国外经典红蓝攻防演练方案+网络安全意识培训思路(一)

admin 2025年2月14日10:06:07评论22 views字数 8928阅读29分45秒阅读模式
国外经典红蓝攻防演练方案+网络安全意识培训思路(一)
国外经典红蓝攻防演练方案+网络安全意识培训思路(一)
哪吒归来

“是魔是仙 我自己说了算”

大规模网络钓鱼活动

组织经常希望评估其应对大型网络钓鱼活动的能力,在这些活动当中,多个用户点击恶意链接或以有害的方式接触可疑电子邮件

此场景的受众应包括来自服务台信息技术和信息安全团队的技术人员,以及电子邮件管理员(如果不是前面列出的职能的一部分)。让团队领导层的某些成员参与进来也是明智之举,因为该场景可能需要对影响业务的问题进行更高级别的决策。

场景

此桌面介绍了针对去中心化组织的基本网络钓鱼攻击,并包括对环境的主动利用。主动利用表明威胁行为者目前处于环境中。由于网络钓鱼是一种常见威胁,因此您可以轻松简化或扩展以下故事板,根据目标参与者及其经验进行调整。

在场景介绍中,西南卡车销售公司(销售大型商用车)巴吞鲁日分公司的经理致电服务台说:“我想我犯了一个错误。我收到了 CEO 发来的一封关于年度奖金和绩效加薪的电子邮件。我下载了附件,但文档是空白的。我需要帮助才能访问该文件。”

  • 服务台将如何处理这样的呼叫?
  • 服务台是否接受过识别潜在网络钓鱼尝试的培训?
  • 服务台经过培训,要求呼叫者立即执行哪些技术步骤?这些步骤在这种情况下是否足够?
  • 根据单一报告,应该向谁汇报此问题?
注射 1

在调查经理的系统时,服务台接到了其他西南卡车销售点的电话,报告称首席执行官发送了一封有关奖金的可疑电子邮件。一些用户报告说打开了电子邮件附件中的一个文件。

  • 如果最终用户遇到网络钓鱼电子邮件,他们接受过哪些步骤培训?在这种情况下,这些步骤是否足够?
  • 这些步骤是否方便用户使用?最终用户是否需要致电服务台,或者是否有其他方式报告问题?
  • 这个场景现在被归类为事件或事故吗?
  • 如果这是一起事故,目前其严重程度如何?
  • 是否需要将此问题的详细信息通知其他方?
  • 服务台是否会协同调查各种工单,还是其团队成员会分开行动?
  • 目前,谁负责监督调查?
  • 电子邮件能否被信息安全人员恢复和检查?谁来执行这些任务?
注射 2

信息技术部门调查了此事,发现该电子邮件已发送给西南卡车销售公司 25% 以上的员工。看来至少有来自 6 个地点的 36 名用户打开了该电子邮件,但这些员工是否打开了附件尚不清楚。

  • 组织将如何调查谁打开了附件?组织是否能够快速做出这一判断?
  • 该组织是否可以跨信息技术基础设施查询系统来寻找文件的证据,例如文件名或哈希值?
  • 是否可以确定该文件在打开时会做什么(如果有的话)以及它包含什么内容?
  • 信息技术能否从收件箱中提取电子邮件,以便其他工作人员不会打开它并可能点击或下载附件?
  • 由于西南卡车销售公司的营业点遍布大片地理区域,信息技术团队是否有能力实时检查系统工件?如果有必要,信息技术团队是否可以捕获数据集(如 RAM 或日志)?
  • 信息安全部门是否具备分析电子邮件和附件所需的技能?是否需要外部供应商提供分析?如果需要,聘请他们的流程是什么?
注射 3

信息安全部门对附件进行了调查。受害者打开后,系统会提示输入域用户名和密码,以访问恶意文档的敏感内容。输入凭证后,文档会打开,但看起来是空白的。信息安全部门确认,在用户输入凭证后,PowerShell 脚本会运行并将其他文件下载到系统中。

在分析过程中,信息安全团队识别了入侵指标 (IoC),包括注册表更改、特定文件的 MD5 哈希值以及受感染系统尝试联系的 IP 地址。

  • 如何解决泄露的用户凭证和受影响的系统?
  • 除了 PowerShell 脚本之外,还有其他信息来源可用于确定其他用户是否受到影响?
  • PowerShell 脚本是否会触发组织的安全工具的任何警报?
  • 是否可以查询环境中的其余系统以确定哪些系统有恶意文件?注册表更改、MD5 哈希值和 IP 地址是否记录在任何系统或网络工件中?
注射 4

