HW 从来不是一项简单的任务，它是一个工程。记录、总结、提升、分享，与你共同成长。

一、背景

一）HW 是个啥？

国家角度看，HW 其实是祖国母亲为了防止自己家孩子（国内企业）被外人打或被外人利用，提前自己下手通过实战（HW）的方式，提高自己家孩子的能力。所以在护网过程中自家孩子（企业）真被打穿了，之前还会丢点小面子（排名），现在连面子都不会丢了（不公布排名），能力提升了防住了外部攻击才是真正的目的。如果这种情况下孩子还不重视参加提升，那就……。以后真被国外势力搞定了，那后果就是不是面子的问题了。哪个轻哪个重，非常容易掂量。

乙方企业看，HW 就是商机，就像高考前各种资料都写着押题一个道理。甚至有的人直接告诉你我上面有人哦，你懂的。针对 HW 行动，我们推出了 xx套餐，保证有效果。我们基于历年攻击经验，针对性的推出了模拟试卷。

圈里人角度看，我依然记得，从你口中说出再见……，去年HW 结束时的朋友圈，大家的心情真像是回家过年，有人欢喜有人愁，大家都在悄悄的讨论谁谁的xx怎么样啦。

二）一些消息

圈里听到的消息相对比较统一，有大佬还根据招聘信息分析佐证了时间，我还亲自去加了一个 招HW蓝队的群，人家回复说还没有接到攻击队的行动时间。网传的6月，范围有股份银行和关基，时间两周。不过应该能自主报名呢，群里在传某商集团发的参加护网的图呢。不过大家都在悄眯眯的联系着安全公司要资源呢。

二、思路

将工作简单划分为准备阶段、加固阶段、验证阶段、对抗阶段、总结复盘阶段。先聊第一部分准备阶段、加固阶段。

一）准备阶段

1、需求分析

每家情况不一样，每年定位、目标、投入、成绩也都有不同。需要参考往年的情况制定目标。只能进步，不能后退。就像去年考了80分，今年难道你想考75分吗？注意事项，与公司、部门、团队对好预期。要不然就可能后面很难交付。

2、往年红队利用的突破点

收集了一些资料，总结出如下攻击队常用，且非常有效的手段，按权重简单排了一下。

1. 0day，近年HW中已常态化。
2. 钓鱼邮件是非常有效的手段。
3. 弱口令和默认口令问题。
4. 老旧漏洞不修复。
5. 突破点，集权系统被突破。
6. 社会工程攻击手段成功率并不高。

确认集团、公司、部门、团队的预期，制定出具体的可实现的目标。比如基础保障目标，不被攻破。进阶目标，追求加500分以上。

二）事前加固

资源：人（组织）、财（预算）、物（系统、工具）。

1、制定加固任务列表

定制过程：1）收集上年准备过程中存在的问题，作为制定任务的参考资料。2）通过在线协作收集所有团队成员，认为需要做的加固任务。3）收集完成后，开会讨论形成初稿，与往年加固任务进行比对，查漏补缺。4）最终形成审核稿，交领导审核。5）使用任务管理系统，闭环管理所有任务，每个任务均明确负责人、协作人，经办人。6）每周二、五跟踪进度。

2、上年准备过程中存在的问题

1）准备的时间比较紧急，尽量提前锁定需要的资源。

2）HW情报的渠道，情报是胜负的关键，争取更多高质量渠道。

3）溯源能力和工具准备，这是加分的关键能力，人尽力由多方交叉提供，工4）具一定在护网前准备好，测试。

5）人的安全意识加固，提前进行各渠道宣传，统一意识和战线。

6）提前在护网前进行攻防对抗演练。

3、最定稿的加固项简化

因为详细的内容不方便公开，在此处仅公开标题。如有需要详细内容可以后台留言，不保证留言的同学一定能发送。

表头：加固任务，详细工作内容，加固目标，负责小组，配合人员，负责人，完成时间。加固任务简表如下。

• 互联网安全加固

• 数据泄漏整改

• HW情报获取

• 安全设备加固部署

• 执行红蓝对抗工作

• API风险梳理

• 公网边界

• 边界资产加固梳理

• 网络安全

• 网络隔离

• 网络访问控制策略梳理

• 疫情期间开放的ACL、VPN权限

• 办公、交易外联区出站访问

• 服务器（共性、基本要求）

• 资产归属信息补充

• 系统及服务排查、清理

• 安全基线排查

• 系统账号及权限排查、清理

• 应用系统权限

• http系统改造

• 系统弱口令排查、清理

• 漏洞扫描、补丁修复

• 安全客户端

• 办公网堡垒机

• 安全设备/防护系统

• 性能容量自查

• 补丁和规则更新

• 有效性验证

• 覆盖面梳理

• 可登录系统的设备IP范围限制

• 管理账户双因素认证

• 漏洞修复

• 重点系统是否使用同一密码

• 敏感系统信息

• jira和confluence敏感信息排查

• gitlab敏感信息排查

• 邮件系统敏感信息排查

• 浏览器/文档存储密码排查

• 终端安全加固

• 资产梳理

• 操作系统版本升级

• 安全基线排查

• 系统弱口令排查、清理

• 漏洞扫描、补丁修复

• 安全客户端

• 敏感用户上网行为管控

• 敏感信息排查、清理

• 钓鱼防护

• 安全意识培训

• 宣传和培训

• 钓鱼邮件测试

• 应急响应培训

• 值班人员技术培训

• 员工安全意识培训

• 宣传和培训

• 运维人员、客服、HR等

• 钓鱼邮件测试，分公司，分支，本部。

• 资源准备

• 工具准备

• 人员准备

• 场地准备

• 服装准备

• HW同行协调

三、下期

目前在推进加固工作，每周二、周五跟踪进度。欢迎加群交流。下期内容，讲加固后进行攻防验证的思路。关注公众号，下期内容不迷路。如果有帮助，点个在看。

# 往期文章

【极思】安全从业成长总结（2017-2019）

【极思】思考框架 4.0 万法归一

【极思】(ISC)2华南总结会-安全运营设计和实践PPT

【极思】SOAR 或 SIEM 谁才是未来

【安全】安全管理痛点解决实践

【极思】零信任之微隔离预研

【极思】容器(Docker)安全研究

【极思】WMIC 攻防研究

【安全】用户实体行为分析研究(UEBA )

【安全】PRE-ATT&CK：侦查阶段对抗设计和实践

原文始发于微信公众号（极思）：【极思】 HW思考和事前加固实践