一、什么是護網(wǎng)行動？

護網(wǎng)行動是以公安部牽頭的，用以評估企事業(yè)單位的網(wǎng)絡(luò)安全的活動。

具體實踐中。公安部會組織攻防兩方，進攻方會在一個月內(nèi)對防守方發(fā)動網(wǎng)絡(luò)攻擊，檢測出防守方（企事業(yè)單位）存在的安全漏洞。

通過與進攻方的對抗，企事業(yè)單位網(wǎng)絡(luò)、系統(tǒng)以及設(shè)備等的安全能力會大大提高。

“護網(wǎng)行動”是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一?！白o網(wǎng)行動”從2016年開始，隨著我國對網(wǎng)絡(luò)安全的重視，涉及單位不斷擴大，越來越多的單位都加入到護網(wǎng)行動中，網(wǎng)絡(luò)安全對抗演練越來越貼近實際情況，各機構(gòu)對待網(wǎng)絡(luò)安全需求也從被動構(gòu)建，升級為業(yè)務(wù)保障剛需。

二、護網(wǎng)分類

護網(wǎng)一般按照行政級別分為國家級護網(wǎng)、省級護網(wǎng)、市級護網(wǎng)；除此之外，還有一些行業(yè)對于網(wǎng)絡(luò)安全的要求比較高，因此也會在行業(yè)內(nèi)部展開護網(wǎng)行動，比如金融行業(yè)。

三、護網(wǎng)的時間

不同級別的護網(wǎng)開始時間和持續(xù)時間都不一樣。以國家級護網(wǎng)為例，一般來說護網(wǎng)都是每年的7、8月左右開始，一般持續(xù)時間是2~3周。省級大概在2周左右，再低級的就是一周左右。2021年比較特殊，由于是建黨100周年，所有的安全工作都要在7月之前完成，所有21年的護網(wǎng)在4月左右就完成了。

四、護網(wǎng)的影響

護網(wǎng)是政府組織的，會對所參與的單位進行排名，在護網(wǎng)中表現(xiàn)不佳的單位，未來評優(yōu)評先等等工作都會受到影響。并且護網(wǎng)是和政治掛鉤的，一旦參與護網(wǎng)的企業(yè)、單位的網(wǎng)絡(luò)被攻擊者打穿，領(lǐng)導(dǎo)都有可能被撤掉。比如去年的一個金融證券單位，網(wǎng)絡(luò)被打穿了，該單位的二把手直接被撤職。整體付出的代價還是非常嚴重的。

五、護網(wǎng)的規(guī)則

1、紅藍對抗

護網(wǎng)一般分為紅藍兩隊，做紅藍對抗（網(wǎng)上關(guān)于紅藍攻防說法不一，這里以國內(nèi)紅攻藍防為藍本）。

紅隊為攻擊隊，紅隊的構(gòu)成主要有“國家隊”（國家的網(wǎng)安等專門從事網(wǎng)絡(luò)安全的技術(shù)人員）、廠商的滲透技術(shù)人員。其中“國家隊”的占比大概是60%左右，廠商的技術(shù)人員組成的攻擊小隊占比在40%左右。一般來說一個小隊大概是3個人，分別負責信息收集、滲透、打掃戰(zhàn)場的工作。

藍隊為防守隊，一般是隨機抽取一些單位參與。

2、藍隊分數(shù)

藍隊初始積分為10000分，一旦被攻擊成功就會扣相應(yīng)的分。每年對于藍隊的要求都更加嚴格。2020年以前藍隊只要能發(fā)現(xiàn)攻擊就能加分，或者把扣掉的分補回來；但是到了2021年，藍隊必須滿足及時發(fā)現(xiàn)、及時處置以及還原攻擊鏈才能少扣一點分，不能再通過這個加分了。唯一的加分方式就是在護網(wǎng)期間發(fā)現(xiàn)真實的黑客攻擊。

3、紅隊分數(shù)

每只攻擊隊會有一些分配好的固定的目標。除此之外，還會選取一些目標放在目標池中作為公共目標。一般來說紅隊都會優(yōu)先攻擊這些公共目標，一旦攻擊成功，拿到證據(jù)后，就會在一個國家提供的平臺上進行提交，認證成功即可得分。一般來說，提交平臺的提交時間是9：00——21：00，但是這并不意味著過了這段時間就沒人攻擊了。實際上紅隊依然會利用21:00——9:00這段時間進行攻擊，然后將攻擊成果放在白天提交。所以藍隊這邊需要24小時進行監(jiān)守防護。

六、什么是紅隊？

紅隊是一種全范圍的多層攻擊模擬，旨在衡量公司的人員和網(wǎng)絡(luò)、應(yīng)用程序和物理安全控制，用以抵御現(xiàn)實對手的攻擊。

在紅隊交戰(zhàn)期間，訓(xùn)練有素的安全顧問會制定攻擊方案，以揭示潛在的物理、硬件、軟件和人為漏洞。紅隊的參與也為壞的行為者和惡意內(nèi)部人員提供了機會來破壞公司的系統(tǒng)和網(wǎng)絡(luò)，或者損壞其數(shù)據(jù)。