调查显示,至少有 5 个地点的 23 个系统存在恶意文件。这些系统属于一系列用户,包括财务、人力资源和管理层的员工。此外,一名例外——一位有权访问域管理员凭据的特权 IT 管理员也受到了攻击。一些用户报告称,他们在系统提示时输入了凭据,但其他用户不记得他们采取的具体操作。特权 IT 管理员认为他们输入了凭据,但不能 100% 确定。

  • 该组织将如何处理点击该附件的用户的帐户?
  • 是否可以确定域凭据是否已被泄露?如果是,它们是否会被公司环境之外的某人使用?
  • 事件是否应上报至组织内的其他职位?此外,是否仍有合适的人员领导响应?
  • 还应收集哪些证据?响应团队如何确保妥善处理?
  • 由于可能存在域管理员帐户泄露问题,是否有流程可以更改整个组织内所有用户帐户密码,包括域管理员和服务帐户密码?该流程能否快速执行(几个小时内)?这会对业务运营产生影响吗?
  • 上次测试或进行全局密码重置是什么时候?
  • 现有的网络日志是否有记录来自系统的活动?
注射 5

技术人员已重置了整个组织的凭证。他们已重新映像了受影响的系统并正在重建它们。根据网络日志,似乎没有发生进一步的横向移动(即扩散到网络的其他部分)。

  • 组织是否应考虑实施远程/VPN 访问的多因素身份验证,以降低未来遭受此类攻击的风险?对于任何管理访问又如何呢?
  • 事件发生后,监控系统和环境是否再次感染的流程是什么?
  • 是否有系统和网络日志可供检查内部横向移动或其他可疑凭证的异常使用情况?
  • 事件发生后,应该通知谁(如果有的话)?
  • 这一事件是否需要正式的教训吸取过程?

可能的修改

为了适应这种情况,请考虑进行以下修改:

  • 该电子邮件源自组织内的合法电子邮件地址。
  • 该电子邮件来自合法合作伙伴、供应商或其他值得注意的外部关系。
  • 发生横向移动,并访问关键应用程序服务器。
  • 网络钓鱼电子邮件未被报告。
  • 电子邮件中包含一个链接,而不是文件附件。点击后,此链接可能会转到欺骗性网站、文件下载或其他恶意网站。
  • 该问题非常普遍;例如,在一个全球性组织中,它影响到四分之三的全球站点。
  • 威胁行为者获得网络访问权限并且长时间不被发现。
  • 特定日志要么可用,要么不可用,从而影响调查。

影响文件服务器的勒索软件(技术版本)

截至撰写本文时,勒索软件仍困扰着全球组织,是大多数组织面临的最大威胁。在桌面演练中使用时,这种情况通常会演变成关于遏制传播的最佳方法、组织备份的有效性以及公司是否有办法恢复环境的冗长讨论。

虽然勒索软件场景可以关注事件的技术和非技术方面,但我们在此讨论的特定场景侧重于技术方面。其他讨论途径,例如何时涉及网络保险提供商以及是否支付赎金的问题可能会出现,但不应在技术练习中深入讨论。相反,将它们留到第 7 章中介绍的高管勒索软件桌面。

场景

在这个勒索软件场景中,我们将对服务器环境进行中等程度的利用,但假设备份和 Active Directory 环境不受影响。威胁行为者将通过网络钓鱼电子邮件获得初始访问权限,并横向进入服务器场。

场景始于大型制药研究公司 Maine Pharma 的一名员工致电服务台,因为他们无法访问笔记本电脑上的文件。呼叫者尝试重新启动,但无济于事。他们非常焦急,因为当天晚些时候他们有一个重要的演讲,无法访问他们的幻灯片。

  • 服务台人员将如何处理此呼叫?他们是否远程访问最终用户系统?如果是,如何访问?
  • 服务台是否会将此问题上报给其他人?如果是,上报给谁?如何上报?
  • 鉴于目前已知的事实,这是否被视为安全事件或事故?
注射 1

