1. ¿Cuál es la operación de protección de la red?
La operación de protección de la red está dirigida por el Ministerio de Seguridad Pública para evaluar la seguridad de la red de empresas e instituciones.
En la práctica específica. El Ministerio de Seguridad Pública organizará partes tanto ofensivas como defensivas. La parte ofensiva lanzará un ataque cibernético a la parte defensiva dentro de un mes para detectar lagunas de seguridad en la parte defensiva (empresas e instituciones).
A través de la confrontación con el atacante, las capacidades de seguridad de la red, el sistema y el equipo de empresas e instituciones mejorarán en gran medida.
La "operación de protección de la red" es uno de los arreglos importantes realizados por el país para hacer frente a los problemas de seguridad de la red. El "operativo de protección de redes" comenzó en 2016. Con el énfasis en la seguridad de redes en nuestro país, las unidades involucradas han seguido ampliándose, y cada vez más unidades se han sumado al operativo de protección de redes. El simulacro de confrontación de seguridad de redes está cada vez más cerca situación real Las instituciones también han mejorado sus necesidades de seguridad de red de construcción pasiva a necesidades rígidas para la protección empresarial.
2. Clasificación de la red protectora
La protección de la red generalmente se divide en red de protección a nivel nacional, red de protección a nivel provincial y red de protección a nivel municipal según los niveles administrativos; además, algunas industrias tienen requisitos relativamente altos para la seguridad de la red, por lo que también se llevarán a cabo operaciones de protección de la red. dentro de la industria, como la industria financiera.
3. Hora de proteger la red
La hora de inicio y la duración de los diferentes niveles de protección de la red son diferentes. Tomando como ejemplo la red de protección nacional, en términos generales, la red de protección comienza alrededor de julio y agosto de cada año, y generalmente tiene una duración de 2 a 3 semanas. El nivel provincial es de aproximadamente 2 semanas y el nivel inferior es de aproximadamente una semana. 2021 es bastante especial. Dado que es el centenario de la fundación del Partido Comunista de China, todo el trabajo de seguridad debe completarse antes de julio, y toda la protección de red de 21 años se completará alrededor de abril.
4. El impacto de la red de protección
La protección de la red está organizada por el gobierno, y las unidades participantes serán clasificadas. Las unidades que se desempeñen mal en la protección de la red se verán afectadas en la evaluación futura y otros trabajos. Además, la protección de la red está vinculada a la política. Una vez que los atacantes penetran en la red de empresas y unidades que participan en la protección de la red, los líderes pueden ser eliminados. Por ejemplo, en una unidad de valores financieros el año pasado, la red fue penetrada y el segundo al mando de la unidad fue directamente destituido. El precio global pagado sigue siendo muy grave.
Cinco, las reglas de la red
1. Enfrentamiento entre rojo y azul
La protección de la red generalmente se divide en dos equipos, rojo y azul, para la confrontación roja y azul (hay diferentes opiniones sobre la ofensiva y la defensa roja y azul en Internet, aquí se basa en la ofensiva roja nacional y la defensa azul).
El equipo rojo es el equipo de ataque, y el equipo rojo está formado principalmente por el "equipo nacional" (la seguridad de la red del país y otro personal técnico especializado en seguridad de la red) y los técnicos de penetración del fabricante. Entre ellos, el "equipo nacional" representó alrededor del 60%, y el equipo de ataque compuesto por personal técnico del fabricante representó alrededor del 40%. En términos generales, hay alrededor de 3 personas en un equipo, que son responsables de la recopilación de información, la infiltración y la limpieza del campo de batalla.
El equipo azul es el equipo defensivo, que suele seleccionar al azar algunas unidades para participar.
