奇安信实战攻防演习服务方案Word格式文档下载.docx
《奇安信实战攻防演习服务方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《奇安信实战攻防演习服务方案Word格式文档下载.docx(21页珍藏版)》请在冰点文库上搜索。
根据实际工作部署明确攻防演习的具体时间。
演习计划总时间为20个工作日。
演习分为四个阶段,其中调研阶段1-2个工作日,准备阶段2-3个工作日,演习阶段5-10个工作日,总结阶段3-5个工作日,具体安排建议如下:
Ø
调研阶段(1-2个工作日)
与组织方人员召开会议,就演习目标系统选取、演习时间安排、约束条件以及通报机制等内容开展调研工作,为后续演习顺利进行奠定基础。
准备阶段(2-3个工作日)
调研结束后,技术支撑人员以演习调研结果为基准,根据实际环境搭建演习平台,并与组织方人员签署演习授权协议以及保密协议,保证演习过程中各参与人员合理、合规开展演习工作。
正式演习(5-10个工作日)
演习领导小组组织所有参与本次演习的人员和单位召开会议,全面部署攻防演习工作,对攻防双方提出明确工作要求、制定相关的约束措施,明确正式演习时间,开始正式演习。
总结汇报(3-5个工作日)
演习结束后,演习领导小组组织专家、攻防双方对整个演习过程进行评估总结,演习成果形成最终的评估报告。
总结汇报工作完成后,开总结会议。
八、约束条件调研
为了避免演习过程中攻击组的不当攻击行为对业务系统产生影响,从而导致演习工作受阻或停滞,应根据客户实际环境对演习中客户系统所能接受的攻击方式进行调研,以确保攻防演习工作不因攻击人员的攻击行为不当,而影响整个演习工作的进行。
攻击人员攻击约束方式包括但不限制于以下方式:
禁止使用的攻击方式
●DDOS攻击
●ARP欺骗攻击、DHCP欺骗
●域名系统(DNS)劫持攻击
●感染与自动复制功能病毒
●多守护进程木马等攻击方式
●破坏性的物理入侵(例如:
截断监听外部光纤等方式进行攻击)
●通过收买防守方人员进行攻击
●在约定时间范围之外攻击
●在约定IP范围之外攻击
谨慎使用的攻击方式
●物理攻击(如智能门禁、智能电表)
●通过内网端口大规模扫描
●获取权限后有侵害的操作
●修改业务数据
●内存溢出
●暴力破解
●大批量查询
九、通报机制调研
演习开始之前应根据客户实际需求调研,为演习参与人员建立有效的通报机制,以方便在演习过程中快速对各类问题进行通报和处理。
应在演习过程中设立演习专用电话,由演习领导小组指定人员值守。
明确演习过程中关键操作、成果必须报备演习领导小组审批后方可执行后续动作。
如发生但不限于以下情况时,应及时向演习工作组报备:
发现防守方系统无法正常访问、攻击方IP地址被封等异常情况;
发现系统层、应用层等方面漏洞、若干条有效入侵途径等;
在任一途径成功获取网站/系统控制权限后;
在内网进行横向扩展和渗透;
其他可能存在风险的情况,例如:
重启、服务器宕机等。
演习过程中,可能影响系统正常运行的操作应及时报告演习领导小组,待批准方可执行,未经批准的操作引起的不良后果由攻击方自行承担。
十、准备阶段
准备阶段是对攻防演习前期工作的准备,根据本次攻防演习预期达到的目标,梳理出前期需完成的工作,为后续演习正式开展提供保障。
准备阶段主要完成平台搭建、演习授权和保密协议等方面工作。
十一、平台搭建
提供攻防演习平台搭建和调试,该平台可以为攻击人员分配网络资源,可以通过展示大屏,展示整个攻击过程,同时可以对攻击方技术人员行为做审计,防止攻击方人员越界做破坏行为,以保证整个攻防演习过程的安全。
