和现阶段安全监控的盲点，通过对安全漏洞的加固和不断优化调整策略，提高系统整体安全水平和防御能力。.完善安全事件应急机制攻防演练的最终目的即是完善安全事件的应急机制，通过模拟的安全事件可以让安全团队以低成本实施一次有效的应急响应，同时也可有效识别出当前安全处理机制的不足或缺陷。.全面提高技术人员安全技能水平攻防演练对于技术人员的安全水平提升是全面的。不仅包括攻击技术分析，临时防御措施，日志分析及事件识别等。演习时间安排.演练时间202x年__xx_月__**_曰_**__时至202x年__xx/__xx_曰xx时.演练单位一xxx单位 .演练地点__xxxxxx 网络安全实战攻防演练流程5.3准备阶段活动准备xxxx单位信息保障中心负责确定攻防演练接口人，组建攻击队伍，确定参演单位并发放参演单位作为被攻击方的授权书；参演单位负责确定参演资产信息、参演人员名单并提供网络环境等必要前置条件。组建工作组本次网络安全实战攻防演练工作组架构如下图：.攻防演练活动专家组由xxxx单位信息保障中心工作人员组成，职责如下：审核整体方案，确认组织架构，统筹协调并推进演习工作开展，召开启动会，并对整体风险进行管控；对方案及攻防过程进行整体把控，并对演练过程中可能产生的问题进行技术研判。.红方（攻击队）由2名安全服务提供商技术人员组成，职责如下：负责对演习目标实施攻击，并对攻击结果进行提交和最终复盘。.蓝方（防守队）由参演单位安全团队人员及安全服务提供商技术人员组成，职责如下：负责此次攻防演练攻击目标的资源准备和确认，同时对本单位的安全防护体系进行有效性评估，在正式演练中调整防护策略，评估防守效果、遏制攻击行为等。.应急保障组由xxxx单位信息保障中心工作人员组成，职责如下：负责对演习过程中突发事件做应急处理，确保演练工作顺利进行。3.1.3资源准备或确认在攻防演练正式开始前需要落实以下资源：确定攻防演练期间的攻击人员、防守人员清单确定攻击目标资产清单和靶标在攻防演练期间攻击人员的工作场地和网络接入确定攻击目标已完成数据备份和恢复有效性测试5.4演练阶段活动启动会在攻防演练开始的第一天召开演练工作启动会，演练所有人员参会，进行演练目的、流程、要求的宣贯，并进行实施方案的设计，在网络及人员准备妥当后根据实施方案进行实施。攻防演练实施攻击队对指定目标进行攻击，在取得攻击成果后及时提交攻击成果报告（攻击成果报告模板见附件1），裁判通过对攻击成果进行研判确认。由本活动专家组担任裁判，针对攻击方提交的攻击成果进行有效的判断和评分。防守队针对本单位信息系统进行实施监控，并通过对安全感知设备和安全防御设备的告警日志仔细分析研判，跟踪并记录攻击路径、结果等，在必要时刻进行干预和处置，并在演练结束后提交防守成果报告（防守成果报告模板见附件2）。红、蓝双方技术人员应与专家组保持实时有效沟通，报告攻击过程的进展和防守中发现的异常情况；攻击队伍应严格遵守风险控制策略实施攻击，遵守演练时间安排，以免影响业务正常运行。产出文档.《攻击成果报告》（多份）.《防守成果报告》复盘阶段在演练指定攻击时间结束之后，红、蓝队分别编制攻防演练总结报告，裁判通过双方总结报告对本次攻防演练进行综合评估和过程推演。召开攻防演练总结会，对防守方现有信息系统安全现状、防护能力、应急处置流程等进行评定并提出后续整改建议。收尾阶段资源回收攻防演习结束后，工作组和对选手使用电脑、绑定IP、账号、带宽等资源进行回收登记。系统清理防守方可根据攻击方提交的攻击成果汇总报告和攻击操作记录，删除演练期间攻击方遗留的文件、数据及账户，攻击方应协助清理痕迹。整改加固防守方对攻防演练期间发现的系统漏洞、安全策略、管理漏洞等问题进行整改加固，攻击方协助防守方做相应的整改；在防守方将发现的问题整改完毕后，攻击方对发现的问题进行复测。四.攻击手段及常用工具说明5.3典型攻击流程.信息收集击面信息，同时能进行高效、实战化漏洞扫描，并快速地从一个验证入口点，切换到横向。3.IBMSecurityAppScanIBMSecurityAppScan也是一个大型扫描器，可以帮助渗透测试人员识别亚£8应用安全漏洞。4.MetaspoiltMetaspoilt是一个基于“漏洞利用”概念的开源工具。它将运行“有效负载”，即在目标计算机上执行操作的代码，从而为渗透测试创建完美的框架。这是一个很好的测试工具以便测试IDS是否成功地防止了我们绕过它的攻击行为。Metaspoilt可用于网络，应用程序，服务器等。它具有命令行和GUI可点击界面，可在AppleMacOSX上运行，适用于Linux和MicrosoftWindows。5.BurpsuiteBurp套件本质上也是一个扫描仪（具有有限的攻击工具），但是在更多时候，安全测试人员用它作为中间人来拦截和回放请求数据包。五.附件（攻击成果报告模板、防守成果报告模板）5.1 附件1：攻击成果报告-模版攻击成果报告一、基本信息隐患名称*填写风险隐患名称隐患类型*从以下选项中选择填写：SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP报头追踪漏洞、Struts安全漏洞、框架钓鱼漏洞（框架注入漏洞）、文件上传漏洞、源码泄漏、内网地址泄漏、未加密登录请求、敏感信息泄漏、缓冲区溢出、权限许可和访问控制、输入验证、源码管理错误、代码注入、跨站请求伪造、路径遍历、数字错误、加密问题、信任管理、授权管理、操作系统命令注入、竞争条件、后置链接、任意文件操作、权限绕过、逻辑存在后门、入侵事件、智能硬件、解析漏洞、命令执行、配置文件泄露、其他。单位名称*填写存在安全隐患单位全称归属系统名称*填写存在安全隐患系统名称系统域名/IP（端口）*填写系统域名/IP地址及端口信息网络性质*填写系统网络性质（互联网/内部网络）二、渗透过程/路径说明及分析（主要是指渗透过程和策略）