6.1、紅隊測試的意義

1. 評估客戶對威脅行為的反應(yīng)能力。

2. 通過實現(xiàn)預(yù)演（訪問CEO電子郵件、訪問客戶數(shù)據(jù)等）來評估客戶網(wǎng)絡(luò)的安全態(tài)勢。

3. 演示攻擊者訪問客戶端資產(chǎn)的潛在路徑。

我們認為站在紅隊的角度來說，任何網(wǎng)絡(luò)安全保障任務(wù)都會通過安全檢測的技術(shù)手段從尋找問題的角度出發(fā)，發(fā)現(xiàn)系統(tǒng)安全漏洞，尋找系統(tǒng)、網(wǎng)絡(luò)存在的短板缺陷。紅隊安全檢測方會通過使用多種檢測與掃描工具，對藍方目標網(wǎng)絡(luò)展開信息收集、漏洞測試、漏洞驗證。尤其是在面向規(guī)模型企業(yè)時，更會通過大規(guī)模目標偵查

等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問題，其主要流程如下：

1、大規(guī)模目標偵查

紅方為了快速了解藍方用戶系統(tǒng)的類型、設(shè)備類型、版本、開放服務(wù)

類型、端口信息，確定系統(tǒng)和網(wǎng)絡(luò)邊界范圍，將會通過Nmap、端口掃描與服務(wù)識別工具，甚至是使用ZMap、MASScan等大規(guī)?？焖賯刹楣ぞ吡私庥脩艟W(wǎng)絡(luò)規(guī)模、整體服務(wù)開放情況等基礎(chǔ)信息，以便展開更有針對性的測試。

2、口令與常用漏洞測試

紅方掌握藍方用戶網(wǎng)絡(luò)規(guī)模、主機系統(tǒng)類型、服務(wù)開放情況后，將會使用Metasploit或手工等方式展開針對性的攻擊與漏洞測試，其中包含：各種Web應(yīng)用系統(tǒng)漏洞，中間件漏洞，系統(tǒng)、應(yīng)用、組件遠程代碼執(zhí)行漏等，同時也會使用Hydra等工具對各種服務(wù)、中間件、系統(tǒng)的口令進行常用弱口令測試，最終通過技術(shù)手段獲得主機系統(tǒng)或組件權(quán)限。

3、權(quán)限獲取與橫向移動

紅方通過系統(tǒng)漏洞或弱口令等方式獲取到特定目標權(quán)限后，利用該主機系統(tǒng)權(quán)限、網(wǎng)絡(luò)可達條件進行橫向移動，擴大戰(zhàn)果控制關(guān)鍵數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備，利用收集到的足夠信息，最終控制核心系統(tǒng)、獲取核心數(shù)據(jù)等，以證明目前系統(tǒng)安全保障的缺失。

紅隊充當真實且有動力的攻擊者。大多數(shù)時候，紅隊攻擊范圍很大，整個環(huán)境都在范圍內(nèi)，他們的目標是滲透，維持持久性、中心性、可撤退性，以確認一個頑固的敵人能做什么。所有策略都可用，包括社會工程。最終紅隊會到達他們擁有整個網(wǎng)絡(luò)的目的，否則他們的行動將被捕獲，他們將被所攻擊網(wǎng)絡(luò)的安全管理員阻止，屆時，他們將向管理層報告他們的調(diào)查結(jié)果，以協(xié)助提高網(wǎng)絡(luò)的安全性。

紅隊的主要目標之一是即使他們進入組織內(nèi)部也要保持隱身。滲透測試人員在網(wǎng)絡(luò)上表現(xiàn)不好，并且可以很容易的被檢測到，因為他們采用傳統(tǒng)的方式進入組織，而紅隊隊員是隱秘的、快速的，并且在技術(shù)上具備了規(guī)避AV、端點保護解決方案

4、防火墻和組織已實施的其他安全措施的知識。

七、什么是藍隊

藍隊面臨的更大挑戰(zhàn)，是在不對用戶造成太多限制的情況下，發(fā)現(xiàn)可被利用的漏洞，保護自己的領(lǐng)域。

1. 弄清控制措施

對藍隊而言最重要的，是了解自身環(huán)境中現(xiàn)有控制措施的能力，尤其是在網(wǎng)絡(luò)釣魚和電話釣魚方面。有些公司還真就直到正式對抗了才開始找自家網(wǎng)絡(luò)中的防護措施。

2. 確保能收集并分析數(shù)據(jù)

因為藍隊的功效基于收集和利用數(shù)據(jù)的能力，日志管理工具，比如Splunk，就特別重要了。另一塊能力則是知道如何收集團隊動作的所有數(shù)據(jù)，并高保真地記錄下來，以便在復(fù)盤時確定哪些做對了，哪些做錯了，以及如何改進。

3. 使用適合于環(huán)境的工具

藍隊所用工具取決于自身環(huán)境所需。他們得弄清“這個程序在干什么？為什么它會試圖格式化硬盤？”，然后加上封鎖非預(yù)期動作的技術(shù)。測試該技術(shù)是否成功的工具，則來自紅隊。

4. 挑有經(jīng)驗的人加入團隊

除了工具，藍隊最有價值的東西，是隊員的知識。隨著經(jīng)驗的增長，你會開始想“我見過這個，那個也見過，他們做了這個，還做了那個，但我想知道這里是否有個漏洞?！比绻阒会槍σ阎臇|西做準備，那你對未知就毫無準備。

5. 假定會有失敗

提問，是通往探索未知的寶貴工具。別止步于為今天已存在的東西做準備，要假定自己的基礎(chǔ)設(shè)施中將會有失敗。

最好的思路，就是假設(shè)終將會有漏洞，沒什么東西是100%安全的。