攻防演习平台通过云平台方式为客户提供服务,客户不需要部署任何设备即可随时展开真实的攻防演习。
十二、平台功能
实战攻防演习平台是公司以多年实践经验和科研成果为基础自主研发而成的,从攻击终端、网络通道、数据分析等各个环节充分保障演习的安全性、可靠性、时效性和灵活性。
攻防演习中使用该平台主要实现以下功能:
可视化功能
该平台可以直观的反映出攻守双方的实时攻防状态,可以对演习攻击方和防守方现场实况和成果进行展示。
审计功能
攻击方通过平台接入演习环境,在演习过程中所有的攻击行为都会被平台记录,审计人员、专家组人员都可以通过平台对攻击组人员的攻击行为进行分析和确认,以判断所有攻击行为是否合规。
权限管理功能
演习平台独有的后台管理系统,可实现对演习中专家、裁判、防守方、攻击方人员进行合理的权限分配,每个参与角色只能在其特定的角色权限中使用平台。
十三、平台体系
实战攻防演习平台为使各参演组织、队伍更好地履行工作职责,保障演习过程安全可控而设计,其系统架构如图所示:
图表5:
攻防演习平台系统架构
实战攻防演习平台包括硬件和软件两大部分:
硬件设备:
硬件设备主要涉及攻防演习平台所需的网络及环境基础设备,主要由交换机、路由器、防火墙、IDS、IPS、WAF、天眼分析平台、代理服务器、视频监控设备、攻击主机及目标主机组成,硬件设备统一由云平台提供支持,用户无需部署。
软件系统:
软件系统为攻防演习平台的核心系统,其中核心管理系统为攻防演习平台的支撑系统,为攻击行为审计系统、后台管理系统、可视化展示系统和视频监控系统提供支撑。
●攻击行为审计系统:
通过安全设备收集的日志及流量进行审计及分析,包括:
应急处置、追踪溯源、漏洞特征分析、日志收集分析、攻击行为手段分析,将分析结果推送给核心管理系统进行集中管理,核心管理系统把相关攻击行为推送到可视化展示系统进行展示;
●后台管理系统:
主要对攻防演习过程进行集中管理,包括:
平台管理、队伍管理、人员管理、资产管理、成绩管理、报表管理和日志管理;
●可视化展示系统:
提供可供投放到大屏幕的动态可视化界面,主要包括网络安全攻防演习实况展示、网络安全攻防演习成果展示、网络安全攻防演习可用性检测、网络安全攻防演习网络监控;
●视频监控系统:
对攻防演习的攻守双方进行实时监控,通过监控各角色人员行为保障攻防演习过程安全可控。
包括:
裁判人员行为监控、运维人员行为监控、审计人员行为监控、防守方行为监控、进攻击方行为监控。
十四、平台部署
实战攻防演习平台服务部署时包括:
攻击场地、防守场地、指挥大厅、攻击行为分析中心四个部分。
攻击方通过有效的身份验证后可采用场内攻击或场外攻击以及不同的网络攻击方法进行攻击,防守方则对攻击方的攻击行为进行实时防守。
攻击行为分析中心则对整个攻击行为进行收集及分析,由日志分析得出攻击步骤,建立完整的攻击场景,直观地反应目标主机受攻击的状况,实时监控攻击过程,并通过可视化大屏实时展现。
指挥大厅则通过视频监控对整个攻防过程进行实况监控。
实战攻防演习平台拓扑架构如图所示:
图表6:
平台网络拓扑图
指挥大厅
演习过程中,攻击方和防守方的实时状态将接入到指挥大厅的监控大屏,领导可以随时进行指导、视察。
攻击目标信息系统
攻击目标信息系统即企业的网络资产系统,防守方在被攻击系统开展相应的防御工作。
攻击行为分析中心
攻击行为分析中心通过部署网络安全审计设备对攻击者攻击行为进行收集及分析,由日志分析得出攻击步骤,建立完整的攻击场景,直观地反应目标主机受攻击的状况,实时监控攻击过程,并通过可视化大屏实时展现。
