“回顾逝去的2021年，在疫情的“救火期”后平静的那段时间，部门迎来了一些变动。人来人去，来来往往，好在下半年逐渐趋于稳定。变化是永恒不变的真理。

但也有不怎么变的工作职责，不管谁来，该做的事情还是得继续。为了闭环上半年发现的问题（集团红蓝演习中，暴露出单兵作战应急能力较弱），也为了让新人更快地融入部门，于是在下半年组织开展了“应急响应实战能力提升计划”专项课题，即：应急响应实战演习。”

01

—

专项概要

1.1 面临问题

随着内部安全建设愈加成熟，安全设备覆盖面、安全工具与安全平台功能愈加完善，安全工作分工也愈加细致。但同时导致在不借助平台能力的情况下，单兵动手能力变弱；遇到安全问题时，应急响应集中在几个人身上；…等一系列问题。比如：在红蓝演习中，攻击队通过外购系统的fastjson漏洞上传内存马，而没有被发现的事件就是最好证明。

• 应急响应阶段，上机取日志进行分析花费大量时间；

• 应急响应结果，最终也没有分析出攻击队从何而来。

  
  

事后复盘发现：团队成员过于依赖现有平台及工具，弱化了应急响应的基本功，严重影响面对真实攻击对抗时的动手能力。

1.2 寻找出路

遵从“实战是检验动手能力的主要标准之一“的原则，利用部门内部红蓝队资源组织应急响应演习。

与红蓝演习不同，攻击目标和环境由红队来负责，红队完成攻击之后将环境发给蓝队，蓝队登录服务器进行分析并输出应急响应报告。红蓝双方最终进行交流，考察蓝队动手分析和攻击路径还原等基础应急响应能力。

1.3 专项目的

提升攻击与应急实战动手能力，让新人更快上手工作，并融入团队：

• 红队设计攻击场景并模拟，锻炼动手能力，包括：基础环境搭建、漏洞利用、攻击思路等；

• 蓝队通过实战应急的方式，巩固基础知识，包括：操作系统命令、手工日志分析、应急思路与技巧等；

• 通过模拟实战攻击与应急，让新人快速融入到整个部门中，打破“部门墙”，锤炼应对实战型的安全队伍。

02

—

整体计划

专项主要分为筹备阶段和实施阶段，实施阶段包括专项一期和专项二期，分别为不同的攻击场景应急响应，并在每次模拟结束后组织总结。从2021Q3到2021年末，时间跨度较大，历时约三个半月（2021-07-26 ~ 2021-11-15）。

2.1 组织分工

此次专项参与的人员较多，按照分工主要有三个虚拟角色：组织方、攻击模拟人员、应急响应人员。

• 组织方人员：负责整个方案的发起、设计、组织、总结等工作，并兼应急响应报告评委，由红队组长、防护组长、运营组长、aerfa（总负责）组成；

• 攻击模拟人员：负责设计攻击路径、实施攻击，由红队组长带队；

• 应急响应人员：负责对被攻击环境开展应急响应，并输出应急响应报告，人员由防护组长、运营组长确定本组人员（原则上全部都要参加），部门内部其他人员自行报名参与。

2.2 人员考核

采取筹备组评委对应急响应报告阅卷的形式，对每个应急响应报告进行打分和点评。须包括但不仅限于：攻击路径复原（核心）、攻击点与证据收集、应急响应步骤与截图正确性、处置方案与建议、汇报演讲表现等。

2.3 奖励方式

第一期作为试点，仅针对提交的报告进行优缺点进行点评，未公布成绩，暂不设置奖项。第二期延续第一期，评选了最佳应急响应小组，但由于预算问题，最终没能做实质性奖励。（最开始考虑提升技能，未考虑奖励机制。通过总结发现，在现有资源的情况下应尽可能安排奖品，可以调动积极性）

2.4 时间线回顾

本部分采用事后叙述的方式，未完全按照最初的计划行文。不过保证了主要目标与计划大体保持一致，里程碑事件如下：

筹备阶段：

• 07-26，创建【筹备组】应急响应实战能力提升计划群，确定筹备人员；

• 07-27，召开筹备组会议，确定专项原则、分工、考察知识点、可能存在的不足点、注意事项；

• 08-06，完成整体方案的制定，并在筹备组内发起评审；

• 08-11，输出应急响应报告模板，并在筹备组内发起评审。

专项一期：

• 07-28，红队输出一期攻击链图谱，并在筹备组内发起讨论；

• 07-30，红队制定好攻击方案及资源需求；

• 08-02，按照红队提出的资源需求完成部署；

• 08-03，红队完成攻击模拟，并制作虚机镜像；

• 08-10，通知防护组和运营组，提供应急响应专项人员；

• 08-11，创建【应急组】应急响应实战能力提升计划群，确定应急团队；

• 08-12，召开应急人员启动会，主要内容为：

1、背景与整体计划； 2、被攻击后的现象（系统卡慢，CPU利用率飙升）； 3、靶场环境的使用（一期模拟靶场下载与使用）； 4、如何写应急报告（突出攻击链还原和支撑的证据截图）。