服务台接到了更多电话,报告整个缅因制药公司都存在类似行为。几名员工报告说,他们的电脑上出现了一条消息,要求向指定的比特币钱包支付 20 比特币的赎金,以换取解密密钥和加密数据的访问权限。

  • 服务台是否接受过识别潜在勒索软件事件的培训?
  • 这现在是安全事件吗?它的严重程度如何?
  • 此时还应该将谁拉入事件?他们将如何得到通知?
  • 谁在领导应对行动?
  • 是否有可能确定勒索软件的传播范围?
  • 如何控制受影响的端点?是否有工具可以帮助隔离过程,还是必须手动完成?
  • 隔离需要多长时间?隔离某些系统是否需要批准?如果需要,批准需要多长时间?
  • 我们是否应该考虑隔离未受影响的关键系统,例如 Active Directory、备份或其他业务关键系统?(假设系统尚未受到影响。)如果是这样,那么如何隔离这些系统?
  • 调查期间发现的证据将如何保存?
注射 2

用户现在报告无法访问多个 Maine Pharma 文件服务器上的文件。自首次发现此问题以来已过去了四个小时。

  • 无法访问这些系统是否与勒索软件攻击有关?
  • 如何检查受影响的服务器是否存在潜在的勒索软件?
  • 组织如何辨别威胁行为者已获得哪些系统的访问权限?
  • 事故的严重程度是否加剧?如果加剧,加剧到了什么程度?还有谁需要参与?
  • 该组织能否在整个环境中领先于活动的明显蔓延?
注射 3

信息安全部门确定,对 Maine Pharma 的首次访问发生在一名财务用户点击鱼叉式网络钓鱼电子邮件中的链接时。此次攻击利用了 Microsoft Word 中一个尚未修补的漏洞,该漏洞已知正在被积极利用。微软在钓鱼电子邮件发送前三周宣布了该漏洞,自该公告发布以来,补丁已经可用。

  • 补丁多久应用一次并推广到组织?
  • 该组织如何监控新发布的补丁,尤其是周期外、高度关键的补丁?
  • 是否有一个流程可以加快解决被积极利用的漏洞?
  • 可以监控系统的补丁级别吗?是否有可能列出所有缺少相关补丁的系统的完整清单?
  • 有哪些系统可以监控网络钓鱼?是否可以从邮箱中提取网络钓鱼电子邮件?
注射 4

在与 Maine Pharma 高层领导协商后,该组织决定不接受赎金,必须从可用备份中恢复数据。主要备份似乎未受到勒索软件的影响。

  • 组织将如何验证备份是否可以安全使用?
  • 上次测试备份恢复是什么时候?
  • 在系统恢复并重新投入生产之前需要做什么?
  • 如何验证系统以确保其不受任何恶意软件或漏洞的影响?
  • 组织多快能将所有受影响的服务器恢复到可用状态?
  • 哪些系统在恢复过程中将优先考虑?
  • 恢复的数据将如何协调?

可能的修改

为了适应这种情况,请考虑引入以下元素:

  • 该组织缺乏人员或技能来应对事件并尝试恢复。
  • 勒索软件已经完全加密了主备份和次备份,使其无法使用。
  • 威胁行为者获得对 Active Directory 服务器或虚拟化管理程序环境的访问权并对其进行加密。
  • 威胁行为者已经窃取了数据,并威胁说如果组织不支付更大的款项,他们将公布内容。
  • 敏感数据(例如知识产权或员工健康计划信息)被访问和泄露。
  • 该组织支付赎金并收到加密密钥。通过这种修改,信息技术需要多长时间才能恢复?我们如何验证解密密钥或工具是否按预期运行?
  • 勒索软件已加密密钥系统,例如域控制器,并且发现备份已损坏。
  • 赎金金额高于或低于 20 比特币。

通过零日漏洞引发恶意软件爆发

1988 年,莫里斯蠕虫在互联网上迅速传播,影响了世界各地的计算机。随着技术的不断发展,组织面临的攻击也在不断发展。恶意软件爆发在组织中很常见,新闻中充斥着此类广泛事件的例子。在本节中,我们将介绍一个这样的事件。

本场景中讨论的恶意软件是虚构的。为了使该场景更符合您的组织,请尝试将其更改为最近出现的变体或已知恶意软件的虚构版本。考虑当前的威胁形势以及业务影响,并相应地修改场景。