攻击场地
攻击场地可分为场内攻击和场外攻击,通过搭建专用的网络环境并配以充足的攻击资源。
正式攻击阶段,攻击小组在对应场所内实施真实性网络攻击。
场地内部署攻防演习监控系统,协助技术专家监控攻击行为和流量,以确保演习中攻击的安全可控。
十五、演习授权
演习开始前期,由演习工作组织方对第三方攻击团队进行正式授权,确保演习工作在授权范围内有序进行。
所有攻击组应在获取演习攻击授权后,才可对演习目标开展演习攻击。
十六、保密协议
为了防止攻防演习过程中泄露客户信息,可签订保密协议,对参演服务人员提出保密要求,确保参演服务人员认同、认可泄露客户信息的严重后果,提高参演服务人员保密意识。
十七、演习阶段
演习阶段作为实战攻防演习的重要阶段,主要包括攻击过程、过程监控、成果提交、应急处置和成果研判等工作。
在前期准备工作基础上,对真实网络环境中的系统开展攻击和防守,以获取目标系统的最高控制权为目标,检验客户人机结合、协同处置等方面的综合防护能力,同时通过对攻击过程的监控和应急处置,保障整个攻击过程的安全。
十八、攻击过程
演习开始后,攻击方利用网络攻击的技术手段,在不影响客户业务系统可用性的前提下,对目标系统开展攻击演习。
攻击方将按照网络边界打点突破,内网资产发现并深入挖掘漏洞,从而实现横向渗透,进而实现整个网络的夺权思路,达成攻击目的。
攻击方在对某系统进行有针对性的、有组织的入侵攻击时,通常会首先制定攻击策略、规划攻击线路,攻击者分工合作,力争在短时间内取得最大战果,常见的攻击步骤和方法如下:
图表7:
攻击线路示意图
十九、信息探测与收集
信息探测与收集属于攻击前的准备环节,攻击人员通过对目标信息系统开展一系列的工具探测,人工收集,利用一切能利用的技术手段,尽可能多地了解目标系统相关信息,为后续进一步实施攻击提供有力的支撑。
信息收集的内容主要包括:
IP信息、域名信息、服务器操作系统类型、WEB应用开发语言、中间件类型及版本信息、数据库类型及版本信息、WEB应用目录结构、WEB后台、相关配置文件、共享文件、插件信息等。
通过对目标信息系统的信息进行搜集,发掘网站可能存在的一些缺陷,对目标系统可能存在的脆弱点进行深入分析提供依据。
具体收集手段包括但不限于以下方法:
IP发现:
以可利用IP为起点,对相同网段的IP进行探测,并从所得IP追溯域名解析获取信息;
端口扫描:
通过对开放端口进行扫描,根据开放端口判断服务类型以及完成对危险端口的收集利用;
网站关键信息收集:
通过分析网站架构,包括网站源文件、隐藏链接、备份文件、网站编写语言以及网站可能存在的敏感目录等对网站进行探测;
搜索引擎信息收集:
将网页中的字符作为搜索对象,收集网站敏感信息,为之后撒网式攻击或定点攻击提供信息保障;
蜘蛛爬虫:
通过网络蜘蛛/抓取工具检索页面,以递归遍历超链接的方式检索网页内容获取敏感信息。
二十、可利用漏洞分析
攻击人员在完成对目标信息系统的信息搜集后会进行综合分析,结合实际攻击经验,有针对性地对目标系统可能存在的漏洞加以分析和利用。
通过信息收集阶段获取的目标系统相关软件版本信息及其他指纹信息,采用扫描工具和人工手动测试等手段,分析出目标系统是否存在已知的漏洞,并将已探测出的漏洞进行关联分析,以验证漏洞的利用方式和利用难度,同时运用开放式思维,创造性的尝试多种攻击方式相结合的新的攻击手段,以找出潜在漏洞的攻击路径,提高攻陷目标系统的可能性。
具体分析手段包括但不限于以下方法:
应用扫描分析:
通过WEB扫描测试工具对目标系统进行扫描,发现是否存在可利用漏洞;
网站架构分析:
通过对网站目录结构、开发语言、使用组件进行综合分析,以发现是否有可利用漏洞;
手工测试分析:
根据收集的信息,结合攻击人员攻击经验,通过手工测试的方法验证是否有可利用的漏洞;
漏洞研究:
根据扫描器或者手工测试得出的结果,综合已出现漏洞的情况、客户现有环境情况以及实战人员经验对可能存在的漏洞进行研究分析;
常见WEB漏洞探测:
对系统、网站是否存在常见的WEB漏洞(如:
SQL注入漏洞、XSS漏洞、文件上传漏洞等)进行手工验证探测。
二十一、漏洞利用和攻击
漏洞利用和攻击是攻防演习中的关键环节,攻击人员根据上一环节制定的攻击方案或者攻击方式,利用各种手段绕开防护措施,开展实际的漏洞利用和攻击。
攻击人员将尝试各种技术手段实现对系统、中间件、数据库的访问或操作,并尝试通过加壳、编码、代码混淆等方式绕过安全防护措施,再通过不同攻击方式有针对性的对目标系统开展全面的渗透。
具体攻击手段包括但不限于以下方法:
常规WEB攻击:
利用SQL注入、文件上传、XSS等常见漏洞进行攻击;
操作系统漏洞攻击:
利用已知编号的漏洞,通过POC开展漏洞利用;
中间件攻击:
利用中间件后台弱口令、中间件软件版本漏洞(例如反序列化漏洞等)开展漏洞利用;
数据库攻击:
利用未授权访问、数据库弱口令、数据库版本漏洞进行漏洞利用;
钓鱼攻击:
利用通过水坑攻击、鱼叉攻击等钓鱼攻击手段,诱导内部人员进行漏洞利用触发;
网站后台攻击:
利用网站弱口令或者密码爆破等方式对网站后台进行攻击;
旁站攻击:
在主站无法直接攻击的情况下,通过对与主站有关联的旁站进行攻击,迂回获取目标系统的权限;
工具开发:
根据实际攻击情况,对需要的工具、脚本进行开发,以适用攻击目标环境的需要。
二十二、后渗透
后渗透是指攻击人员通过漏洞利用和攻击环节,在获取目标系统的控制权限后,根据演习工作需求,进一步开展内网渗透,以扩大攻击获取的成果。
在后渗透阶段,攻击人员首先会对已获取到的权限进行开发利用,例如提权、添加账号,以便最大限度的提高控制权限的可利用性。
然后会重复以上攻击步骤,对获取控制权限服务器及所在网络环境开展信息搜集、账号口令探测、流量劫持、敏感文件搜索等行为,根据搜集到的内网信息,结合多种攻击手段,以最大限度地获取攻击成果(例如:
获取域控权限、多台服务器权限等)。
提权:
提权主要针对网站入侵过程中,通过各种漏洞提升WEBSHELL权限以夺得该服务器权限;
内部网络结构推测:
通过攻击已获取的权限和基本信息,进一步探测内部网络信息,从而得出内部网络结构的简要拓扑,为攻击人员提供攻击路径;
网络设备漏洞:
通过对内网环境扫描,尝试发现网络设备可能存在的漏洞,以获取网络设备的访问控制权限;
集权系统探测:
通过进入内部网络环境,扫描发现集权类系统(例如堡垒机、SSO、VPN)访问路径,尝试获取集权系统后台权限;
代码审计:
若内网环境存在SVN服务器,通过获取SVN服务器权限,进一步对可能的目标系统源代码进行审计,发现源码漏洞实施攻击;
控制域管理服务器:
在对内网系统入侵成功之后攻击者会想办法通过各种手段(例如:
中间人攻击、流量劫持、嗅探等)获取域控服务器权限,从而最大限度控制内网;
二十三、攻击结束收尾
攻击人员在达到攻击效果并留取证据后,为了防止可长期控制攻击目标或被他人所利用,应按照演习规定,需对在攻陷目标系统过程中留下的痕迹进行清理,清理的内容包括但不限于以下内容:
删除上传文件(木马、各类脚本、工具等);
