【应急能力提升1】实战应急困境与突破

“回顾逝去的2021年,在疫情的“救火期”后平静的那段时间,部门迎来了一些变动。人来人去,来来往往,好在下半年逐渐趋于稳定。变化是永恒不变的真理。

 

但也有不怎么变的工作职责,不管谁来,该做的事情还是得继续。为了闭环上半年发现的问题(集团红蓝演习中,暴露出单兵作战应急能力较弱),也为了让新人更快地融入部门,于是在下半年组织开展了“应急响应实战能力提升计划”专项课题,即:应急响应实战演习。”

 

图片

 

 

01

 

 

专项概要

 

1.1 面临问题

随着内部安全建设愈加成熟,安全设备覆盖面、安全工具与安全平台功能愈加完善,安全工作分工也愈加细致。但同时导致在不借助平台能力的情况下,单兵动手能力变弱;遇到安全问题时,应急响应集中在几个人身上;…等一系列问题。比如:在红蓝演习中,攻击队通过外购系统的fastjson漏洞上传内存马,而没有被发现的事件就是最好证明。

应急响应阶段,上机取日志进行分析花费大量时间;

 

应急响应结果,最终也没有分析出攻击队从何而来。

 

 

 

事后复盘发现:团队成员过于依赖现有平台及工具,弱化了应急响应的基本功,严重影响面对真实攻击对抗时的动手能力。

 

1.2 寻找出路

遵从“实战是检验动手能力的主要标准之一“的原则,利用部门内部红蓝队资源组织应急响应演习。

与红蓝演习不同,攻击目标和环境由红队来负责,红队完成攻击之后将环境发给蓝队,蓝队登录服务器进行分析并输出应急响应报告。红蓝双方最终进行交流,考察蓝队动手分析和攻击路径还原等基础应急响应能力。

 

1.3 专项目的

提升攻击与应急实战动手能力,让新人更快上手工作,并融入团队:

红队设计攻击场景并模拟,锻炼动手能力,包括:基础环境搭建、漏洞利用、攻击思路等;

 

 

蓝队通过实战应急的方式,巩固基础知识,包括:操作系统命令、手工日志分析、应急思路与技巧等;

 

 

通过模拟实战攻击与应急,让新人快速融入到整个部门中,打破“部门墙”,锤炼应对实战型的安全队伍。

 

 

 

 

02

 

 

整体计划

 

专项主要分为筹备阶段和实施阶段,实施阶段包括专项一期和专项二期,分别为不同的攻击场景应急响应,并在每次模拟结束后组织总结。从2021Q3到2021年末,时间跨度较大,历时约三个半月(2021-07-26 ~ 2021-11-15)。

图片

 

 

2.1 组织分工

此次专项参与的人员较多,按照分工主要有三个虚拟角色:组织方、攻击模拟人员、应急响应人员。

组织方人员:负责整个方案的发起、设计、组织、总结等工作,并兼应急响应报告评委,由红队组长、防护组长、运营组长、aerfa(总负责)组成;

 

 

攻击模拟人员:负责设计攻击路径、实施攻击,由红队组长带队;

 

 

应急响应人员:负责对被攻击环境开展应急响应,并输出应急响应报告,人员由防护组长、运营组长确定本组人员(原则上全部都要参加),部门内部其他人员自行报名参与。

 

 

2.2 人员考核

采取筹备组评委对应急响应报告阅卷的形式,对每个应急响应报告进行打分和点评。须包括但不仅限于:攻击路径复原(核心)、攻击点与证据收集、应急响应步骤与截图正确性、处置方案与建议、汇报演讲表现等。

 

2.3 奖励方式

第一期作为试点,仅针对提交的报告进行优缺点进行点评,未公布成绩,暂不设置奖项。第二期延续第一期,评选了最佳应急响应小组,但由于预算问题,最终没能做实质性奖励。(最开始考虑提升技能,未考虑奖励机制。通过总结发现,在现有资源的情况下应尽可能安排奖品,可以调动积极性)