场景

一种名为 ROBber 的新恶意软件变种正在全球组织中传播。该恶意软件在受感染的端点上安装远程访问木马和按键记录器。然后,它会存档记录的按键日志,并每天一次将其发送到命令和控制服务器。随着演习开始时,这些信息尚不清楚,但它将在演习的后期发挥作用。

演习始于微软发布一份关于零日漏洞的公告,该漏洞影响运行 Internet 信息服务 (IIS) 版本 10 及以下版本的系统。根据公告,目前尚未提供补丁;不过,微软建议立即禁用运行受影响版本的系统。公告中还包含几个 IP 地址,微软建议屏蔽这些地址。微软表示,一旦有更多详细信息,将提供。

威胁团体已经开始利用此漏洞,安全社区也发布了涉及多个 IoC 的其他公告,包括多个 IP 地址和一个域。如果系统向这些地址发出信标,则应视为已受攻击。

Dave's Crazy Donuts 是一家区域性早餐连锁店,拥有 200 多家门店,专营独特的甜甜圈和咖啡,其信息技术基础设施中运行着许多 IIS 系统。

  • Dave's Crazy Donuts 如何及时了解安全公告并识别可能影响其环境的公告?是否有专门负责监控安全公告的员工?关键公告是否有立即上报的流程?
  • 该组织将如何响应此类警报?响应速度有多快?
  • 该组织如何确定其系统是否有任何与 IoC 相关的活动?
  • 谁负责检查标记 IP 地址的网络流量?
  • 组织如何验证哪些系统(如果有)正在运行 IIS 版本 10 或更早版本?执行此任务需要多长时间?
注射 1

查看 Dave's Crazy Donuts 的网络日志表明,每天下午 12:22,都会通过 SSH(TCP/22)向 IP 地址 1.2.3.4 发送不规则流量此 IP 地址未包含在 Microsoft 的列表中,但该组织也不知道它。流量来自组织中的 46 个不同的工作站和服务器(代表八个餐厅位置以及公司总部),性质与可用威胁帖子中提到的流量相似。

  • 有哪些工具可用于调查观察到的 TCP/22 网络流量的内容?
  • 该公司如何确定不规则流量是源于微软报告的漏洞还是单独的问题?
  • 这种行为是否被视为网络安全事件?如果是,其严重程度如何?
  • 管理层或其他技术团队中是否有其他人需要被告知此问题的详细信息?
  • 如何调查目标 IP 地址?源系统又如何调查?
  • 收集哪些网络日志?这些日志会保留多长时间?是否有日志保留策略?
  • 是否会部署任何遏制措施?用户是否通常需要使用 SSH 来访问互联网上的主机,或者是否可以禁用此服务?企业是否需要通过 SSH 访问环境内的服务器和网络设备?
注射 2

该组织在调查该事件时发现了 18 个新系统,所有系统都包含相同的 3 个可疑文件,表现出类似的行为,但指向新的 IP 地址 1.2.3.9,同样位于端口 TCP/22 上。由于之前的地址已被阻止,原始系统也已开始向这个新 IP 地址发送数据。

  • 既然问题似乎正在迅速蔓延,我们可以(并且应该)采取什么行动来遏制事件?
  • 如果信息技术确定特定的遏制措施是适当的,那么关闭可能影响 Dave's Crazy Donuts 餐厅运营的某些系统是否有限制?在对这些系统采取行动之前,团队是否必须经过书面批准流程?
  • 事件是否应该升级,无论是内部还是外部?
  • 组织中的谁可以调查可疑文件?或者,是否应该让第三方来调查这些文件?如果咨询第三方,组织是否聘请了事件响应公司或知道该联系谁?
  • 组织是否可以咨询威胁情报来源以更好地了解正在使用的恶意文件或 IP 地址?
  • 是否可以识别SSH连接的内容?
注射 3

CISA 和微软发布了一份关于快速传播的恶意软件 ROBber 的联合公告。根据报告,该恶意软件会在系统上植入多个文件,包括远程访问木马和击键记录器。

文件的哈希值已包含在公告中。CISA 建议各组织阻止特定网络块的流量并禁用 IIS 的内部版本(最高版本 10)。系统只有在修补后才能恢复在线状态,或者如果受到感染,则需要完成特定的补救步骤。