删除添加账号;
删除添加的策略、规则等;
删除攻击过程记录的有用信息(IP地址、URL、端口、登录口令等);
恢复其他改动的配置至攻击前状态。
二十四、过程监控
协助组织方监管人员,利用攻防演习平台,对整个攻击方演习过程进行监控,调度演习过程,同时在发现攻击方、防守方存在违规行为时,及时进行制止和通报,保障整个演习过程的正常开展。
二十五、攻防过程实况展示
实战攻防演习平台的攻击行为分析中心对抓取的攻击日志进行分析,建立完整的攻击场景,能直观地反应目标主机受攻击的状况,实时监控攻击过程,并通过可视化系统监控大屏实时展现,能真实全面地展示攻击方流量实时状态,展示攻击方与被攻击目标的IP地址及名称,通过光线流动效果及数字标识直观展示攻击流量信息,支持全国多城市视图切换,支持多种攻击类型标识。
图表8:
攻击过程展示
二十六、攻防过程可用性检测
实时展示攻击目标业务的健康性,保障攻击目标业务不受影响。
在网络层面通过攻击流量大小准确反应攻击方网络资源占用情况及其对攻击目标形成的压力情况。
大屏实时呈现网络流量大小等信息,并展示异常情况的描述,网络监控数据实时进行刷新。
图表9:
攻击目标可用性监测展示
二十七、攻防过程成果展示
通过后台成果提交系统,攻击组人员可通过安全通道登录系统上交攻击成果,包括攻击域名、IP、系统描述、截屏图片、攻击手段等。
裁判打分后即可在成果大屏上展示。
图表10:
攻击成果提交展示
二十八、攻防过程视频监控
为保障攻防演练过程的可视化,在攻防演练过程中,分别对攻击方人员和防守方应急指挥中心及预警系统进行实时视频录像及屏幕操作截屏,并接入至指挥中心,传输数据均采用VPN通道输送到指挥大厅的监控大屏进行展示,同时对监控数据采用加密存储并能全部导出。
图表11:
现场监控展示
二十九、成果提交
攻击团队在攻击过程中,对每个攻击过程环节进行详细记录,并按照本次攻防演习要求,提交攻击成果,以方便研判专家组对攻击效果进行分析和确认。
成果以报告文档形式提交,包括攻击截图、过程描述、上传文件位置、解决建议等内容。
三十、应急处置
在攻防演习过程中,可能会发生不可控突发事件导致演习过程中断。
为了降低突发事件对演习工作造成影响,演习领导小组、演习工作组应制定应急响应预案,攻防演习中一旦发生安全事件,应按照应急处置流程有序开展应急处置工作,确保攻防演习工作顺利完成。
应急处置流程图如下:
图表12:
应急处置流程图
在攻防演习过程中突发事件应急处置具体流程如下:
收到异常情况报告:
现场人员发现问题或异常现象,应第一时间将事件上报攻防演习工作组;
异常情况上报:
工作组确认问题,并将情况上报攻防演习领导小组;
异常事件研判:
攻防演习领导小组了解安全事件,对事件严重程度进行研判;
下达应急预案指令:
攻防演习领导小组下达启动应急预案指令,启动应急处置工作;
应急事件处置:
应急处置组采取应对措施,对安全事件进行处置,处置过程中技术支撑组、攻击组、防守组配合应急处置组开展应急处置工作;
形成处置报告:
事件处置结束,由应急处置组就事件处置过程以及结果形成报告,并上报攻防演习工作组;
汇报处置结果:
工作组汇总应急处置结果和处置报告,向演习领导小组进行汇报;
评估处置结果:
演习领导小组听取工作组汇报并评估处置结果,提出后续工作要求,结束本次应急工作。
三十一、成果研判
在攻防演习过程中,根据攻击组提交的攻击记录信息,专家组通过演习平台可对攻击成果进行研判。
对攻击方评分机制包括:
攻击方对目标系统攻击所造成的实际危害程度、准确性、攻击时间长短以及漏洞贡献数量等。