2. Puntuación del equipo azul
La puntuación inicial del equipo azul es de 10.000 puntos, una vez que el ataque sea exitoso, se descontarán los puntos correspondientes. Cada año, los requisitos para el equipo azul son más estrictos. Antes de 2020, siempre que el equipo azul pueda descubrir el ataque, puede sumar puntos o compensar los puntos deducidos; pero en 2021, el equipo azul debe cumplir con los requisitos de descubrimiento oportuno, eliminación oportuna y recuperación de la cadena de ataque en para reducir la deducción de un poco de puntos, y ya no puede pasar.Esto es una ventaja. La única forma de ganar puntos es detectar ataques de piratería reales durante la protección de la red.
3. Puntuación del equipo rojo
Cada equipo atacante tendrá algunos objetivos fijos asignados. Además, algunos objetivos se seleccionarán y colocarán en el grupo de objetivos como objetivos públicos. En términos generales, el equipo rojo dará prioridad a atacar estos objetivos públicos, una vez que el ataque sea exitoso y se obtenga la evidencia, se presentará en una plataforma proporcionada por un país y la certificación será exitosa. En términos generales, el horario de envío de la plataforma de envío es de 9:00 a 21:00, pero esto no significa que nadie atacará después de este horario. De hecho, el equipo rojo todavía usará el período de 21:00 a 9:00 para atacar y luego presentará los resultados del ataque durante el día. Por lo tanto, el equipo azul necesita 24 horas de vigilancia y protección.
6. ¿Qué es un equipo rojo?
Red teaming es una simulación de ataque de varias capas a gran escala diseñada para medir las personas y la red, las aplicaciones y los controles de seguridad física de una empresa frente a los ataques de adversarios del mundo real.
Durante un compromiso de equipo rojo, consultores de seguridad capacitados desarrollan escenarios de ataque que revelan posibles vulnerabilidades físicas, de hardware, de software y humanas. El compromiso del equipo rojo también brinda oportunidades para que los malos actores y los infiltrados malintencionados comprometan los sistemas y las redes de una empresa, o corrompan sus datos.
6.1 Importancia de las pruebas del equipo rojo
1. Evaluar la capacidad del cliente para responder al comportamiento amenazante.
2. Evaluar la postura de seguridad de la red del cliente mediante la implementación de ensayos (acceso al correo electrónico del CEO, acceso a los datos del cliente, etc.).
3. Demostrar rutas potenciales para que los atacantes accedan a los activos del cliente.
Creemos que desde la perspectiva del equipo rojo, cualquier tarea de garantía de seguridad de la red comenzará desde la perspectiva de encontrar problemas a través de medios técnicos de detección de seguridad, descubrir vulnerabilidades de seguridad del sistema y encontrar deficiencias en el sistema y la red. El grupo de detección de seguridad del equipo rojo utilizará una variedad de herramientas de detección y escaneo para llevar a cabo la recopilación de información, las pruebas de vulnerabilidad y la verificación de vulnerabilidades en la red objetivo del grupo azul. Especialmente para empresas a gran escala, descubrirá los problemas de seguridad del sistema a través de la detección de objetivos a gran escala y otros medios rápidos. El proceso principal es el siguiente:
1. Detección de objetivos a gran escala
Para comprender rápidamente el tipo, el tipo de dispositivo, la versión, el tipo de servicio abierto y la información del puerto del sistema del usuario azul, la parte roja utilizará Nmap, herramientas de identificación de servicios y escaneo de puertos, o incluso ZMap, MASScan, etc. determinar el sistema y el rango de límites de la red. La herramienta de investigación rápida a gran escala comprende información básica, como la escala de la red del usuario y el estado general de apertura del servicio, para llevar a cabo pruebas más específicas.
2. Contraseña y pruebas de vulnerabilidades comunes
Una vez que el equipo rojo domine la escala de la red, el tipo de sistema host y el estado de apertura del servicio de los usuarios de la parte azul, utilizará Metasploit o métodos manuales para llevar a cabo ataques dirigidos y pruebas de vulnerabilidad, que incluyen: varias vulnerabilidades del sistema de aplicaciones web, vulnerabilidades de software intermedio, fugas de ejecución remota de código de sistema, aplicación y componente, etc. Al mismo tiempo, Hydra y otras herramientas se utilizarán para probar las contraseñas de varios servicios, middleware y sistemas en busca de contraseñas débiles comunes, y finalmente obtener el sistema host o componente permisos a través de medios técnicos.