该恶意软件还会在临时文件夹中创建收集的击键日志文件。

  • 组织如何确定公告中发布的恶意软件是否与影响其系统的恶意软件相同?
  • 组织能多快确定这些 IoC 是否存在于网络上?这个过程需要多长时间?
  • 鉴于这些文件是在分散于同一地理区域的八家不同餐厅发现的,该组织是否能够快速调查这些系统?
  • 技术团队如何理解禁用 IIS 服务对业务的影响?团队可以采取哪些替代方案来确保运营连续性?实施这些应急措施需要多长时间?
  • 法律部门已指示信息安全部门保留击键日志文件,以防敏感数据被捕获和泄露。这可能吗?如果可能,对响应工作有何影响?
  • 是否有网络日志可能记录了包含按键的文件的泄露?
注射 4

快速查看公告中的 IoC 可确认 Dave's Crazy Donuts 已遭 ROBber 入侵。当前的 Web 服务器(包括主要电子商务网站)运行的是 IIS 8.5,均受到该恶意软件的影响。其他系统也已受到感染。

  • 鉴于主要的电子商务网站运行着业务的许多方面,包括允许客户下订单并从当地商店提货,组织是否会暂时断开该网站与互联网的连接以控制事件?谁可以授权影响业务的行动,这种选择在技术上可行吗?
  • 如果授权决策者不想影响餐厅运营,那么该如何控制这一事件?
注射 5

疫情爆发已经 24 小时了,事件似乎已经得到控制。没有发生新的感染,对击键记录器的日志文件的审查表明,它没有捕获任何业务关键或敏感信息。首席执行官要求制定让所有餐厅恢复全面运营的时间表。

  • 谁能证明该事件已得到完全补救并可以开始恢复活动?
  • 公司将如何开始将系统恢复到已知的良好状态?按照什么顺序,由谁来做?
  • 该组织是否有其他资源(内部或外部)可以帮助恢复过程?
  • 恢复各 Dave's Crazy Donuts 门店的系统实际需要多长时间?系统是否定义了恢复时间目标?

可能的修改

为了适应这种情况,请考虑进行以下修改:

  • 初始访问媒介不是零日漏洞,而是网络钓鱼电子邮件、驱动下载、受感染的 USB 或其他东西。
  • 该恶意软件影响更多的系统或针对其他可能特别敏感的系统。
  • 注入的时间有所不同;例如,组织首先在例行基线检查期间发现异常流量。
  • 按键日志文件包含敏感信息或客户数据。
  • 互联网绑定的网络流量通过 TCP/80 或 TCP/443 发生。
  • 调查产生的 IoC 与 CISA 公告中的 IoC 不同,这引发了一个问题:该组织是否应该共享这些信息,如果是,如何共享。

供应链受损

与其他网络安全事件相比,2020 年 SolarWinds 入侵事件具有独特性。SolarWinds 负责分发全球组织正在使用的产品的软件更新,因此它与这些组织网络中的系统建立了信任关系。威胁行为者利用这种信任向毫无戒心的组织分发恶意代码,这种攻击被称为供应链攻击

SolarWinds 事件发生后,各组织开始评估是否以及如何验证第三方提供的软件的安全性。由于该漏洞影响到国家安全,因此也引起了各国政府的极大关注。一次精心策划的攻击影响了数千名 SolarWinds 客户,其中包括政府机构。

以下场景假设一家虚构的公司通过其端点检测和响应 (EDR) 提供商遭受供应链攻击。我们强烈建议修改此场景,以涉及您组织环境中当前正在使用的产品。与上一个场景一样,请考虑当前的威胁形势并相应地修改场景。

场景

端点保护公司 NoMoreBadStuff (NMBS) 为全球组织提供 EDR 解决方案。NMBS 使用其 NMBS EDR 端点监控财富 500 强公司中大约 10% 的工作站。国家支持的威胁组织 APT39 已获得 NMBS 网络访问权限并破坏了最新版本的 EDR 工具,该工具已推送给 NMBS 的大多数客户。

在演习的介绍中,NMBS 发布了一份通告,指出 APT39 已经破坏了其构建过程并插入了恶意代码。此次破坏仅限于 EDR 的 19.3 版本。NMBS 此后发布了 19.4 版本,删除了恶意代码,并且发布了紧急修补建议,指出应立即安装更新。