通过多个角度进行综合评分,从而得出攻击最终得分,评分规则如下:
以攻击主要目标系统为主,在通向主要目标的攻击路径上所获取的系统权限均为有效;
获取目标系统权限、数据,远程控制则攻击方得分;
获取集权系统(堡垒机、SSO)控制权限,则攻击方得分;
横向内网渗透,获取域控服务器权限,则攻击方得分;
横向内网渗透,获取一定服务器权限,由监管方裁判组审核攻击方是否得分;
其他情况的所有评分由监管方裁判组审核,来确定攻击方是否得分。
三十二、总结阶段
利用攻防演习平台,统计攻击方的攻击行为、攻击手段、攻击次数等,同时也统计防守方发现、检测和拦截的攻击数量,并且结合自身发现的攻入的攻击行为,对本次演习进行全方位的总结,并将发现的问题按照应用开发问题、安全管理问题、防护体系问题进行分类。
三十三、资源回收
演习结束后,在演习工作组对在攻防演习过程中发放的资源进行统一回收。
回收资源包括:
攻击人员所使用的统一终端,攻击人员、防守人员所使用的演习平台账号,所有网络资源(网络设备、分配的IP、VPN账号、无线热点等),所有过程产生的记录报告等。
同时攻击方人员也应对在演习过程中使用的所有木马及相关程序脚本、数据(视频文件及相关日志除外)等进行清除。
三十四、过程溯源审计
过程溯源审计是指在攻防演习过程中,主要针对攻击人员的行为、提交的成果是否满足本次攻防演习的规定,而开展的人工复盘工作,确保后续专家组在评分过程中所针对的评分对象是有效的,从而能公平、公正、合理地为攻击方进行分数评判。
过程溯源审计工作主要由演习平台安全审计人员开展,在演习开始后,安全审计人员除了通过演习平台监控外,还会通过对攻击提交结果进行人工审核、攻击流量溯源等方式来确保攻击行为、攻击提交结果的有效性。
当攻击方提交攻击结果至平台后,通过对提交信息审核,在对应的时间段内从攻击流量中分析是否有与提交信息中一致的源IP、目标IP、端口信息、攻击行为、上传文件记录、其他操作指纹信息等还原出整个攻击过程,以判断所提交的成果是否真实可靠。
通过过程溯源审计可以杜绝违规成果(例如:
不在指定时间内进行攻击、没有采用指定IP进行攻击、获取的账号权限并非本次攻击演习获取等)被采纳的情况发生,为攻防演习工作的真实有效提供保障。
三十五、总结汇报
攻防演习工作结束后,演习工作组应组织各组人员对本次演习工作内容进行汇总,配合演习工作组及相关技术人员对演习平台的监控数据进行统计和分析,认真复盘,高度凝练,输出相关的演习总结报告,对本次演习工作中获得的成果、经验以及需要改进的问题进行总结。
各方总结完成后,由演习工作组向演习领导小组汇报本次攻防演习工作的整体情况,通过本次攻防演习获得的成果,过程中还存在的各方面问题,不断完善和优化攻防演习工作。
三十六、协助整改
除制作相关汇报材料外,配合组织方组织专业技术人员和专家,汇总、分析所有攻击数据,为防守方提供具有针对性的详细过程分析报告,作为参演单位后续开展安全整改的依据。
三十七、交付成果
◆工作输入
《XXXX实战攻防演习方案》
《攻防演习需求列表》
◆工作输出
服务成果为:
《XXXX实战攻防演习总结报告》
◆工作输出物样例
无
三十八、服务优势
长期为公安、网信及各类行业监管单位提供国内领先水平的实战攻防演习服务,积累了丰富的策划组织和实施经验,面向服务单位我们具有下列优势:
●理念先进:
通过攻防实战来检验安全技术、安全管理和安全运营的有效性。
●人才专业:
团队拥有大量的经验丰富安全攻防专家,被国外媒体称为东半球最强大的白帽军