@怪人
2年前 提问
1个回答
攻防演练主要分为哪几个阶段
007bug
2年前
网络攻防演练保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,应按照以下五个阶段组织实施:
启动阶段:
组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。
备战阶段:
通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。
临战阶段:
制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。
保障阶段:
依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。
总结阶段:
对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。
对于攻防演练的攻击方来说应该做到:
控制入口
一部分通过利用web漏洞进行webshell.上传,可以通过些手段绕过市面常见waf; 另一部分通过钓鱼邮件,样本投递来控制办公人员终端。正面强攻无果,会迂回到分之服务器。
横向移动
根据入口或受控终端的内网访问权限,控制批内网服务器和终端。
维持权限
通过提校漏洞(很多,且廉价),获导系统权限;之后做持久化控制(如rootkit),和外联CC (可能有心跳包)。
攻击目标系统息
直接攻击目标系统,或者攻击系统管理员(账号,终端),或者攻击系统运维员,或者攻击系统高权限账号,或者攻击有系统信的其他系统。