Superior Automotive Parts 是一家大型汽车零部件制造商和经销商,该公司在其所有 Windows 端点(包括服务器)上运行 NMBS 的 EDR 工具。该公司很快通过社交媒体意识到了这个问题。

  • Superior Automotive Parts 多久审查一次警告?根据此类通知采取行动需要多长时间?相关工作人员是否会收到此类警报的通知?
  • 响应团队如何才能更深入地了解 APT39 的策略、技术和程序?
  • 是否可以盘点 Superior Automotive Parts 中运行易受攻击版本的所有系统?这需要多长时间?
  • 是否应立即推出更新?组织如何确定新版本是否安全?
  • 在受影响的系统上线更新之前,是否应断开每个系统的网络?如果断开系统连接,是否会影响更新过程?
注射 1

NMBS 发布的附加信息表明,恶意版本在安全平台中创建了规则,以忽略 APT39 的工具集、启用其他潜在恶意活动并静音相关警报。在初始安装和 90 分钟的时间延迟之后,受感染的 EDR 软件立即在系统上安装 SEAWEED 后门并连接到 IP 地址 2.4.3.4,这表明 SEAWEED 已准备好接受威胁行为者的连接。

目前,Superior Automotive Parts 尚未发现其系统上存在任何恶意活动。

  • 该组织如何利用来自 NMBS 的这些新信息?
  • 谁来调查后门环境?回调到 2.4.3.4 怎么办?
  • 网络日志的保留期限是多久?是否有明确的日志保留政策?
  • 这些新信息是否会改变该组织的开展计划?
  • 根据组织的事件响应计划,这是否是网络安全事件?
  • 谁需要被通知?
注射 2

查看过去 30 天的网络日志显示,Superior Automotive Parts 的多个系统已连接到 IP 地址 2.4.3.4。在所有系统上安装版本 19.3(恶意版本)仅两天后,就出现了连接。此后,定期发生其他连接,最近一次是今天早上。

  • 这一新发现会改变事件的严重性吗?
  • 这些最新信息是否会改变场景介绍中商定的行动方针?
  • 该组织将如何遏制这一事件?
注射 3

进一步检查网络日志发现,大量数据通过 FTP 从内部 IP 192.168.4.5 泄露。此次泄露发生在三天前的凌晨5:24

  • 这个系统是什么?它上面驻留着什么数据?
  • 这个系统如何获取证据?
  • 该组织是否有资源从系统收集完整的磁盘映像和内存转储?
  • 该组织是否需要维护保管链?
  • 是否有可能确定哪些数据已被泄露?
  • FTP 之前是否被阻止出站?如果是,那么如何允许此流量?
注射 4

首席执行官要求“全体人员上岗”,迅速推出最新版本的 NMBS,重建系统,让组织恢复在线状态。他们要求对这项工作给出预计到达时间。总共有 43 个系统与 IP 地址 2.4.3.4 进行了通信:16 台服务器和 27 个端点。

  • 重建已知受感染主机的信任的协议是什么?系统是否会被清理或从受信任的来源恢复?
  • 根据情况,Superior Automotive Parts 有哪些人员可以支持修补系统、删除恶意软件和连接或重建系统?
  • 该组织是否有人员全天候支持补救工作?
  • Superior Automotive Parts 是否与可以紧急提供补充人员的供应商合作?
  • 根据受影响系统的数量,预计恢复时间是多少?系统如何划分优先级?
  • 是否应全局重置密码?这是否包括域管理员和服务帐户?
  • 是否曾经发生过或测试过全局密码重置?

可能的修改

为了适应这种情况,请考虑进行以下修改:

  • 威胁行为者是桌面演习时针对您的特定垂直行业或积极利用组织的真正对手。
  • 该组织确定没有发生数据泄露。
  • 该组织并未受到主动攻击,但确实安装了受感染的软件。
  • 此次供应链危机影响到了密切的业务伙伴,您可以让其参与桌面演习。
  • IP 地址、端口和服务特定于您组织的关键资产。
  • 该组织依赖关键供应商来支持补救工作,但供应商无法承诺恢复时间表。

原文始发于微信公众号(教父爱分享):国外经典红蓝攻防演练方案+网络安全意识培训思路(一)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月14日10:06:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   国外经典红蓝攻防演练方案+网络安全意识培训思路(一)https://cn-sec.com/archives/3738768.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息