“回顾逝去的2021年,在疫情的“救火期”后平静的那段时间,部门迎来了一些变动。人来人去,来来往往,好在下半年逐渐趋于稳定。变化是永恒不变的真理。
但也有不怎么变的工作职责,不管谁来,该做的事情还是得继续。为了闭环上半年发现的问题(集团红蓝演习中,暴露出单兵作战应急能力较弱),也为了让新人更快地融入部门,于是在下半年组织开展了“应急响应实战能力提升计划”专项课题,即:应急响应实战演习。”
01
—
专项概要
1.1 面临问题
-
应急响应阶段,上机取日志进行分析花费大量时间;
-
应急响应结果,最终也没有分析出攻击队从何而来。
1.2 寻找出路
1.3 专项目的
-
红队设计攻击场景并模拟,锻炼动手能力,包括:基础环境搭建、漏洞利用、攻击思路等;
-
蓝队通过实战应急的方式,巩固基础知识,包括:操作系统命令、手工日志分析、应急思路与技巧等;
-
通过模拟实战攻击与应急,让新人快速融入到整个部门中,打破“部门墙”,锤炼应对实战型的安全队伍。
02
—
整体计划
2.1 组织分工
-
组织方人员:负责整个方案的发起、设计、组织、总结等工作,并兼应急响应报告评委,由红队组长、防护组长、运营组长、aerfa(总负责)组成;
-
攻击模拟人员:负责设计攻击路径、实施攻击,由红队组长带队;
-
应急响应人员:负责对被攻击环境开展应急响应,并输出应急响应报告,人员由防护组长、运营组长确定本组人员(原则上全部都要参加),部门内部其他人员自行报名参与。
2.2 人员考核
2.3 奖励方式
2.4 时间线回顾
-
07-26,创建【筹备组】应急响应实战能力提升计划群,确定筹备人员;
-
07-27,召开筹备组会议,确定专项原则、分工、考察知识点、可能存在的不足点、注意事项;
-
08-06,完成整体方案的制定,并在筹备组内发起评审;
-
08-11,输出应急响应报告模板,并在筹备组内发起评审。
-
07-28,红队输出一期攻击链图谱,并在筹备组内发起讨论;
-
07-30,红队制定好攻击方案及资源需求;
-
08-02,按照红队提出的资源需求完成部署;
-
08-03,红队完成攻击模拟,并制作虚机镜像;
-
08-10,通知防护组和运营组,提供应急响应专项人员;
-
08-11,创建【应急组】应急响应实战能力提升计划群,确定应急团队;
-
08-12,召开应急人员启动会,主要内容为:
1、背景与整体计划; |
-
08-23,应急响应报告收集完成(5份),通知评委开始阅卷点评,各应急小组确定发言人及准备发言材料;
-
08-12,一期镜像提供下载;
-
08-30,召开一期总结会。
-
09-29,红队输出二期攻击链图谱,并在筹备组内发起讨论;
1、引入供应链攻击,思路很赞。linux-->windows这部分入口是否可以利用系统漏洞,就别搞web漏洞了,比如ssh弱口令爆破,在一些细节或关键路径上挖一些坑: ①webshell搞点D盾查杀不出来的,文件名字、上传后的日期都修改 一下; ②ssh弱口令,修改默认的ssh端口,并在防火墙上设置acl,仅开放常见服务和22、真正的ssh端口。 |
-
10-03,红队制定好攻击方案及资源需求;
-
10-13,红队完成攻击模拟,并开始制作虚机镜像;
-
10-26,应急人员分组进行调整,由一期的5个小组增加至7个小组;
-
11-01,二期镜像提供下载,通知应急小组开始获取环境并分析;
-
11-08,应急响应报告收集完成(7份),通知评委开始阅卷点评,各应急小组确定发言人及准备发言材料;
-
11-15,召开二期总结会。
03
—
注意事项
3.1 保密原则
3.2 工具选型
3.3 总结要求
长按识别二维码,和我交流
More...
技术原理浅析
安全漏洞治理
SDL最初实践
基础安全建设
企业安全建设
安全漏洞赏析
渗透测试技巧
一起玩蛇系列
个人成长体会
原文始发于微信公众号(我的安全视界观):【应急能力提升1】实战应急困境与突破
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论