• 08-23，应急响应报告收集完成（5份），通知评委开始阅卷点评，各应急小组确定发言人及准备发言材料；

• 08-12，一期镜像提供下载；

• 08-30，召开一期总结会。

专项二期：

• 09-29，红队输出二期攻击链图谱，并在筹备组内发起讨论；

1、引入供应链攻击，思路很赞。linux-->windows这部分入口是否可以利用系统漏洞，就别搞web漏洞了，比如ssh弱口令爆破，在一些细节或关键路径上挖一些坑： ①webshell搞点D盾查杀不出来的，文件名字、上传后的日期都修改 一下； ②ssh弱口令，修改默认的ssh端口，并在防火墙上设置acl，仅开放常见服务和22、真正的ssh端口。 2、故意留下点痕迹，比如破解shadow，需要给大家一些思路； 3、攻击的时候，分别记录下攻击步骤，在总结的时候输出攻击报告给参赛者学习； 4、内容挺多的，可以增加些排查难度，比如进程隐藏进程注入，实际在上线cs时做了进程隐藏，但没有做防御绕过，使用beaconeye还是能检测到； 5、设个评判标准，比如排查到哪些攻击手段，清除项是合格，哪些是优秀，额外的再加分。

• 10-03，红队制定好攻击方案及资源需求；

• 10-13，红队完成攻击模拟，并开始制作虚机镜像；

• 10-26，应急人员分组进行调整，由一期的5个小组增加至7个小组；

• 11-01，二期镜像提供下载，通知应急小组开始获取环境并分析；

• 11-08，应急响应报告收集完成（7份），通知评委开始阅卷点评，各应急小组确定发言人及准备发言材料；

• 11-15，召开二期总结会。

03

—

注意事项

3.1 保密原则

参与专项组织的人员，需要对攻击方案保密。

严禁将攻击手法、路径泄露给应急响应人员。

3.2 工具选型

不得使用公司内部的基础安全检测环境，包括但不仅限于天眼、椒图、天擎等安全产品自带的分析平台、安全事件运营平台等处置告警和事件。

可以使用公开的小工具或进行原创。

3.3 总结要求

每个参与应急响应人员须按照应急响应报告模板，输出应急响应报告。

攻击模拟人员，输出攻击手法与路径报告，应记录各个关键攻击动作的时间点。

---

长按识别二维码，和我交流

More...

技术原理浅析

• Nmap操作系统探测技术浅析

• 浅谈安全产品的hvv安全之道

• 浅谈企业级供应链投毒应急安全能力建设

安全漏洞治理

• 漏洞情报调研

• 漏洞调研报告（非完整版）

• 从漏洞视角看敏捷安全

SDL最初实践

• 开篇

• 安全培训

• 安全需求

• 安全设计

• 安全开发

• 安全测试

• 安全审核

• 安全响应

• 完结篇（全系列paper下载）

基础安全建设

• 基于堡垒机的自动化功能实践1

• 基于堡垒机的自动化功能实践2

• 基于堡垒机的自动化功能实践3

• 基于堡垒机的自动化功能实践4

企业安全建设

• 企业安全建设需求
  

• 企业安全威胁简述

• 企业安全架构建设

• 企业安全项目-测试环境内网化

• 企业安全项目-Github信息泄露

• 企业安全项目-短信验证码安全

• 企业安全项目-前端绕过专项整改

• 业务安全之另类隐患

• 应用发布之安全隐患

• 甲方眼里的安全测试
  

---

安全漏洞赏析

• 安全运维那些洞

• 安全业务那些洞

• 应急响应：redis挖矿（防御篇）

• 应急响应：redis挖矿（攻击篇）

• 应急响应：redis挖矿（完结篇）

---

渗透测试技巧

• 那个简单的威胁情报

• Android APP数据存储安全

• 搜集SRC信息中的“技术活儿”

• 常规渗透瓶颈，发散思维突破 

---

一起玩蛇系列

• python武器库

• 漏洞扫描器资产处理

• python代码审计武器I

• python代码审计武器II

• Nodejs代码审计武器

• fortify漏洞的学习途径

---

个人成长体会

• C3安全峰会参后感

• 提高认知效率秘籍

• 如何学习这么多的安全文章（理论篇）

• 如何学习这么多的安全文章（实践篇）

原文始发于微信公众号（我的安全视界观）：【应急能力提升1】实战应急困境与突破