@怪人
2年前 提问
1个回答

攻防演练主要分为哪几个阶段

007bug
2年前

网络攻防演练保障工作不是一蹴而就,需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方,应按照以下五个阶段组织实施:

  1. 启动阶段:

    组建网络攻防演练保障团队并明确相关职责,制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析,评估当前网络安全能力现状。对内外网的信息化资产进行梳理。

  2. 备战阶段:

    通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案,配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。

  3. 临战阶段:

    制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。

  4. 保障阶段:

    依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。

  5. 总结阶段:

    对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理。

对于攻防演练的攻击方来说应该做到:

  • 控制入口

    一部分通过利用web漏洞进行webshell.上传,可以通过些手段绕过市面常见waf; 另一部分通过钓鱼邮件,样本投递来控制办公人员终端。正面强攻无果,会迂回到分之服务器。

  • 横向移动

    根据入口或受控终端的内网访问权限,控制批内网服务器和终端。

  • 维持权限

    通过提校漏洞(很多,且廉价),获导系统权限;之后做持久化控制(如rootkit),和外联CC (可能有心跳包)。

  • 攻击目标系统息

    直接攻击目标系统,或者攻击系统管理员(账号,终端),或者攻击系统运维员,或者攻击系统高权限账号,或者攻击有系统信的其他系统。