3. Adquisición de permisos y movimiento lateral
Después de que el partido rojo obtiene la autoridad de un objetivo específico a través de lagunas en el sistema o contraseñas débiles, utiliza la autoridad del sistema host y las condiciones de accesibilidad de la red para moverse lateralmente, expande los resultados de la batalla y controla las bases de datos clave, los sistemas comerciales y el equipo de red, y utiliza la suficiente información recopilada. información para controlar en última instancia el sistema central, obtener datos centrales, etc., para demostrar la falta de seguridad del sistema actual.
Los equipos rojos actúan como atacantes reales y motivados. La mayoría de las veces, los ataques del equipo rojo son grandes, todo el entorno está dentro del alcance y su objetivo es infiltrarse, mantener la persistencia, la centralidad, la capacidad de retirada para confirmar lo que puede hacer un enemigo persistente. Todas las tácticas están disponibles, incluida la ingeniería social. Eventualmente, los equipos rojos alcanzarán su objetivo de poseer toda la red; de lo contrario, sus acciones serán capturadas, los administradores de seguridad de la red que atacaron los detendrán, momento en el cual informarán sus hallazgos a la gerencia para ayudar a mejorar la seguridad. de la red seguridad.
Uno de los principales objetivos de un equipo rojo es permanecer invisible incluso cuando ingresan a la organización. Los probadores de penetración no son buenos en la red y pueden detectarse fácilmente porque usan medios tradicionales para ingresar a la organización, mientras que los equipos rojos son sigilosos, rápidos y técnicamente equipados para evadir AV, protección de punto final Conocimiento de soluciones, firewalls y otras medidas de seguridad la organización ha implementado.
7. Qué es el equipo azul
El mayor desafío para el equipo azul es encontrar vulnerabilidades explotables y proteger su dominio sin imponer demasiadas restricciones a los usuarios.
1. Identificar los controles
Lo más importante para los equipos azules es la capacidad de comprender los controles establecidos en su entorno, especialmente cuando se trata de phishing y phishing. Algunas empresas realmente no empiezan a buscar medidas de protección en sus propias redes hasta que hay una confrontación formal.
2. Asegúrese de que los datos se recopilen y analicen
Dado que la eficacia de un equipo azul se basa en la capacidad de recopilar y utilizar datos, las herramientas de gestión de registros, como Splunk, son especialmente importantes. Otra habilidad es saber recopilar todos los datos de las acciones del equipo y registrarlos con alta fidelidad, para determinar qué salió bien, qué salió mal y cómo mejorar durante la repetición.
3. Usa las herramientas adecuadas para el medio ambiente
Las herramientas que utiliza un equipo azul dependerán de las necesidades de su entorno. Tienen que averiguar "¿qué está haciendo este programa? ¿Por qué está tratando de formatear el disco duro?" y luego agregar tecnología para bloquear acciones no deseadas. Las herramientas para probar el éxito de la técnica provienen del equipo rojo.
4. Elija personas con experiencia para unirse al equipo
Aparte de las herramientas, lo más valioso para el equipo azul es el conocimiento de los jugadores. A medida que adquiere experiencia, comienza a pensar "He visto esto, he visto aquello, hicieron esto y aquello, pero me pregunto si hay un error aquí". sin preparación para lo desconocido.
5. Suponga que habrá fallas
Hacer preguntas es una herramienta valiosa para explorar lo desconocido. No se detenga en prepararse para lo que existe hoy, asumiendo que habrá fallas en su propia infraestructura.
La mejor manera de pensarlo es asumir que eventualmente habrá errores y que nada es 100% seguro.
¡He resuelto algunos materiales de protección de la red y preguntas de la entrevista, y se enviarán automáticamente después de prestar atención! Si lo encuentra útil, puede ayudarme a marcarlo como favorito. Si la escritura es incorrecta o poco clara, puede señalarlo en el área de comentarios, ¡gracias!