 

2.4 时间线回顾

本部分采用事后叙述的方式,未完全按照最初的计划行文。不过保证了主要目标与计划大体保持一致,里程碑事件如下:

 

筹备阶段:

07-26,创建【筹备组】应急响应实战能力提升计划群,确定筹备人员;

 

07-27,召开筹备组会议,确定专项原则、分工、考察知识点、可能存在的不足点、注意事项;

 

08-06,完成整体方案的制定,并在筹备组内发起评审;

 

08-11,输出应急响应报告模板,并在筹备组内发起评审。

 

 

专项一期:

07-28,红队输出一期攻击链图谱,并在筹备组内发起讨论;

 

07-30,红队制定好攻击方案及资源需求;

 

08-02,按照红队提出的资源需求完成部署;

 

08-03,红队完成攻击模拟,并制作虚机镜像;

 

08-10,通知防护组和运营组,提供应急响应专项人员;

 

08-11,创建【应急组】应急响应实战能力提升计划群,确定应急团队;

 

08-12,召开应急人员启动会,主要内容为:

 

1、背景与整体计划;

 

2、被攻击后的现象(系统卡慢,CPU利用率飙升);

3、靶场环境的使用(一期模拟靶场下载与使用);

4、如何写应急报告(突出攻击链还原和支撑的证据截图)。

 

08-23,应急响应报告收集完成(5份),通知评委开始阅卷点评,各应急小组确定发言人及准备发言材料;

 

08-12,一期镜像提供下载;

 

08-30,召开一期总结会。

 

 

 

专项二期:

09-29,红队输出二期攻击链图谱,并在筹备组内发起讨论;

 

1、引入供应链攻击,思路很赞。linux–>windows这部分入口是否可以利用系统漏洞,就别搞web漏洞了,比如ssh弱口令爆破,在一些细节或关键路径上挖一些坑:

 

①webshell搞点D盾查杀不出来的,文件名字、上传后的日期都修改 一下;

 

②ssh弱口令,修改默认的ssh端口,并在防火墙上设置acl,仅开放常见服务和22、真正的ssh端口。

 

2、故意留下点痕迹,比如破解shadow,需要给大家一些思路;

3、攻击的时候,分别记录下攻击步骤,在总结的时候输出攻击报告给参赛者学习;

4、内容挺多的,可以增加些排查难度,比如进程隐藏进程注入,实际在上线cs时做了进程隐藏,但没有做防御绕过,使用beaconeye还是能检测到;

5、设个评判标准,比如排查到哪些攻击手段,清除项是合格,哪些是优秀,额外的再加分。

 

10-03,红队制定好攻击方案及资源需求;

 

10-13,红队完成攻击模拟,并开始制作虚机镜像;

 

10-26,应急人员分组进行调整,由一期的5个小组增加至7个小组;

 

11-01,二期镜像提供下载,通知应急小组开始获取环境并分析;

 

11-08,应急响应报告收集完成(7份),通知评委开始阅卷点评,各应急小组确定发言人及准备发言材料;

 

11-15,召开二期总结会。

 

 

 

03

 

 

注意事项

 

3.1 保密原则

参与专项组织的人员,需要对攻击方案保密。

严禁将攻击手法、路径泄露给应急响应人员。

 

3.2 工具选型

不得使用公司内部的基础安全检测环境,包括但不仅限于天眼、椒图、天擎等安全产品自带的分析平台、安全事件运营平台等处置告警和事件。

可以使用公开的小工具或进行原创。

 

3.3 总结要求

每个参与应急响应人员须按照应急响应报告模板,输出应急响应报告。

攻击模拟人员,输出攻击手法与路径报告,应记录各个关键攻击动作的时间点。

 

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/16442

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年5月26日 上午7:10
下一篇 2022年5月26日 下午9:51

相关推荐