渗透策略及过程简述*简述最终获取目标风险的整个渗透策略及过程。如：.渗透策略通过前期工作中，掌握的目标信息，简述前期获取的目标信息配套渗透策略。.渗透过程及成果描述范例：在针对XX系统开展渗透过程中，通过XX方式，取得了XX成果。利用XX成果，进一步进行渗透，最终实现了乂乂目标与成果。其中，在利用XX攻击手段中，由于目标系统采取了XXX安全防护措施，导致攻击过程受阻。*必要过程及成果应当附截图佐证。该单位在网络安全方面存在的问题*根据渗透成果，逐条简述目前该单位在网络安全防护方面存在的不足。三、隐患详细信息及建议隐患URL*填写风险隐患详细URL路径事件证明按照完整渗透过程，需逐个对每个阶段发现的安全风险（漏洞）进行截图证明。重点注意：提交的漏洞证明，需重点包含以下几项内容：存在风险隐患的详细地址；payload（如果是弱口令需提供密码）；漏洞利用及渗透的完整过程（每一步都需搭配对应截图）；漏洞造成的真实影响证明影响分析*不能单纯描述通用漏洞影响。而是需要通过对发现漏洞进行安全、合理利用后，全面评估安全风险可造成数据泄露（哪些数据、数据量多大）/系统破坏（破坏面有多大）/社会影响（一旦该系统遭受破坏，可能会给社会带来的影响）等维度，进行客观评价。如：通过该sql注入漏洞，可直接获取下载乂乂单位乂乂数据XX条，一旦相关数据泄露，将会造成XXX方面的影响。*必要漏洞利用过程及影响情况应当附截图佐证。风险建议*为重点单位提出针对性、可落地的风险整改建议。

