从2016年到2024年，HVV 行动已经进入第9个年头，经历了从少部分单位参与到“全民网络安全演练时代”的转变。随着网络安全技术和各种新兴技术的飞速发展，每年的 HVV 都会加入新的规则和玩法，以达到实战化、仿真化的演练目的。

塞讯验证为所有参加2024 HVV 的单位总结了以下注意点，并致力于通过塞讯安全验证平台持续提升蓝队能力。

▌2024全新升级版HVV玩法更新

2.上分副本：将勒索、数据泄露、0day 这几项重要威胁作为单独的演练项目，既是机遇也是挑战。

3.丢分重点：除了边界突破、权限获取、数据获取和远程控制之外，权限的持久化也需要重视。

4.更大攻击面，更高强度：攻击面涉及相关资产、分子公司，各类APP、小程序、网页以及私有云、公有云上的各类系统都包含在内，还需要考虑供应链等第三方渠道，防守方需要密切注意向上和横向攻击路径。

5.聚焦重点行业领域：无论是处于经济还是政治目标的攻击，都会瞄准一些重点行业领域，因此HVV演练也会重点考验金融、能源、电力、广电等行业的防守能力。

6.关注新技术新业态：大模型人工智能、无人机平台、公共服务平台等因其技术或影响力，也会进行针对性的演练。

▌蓝队加分重点总结

A. 基础分：考察全周期安全能力

根据历年HVV来看，对于防守方的基础能力评定一共分为以下六大部分，覆盖了安全防御的全生命周期：

1.监测发现：考察是否能发现红队攻击手段的具体类型，以及发现的覆盖率和及时性

2.分析研判：考察蓝队分析攻击样本和提取攻击痕迹的能力，包括分析具体恶意进程及样本的功能特点、回连信息、攻击情况等，还包括日志的提取、样本的捕获等。

3.应急处置：重点考察攻击阻断能力，包括互联网侧的攻击阻断和内网攻击阻断，事件的分类分级和响应预案也是评分点。

4.通报预警：考察通报发布的及时性、规范性和内容详尽性。

5.追踪溯源：考察对攻击链的还原能力，重点关注攻击入口、内网跳板和攻击路径。

6.排查整改：考察具体整改以及全面排查整改的方案和成效。

划重点：防守报告

发现、阻断和上报的及时性：考验对攻击的感知能力、阻断能力和报告的产出速度

B.附加分：考察布防和技战法的总结提升能力

1.阶段性总结：包括在攻防演练中对总体布防的复盘和提升，对事件处置的分析还原，协同联动的机制分工等等

2.技战法：包括应对新型攻击或针对具体事件的应急处置、安全运营、安全管理、策略配置等的总结。

▌蓝队减分重点总结

A. 5大减分类别

1. 权限获取和维持

尤其需要关注邮箱系统、身份和账户管理平台、OA系统、域控系统、堡垒机运维机、云平台、虚拟机平台、Docker控制等集权系统的管理员权限，一旦被获取，会造成连带影响，造成加倍扣分。

2. 边界突破

被红队进入逻辑隔离业务内网、逻辑强隔离业务内网和核心生产内网所产生的扣分或许较往年有所增加。

3. 系统控制

不同目标系统被控制的扣分也将有所调整，目标系统被控制，减分上限也有所增加。目标系统失分的评定仍然需要将路径考虑在内。

4. 数据获取

根据数据的类型、敏感程度、字段、规模以及是否通过供应链获取等不同程度减分，敏感业务数据如被获取可能会造成比历年更严重的减分。

5. 滴血扣分

攻击队攻击成功后，在防守方内网每多停留1小时，按小时扣分。（潜伏阶段的手法 还能忽视吗？）

B. 红队高频技战术

1. 初始接入（Initial Access）：
   1. 钓鱼攻击（如：T1566.001 - Spearphishing Attachment）
   2. 利用软件漏洞（如：T1190 - Exploit Public-Facing Application）
2. 攻击执行（Execution）：
   1. 命令行界面（CLI）命令（如：T1059.003 - Windows Command Shell）
   2. PowerShell脚本执行（如：T1059.001 - PowerShell）
3. 持久化（Persistence）：
   1. 修改计划任务（如：T1542 - Scheduled Task/Job）
   2. DLL劫持（如：T1574 - DLL Search Order Hijacking）
4. 权限提升（Privilege Escalation）：
   1. 利用操作系统漏洞（如：T1068 - Exploitation for Privilege Escalation）
   2. 滥用高权限账户（如：T1078 - Valid Accounts）
5. 防御逃逸（Defense Evasion）：
   1. 文件删除（如：T1107 - File Deletion）
   2. 利用受信任的程序执行恶意活动（如：T1218 - Signed Binary Proxy Execution）
6. 凭据访问（Credential Access）：
   1. 凭据Dump（如：T1003 - Credential Dumping）
   2. 利用密码管理器（如：T1552 - Unsecured Credentials）
7. 信息发现（Discovery）：
   1. 网络映射（如：T1046 - Network Service Scanning）
   2. 系统信息发现（如：T1082 - System Information Discovery）
8. 横向移动（Lateral Movement）：
   1. 远程过程调用（RPC）服务滥用（如：T1021.002 - SMB/Windows Admin Shares）
   2. 远程服务漏洞利用（如：T1210 - Exploitation of Remote Services）
9. 信息收集（Collection）：
   1. 从本地系统收集数据（如：T1005 - Data from Local System）
   2. 从网络共享收集数据（如：T1039 - Data from Network Shared Drive）
10. C&C回连（Command and Control）：
    1. 使用自定义命令和控制协议（如：T1071 - Application Layer Protocol）
    2. 使用远程访问工具（如：T1219 - Remote Access Software）
11. 数据泄漏（Exfiltration）：
    1. 数据通过C&C通道传输（如：T1041 - Exfiltration Over Command and Control Channel）
    2. 数据通过可移动介质传输（如：T1052 - Exfiltration Over Physical Device）
12. 破坏影响（Impact）：
    1. 数据加密（如：T1486 - Data Encrypted for Impact）
    2. 系统服务中断（如：T1531 - Account Access Removals）

▌塞讯验证助力企业备战2024HVV

1. 最全面的APT攻击库

2. 勒索演练

3. 还原攻击路径

4. 7*24常态化演练

5. 赋能安全布防

6. 历年HW攻击手法

7. 提供整改优化建议

原文始发于微信公众号（塞讯安全验证）：划重点：2024HVV新规则