HW2023蓝队笔记

0x00 HW前你需要知道的

0x01 HW行动谁牵头？

图引用自教父爱分享

HW行动是由GA牵头组织，政府、国企、能源、金融等重要行业单位参与的全国性的行动。

0x02 甲方请你来是干嘛的？

避免被打穿、扣分被监管单位通报批评，影响企业收益。

0x03 蓝队外包参与HW的项目流程是什么？

外包经过中介面试后推送给厂商，再由厂商面试后推送给甲方，甲方进行最终面试并且你通过后，这个时候一般会将你和项目锁定，也就是说这个时候才能确定HW的时候有坑位。

0x04 每年HW什么时候开始？

• HW2021——21年4月

• HW2022——22年7月底

• HW2023——23年8月

除了21年，22 23年HW都在暑假，HW还是需要大量人力监控安全设备。

0x05 签了合同就一定有项目吗？

不一定，如果仅仅是通过中介面试，或者是厂商面试，并没有和甲方面试并且锁定项目，这个时候是没有HW的坑位的。只有锁定项目并且签订合同后，才能说项目基本稳了。

在HW开始前没有锁项目一般有几种情况，比如今年HW2023，8月7号放出消息，9号开始HW，没锁定项目师傅的今年大概率去不成HW了，也有一些例外情况，有的运气比较好的师傅，在8月7号当天确定项目，个人猜测可能是今年HW通知的比较急，有些小项目应该缺人手。

有些中介面试通过，但厂商那边一直没有面试，或者面试后没有锁定项目，就要反思一下是不是简历或者面试技巧上有问题。

0x06 学生简历怎么写

从HW2022开始，许多甲方都知道或者默认有外包甚至是学生外包这种事，但是人家几千一天把你请过去，肯定希望请的是原厂的工程师，所以在简历上千万不要写自己是学生，多写项目经验、攻防成果，个人觉得和大学生相关的CTF比赛、编程比赛最好都不要写进去，更别说什么乱七八糟八竿子打不着的英语四级、三好学生，这种简历直接PASS了。

某些中介，如果能通过一些细节发现你是学生，或者发现你比较年轻，比如年龄、外貌、简历的项目、参加的比赛中发现你是学生，这些黑中介会因为你没有经验，不懂行情，压你等级、压价。本来初级监测能拿1200的，给你压到800，本来中级给你压到初+，中介吃的就是这碗饭，看人下菜，会想方设法在你身上多捞油水。

不要在确定项目前签锁人合同！不要在确定项目前签锁人合同！不要在确定项目前签锁人合同！

签了锁人合同之后，你就不能去签别家了，一旦这个中介鸽了你，HW就没得干。举个例子，中介签了俩水平差不多的人，一个 1200/d 一个 800/d 同样的项目，肯定优先派 800/d 的去。就算违约赔你 2000 也要等很久之后才能拿到，更别说中介专门吃这碗饭，有那么容易让你白拿钱？

0x07 和中介合同签的是什么岗，就只负责这个岗位的工作吗？

小项目因为预算有限，可能HW期间驻场工程师只有很少的几个人，很多时候甲方认为请过来的是专业的工程师，可能一个岗位要身兼数职，监控 研判 处置（封IP） 溯源 都得做。

大项目一般来说规划较好，根据分组情况做事，比如你负责研判只需要研判就好，很少会叫你去溯源。

1x00 HW中

1x01 学生应该怎么HW

按时到岗，现场安分守己都是基本的。放平心态，就像其他人办公一样办公就行了，每天摸摸鱼上设备上看看告警 封封 IP 就过去了，最后写日报下班。

不要在HW期间使用客户网络进行对外扫描甚至内网扫描，大家在HW时都挺敏感的，扫了后果你懂的。

有一点需要强调，千万不能和客户闹矛盾，也不要告诉客户你是学生（关系再好也不行）。可能会影响项目结算，客户不计较还好，计较起来不仅你拿不到钱，和你一起值守的兄弟可能也要遭殃。

1x02 学生应该尝试在HW中学到什么

HW说白了就是攻击队和防守方的较量，到现场主要接触肯定是防守方，很容易就能接触到一些大型集团的网络架构，安全产品部署方式，学习甲方如何进行网络安全建设，可以多理解客户网络拓扑图，了解一些安全设备的功能和使用，某些安全产品的原理，这些都是宝贵的经验。

2x00 最后聊聊想说的

从HW2022开始，每年都有人在公众平台上晒出自己的HW工资条，像HW2022的抖音哥，HW2023的苕皮哥，导致越来越多的非网络安全从业者也知道这种短期项目工资高，也想来分一杯羹。甚至苕皮哥还是学舞蹈的，马X兵培训几个月出来直接上岗。

这种行为对个人方面讲，是违背签下的保密协议，不仅拿不到工资，还得赔钱；对网络安全行业来讲，吸引一大批看中HW工资的人加入行业，导致行业水平参差不齐，安全行业越来越卷，受苦的还是我们这些普通网络安全从业者。

从HW2022开始，有些甲方明确要求不要大学生，毕竟甲方几千块一天，肯定希望请的是有几年工作经验的原厂的工程师，而不是不熟悉设备、技术水平参差不齐的学生工。本来今年HW的坑位就不好找，很多厂商都开始有年龄要求，又出了苕皮哥这么个事儿，更多甲方知道了参加HW值守人员这里面的猫腻，说不准以后只要有原厂社保的工程师。这件事也可能成为某些黑中介压价的借口。

今年在技术方面没啥好说的，红队钓鱼手段更加出神入化，各类webshell、cs木马流量特征更加隐蔽，样本免杀也做的更好了，内存马在今年也是红队常规手段。

最后，希望大家都能从HW中有所收获，也希望未来网络安全越来越规范。

- End -

原文始发于微信公众号（NS Demon团队）：HW2023蓝队笔记