待清除后门/账

号清单证。*梳理渗透过程中遗留的后门、账号，后期可参照对相关后门是否清除进行验待清除后门/账

号清单证。注：1.每个漏洞隐患渗透过程及成果需单独填写。2.提交日志、木马、报告等原始材料的，请单独附件并打包。帽攻击成果报告-模版.docx5.2附件2：防守成果报告-模板防守成果报告一、成果概况系统名称目标URL目标系统IP网络层级互联网因办公网口 业务内网口 生产网口攻击IP攻击手段防御手段封禁IP威胁文件清除等防守成果摘要监测发现分析研判XX月XX日XX:XX:XX通过XXX方式发现攻击： 向邮箱账户发送钓鱼邮件-经分析，成功解析木马运作过程，成功获取CS主控端IP[XXX.XXX.XXX.XXX】•经研判此邮箱属于XXX单位，由于人员安全意识不足，导致钓鱼邮件，经调查共有XXX、XXX、XXX单位XX个邮箱收到此钓鱼邮件，决定启动安全事件应急流程，封禁攻击IP，全单位通报钓鱼邮件情况。应急处置受到攻击后，我单位立即组织应急响应，业务未受到影响，10分钟内完成IP封禁，1小时内完成威胁文件清除，根除攻击。追踪溯源成功溯源到以下信息：攻击IP：【XXX.XXX.XXX.XXX】攻击者邮箱：【 *攻击者部分账号信息：【……】并成功控制攻击者主机【XXX.XXX.XXX.XXX】二、成果说明＞此处整体的结论描述，建议有完整的事件溯源流程图＞监测发现、应急处置阶段要有告警截图、日志截图（图前面加以文字描述，图中关键信息用红色框框和文字标出来）；准确记录时间（发现时间、通报时间、处置时间等关键节点。（一）监测发现.发现过程（注：突出发现攻击、分析研判和提交报告的时效性。示例：XX月XX日XX:XX:XX通过XXX系统监测到 于XX:XX:XX向 邮箱账户发送钓鱼邮件。截图如下：.采用的工具和手段（注：突出采用工具和手段的有效性。示例：监测团队通过天眼分析平台发现此次攻击立即通过NDR封禁此IP，截图（日志）如下：.发现的攻击手段和方式（注：详细列举攻击者的攻击手段和方式尽可能分析攻击者的思路和目的。18种攻击方有效攻击手段1、互联网侧信息收集2、涉“重点人”敏感信息收集3、供应链信息收集；4、应用层漏洞利用；5、系统层漏洞利用6、钓鱼邮件攻击7、社工欺骗利用攻击；8、弱口令攻击;9、网站木马攻击;10、内核/内存木马攻击11、无线网络攻击;12、物理接触攻击；13、权限提升；14、授权、认证机制绕过；15、搭建隐蔽通道；16、内网敏感信息搜集利用17、供应链打击；18、内存口令提取。）示例：安全保障人员通过天眼分析平台监测到XX:XX:XX安全邮件系统于2022-09-1714:54:11被IPXX:XX:XX尝试通过map进行扫描，截图如下：邮件溯源系统检测结果显示为外对内的威胁邮件，触发原因为附件内容存在问题。经分析邮件带源代码，发现邮件发件地址为XXX.XXX.XXX.XXX，截图如下：邮件内容中可看出发件人并未对邮件进行详细构造，初步判断为发件人随意尝试。附件分析显示“XXX.docx.zip"，正常情况下简历应该为Docx为结尾，邮件沙箱检测zip压缩包中包含exe可以执行文件。邮件附件详情如下图：经邮件攻击溯源系统分析：此邮件在内网中只有一次内到内的转发：postdoctor邮箱转发到安全人员邮箱，详情如下图：下载邮件附件“XXX.docx.zip"，经过解压分析压缩包中包含经过伪装的exe可以执行程序。截图如下：提取exe文件进行分析如下图：在沙箱虚拟机中运行"XXX.docx”的可执行文件后，可以发现改程序建立多个对外网络连接，截图如下：通过沙箱和人工逆向分析，发现起到主要通讯作用的IP为XXX.XXX.XXX.XXX，截图如下：经上述分析发现此木马为CS工具生成的木马经过修改图标，构造成简易木马。（二）分析研判.受影响资产（1）涉事单位及关联单位（注：研判确定事件涉及的资产范围、所属单位、运营单位以及相关单位。）（2）主要责任人及相关责任人（注：研判确定该事件的主要责任人、直接责任人、其他具体负（1）事件性质以及采取的措施（注按照涉事件单位网络安全分级分类管理办法和应急处置预

案确定事件性质及应有的处置方案）（2）攻击的影响范围（注按照涉事件单位网络安全分级分类管理办法和应急处置预案确定事件性质及应有的处置方案）详情