prefacio
La reciente protección de la red nacional está en pleno apogeo. Muchos novatos en seguridad cibernética y futuros estudiantes de primer año de seguridad cibernética me preguntaron en segundo plano: ¿qué es la protección de la red? ¿Como participar? ¿Hay algún material de aprendizaje relevante? En la próxima publicación, resolví este artículo detallado sobre protección de red de la noche a la mañana. Espero que sea útil para los estudiantes que quieran participar en la protección de red. Al final del artículo, agregaré notas informativas sobre protección de seguridad de red. Espero que pueda brindar alguna ayuda a todos en el camino hacia la seguridad de la red. Si cree que este artículo está bien escrito, ¡déle al blogger un seguimiento gratuito, me gusta y favorito!
1. ¿Cuál es el funcionamiento de protección de la red?
La operación de protección de la red está dirigida por el Ministerio de Seguridad Pública para evaluar la seguridad de la red de empresas e instituciones.
En la práctica específica. El Ministerio de Seguridad Pública organizará acciones tanto ofensivas como defensivas, y la parte ofensiva lanzará un ciberataque contra la parte defensiva en el plazo de un mes para detectar lagunas de seguridad en la parte defensiva (empresas e instituciones).
Mediante la confrontación con el atacante, se mejorarán enormemente las capacidades de seguridad de la red, el sistema y el equipo de las empresas e instituciones.
La "operación de protección de redes" es uno de los acuerdos importantes realizados por el país para abordar los problemas de seguridad de las redes. La "operación de protección de redes" comenzó en 2016. Con el énfasis en la seguridad de las redes en nuestro país, las unidades involucradas han seguido ampliándose y cada vez más unidades se han sumado a la operación de protección de redes. Situación real Las instituciones también han mejorado sus necesidades de seguridad de red de una construcción pasiva a necesidades rígidas de protección empresarial.
2. Clasificación de la red protectora.
La protección de la red generalmente se divide en red de protección a nivel nacional, red de protección a nivel provincial y red de protección a nivel municipal según los niveles administrativos; además, algunas industrias tienen requisitos relativamente altos para la seguridad de la red, por lo que también se llevarán a cabo operaciones de protección de la red. dentro de la industria, como la industria financiera.
3. Es hora de proteger la red
La hora de inicio y la duración de los diferentes niveles de protección neta son diferentes. Tomando como ejemplo la red nacional de protección, en términos generales, la red de protección comienza alrededor de julio y agosto de cada año y generalmente dura de 2 a 3 semanas. El nivel provincial dura aproximadamente 2 semanas y el nivel inferior es aproximadamente una semana. 2021 es bastante especial: dado que se cumple el centenario de la fundación del partido, todo el trabajo de seguridad debe completarse antes de julio y toda la protección de la red de 21 años estará completada alrededor de abril.
4. El impacto de la red de protección
La protección de la red está organizada por el gobierno y las unidades participantes serán clasificadas. Las unidades que tengan un desempeño deficiente en la protección de la red se verán afectadas en futuras evaluaciones y otros trabajos. Además, la protección de la red está vinculada a la política: una vez que los atacantes penetran la red de empresas y unidades que participan en la protección de la red, los líderes pueden ser eliminados. Por ejemplo, en una unidad de valores financieros el año pasado, la red fue penetrada y el segundo al mando de la unidad fue directamente despedido. El precio total pagado sigue siendo muy elevado.
Cinco, las reglas de la red.
1. Enfrentamiento entre rojo y azul
La protección de la red generalmente se divide en dos equipos, rojo y azul, para el enfrentamiento rojo y azul (hay diferentes opiniones sobre la ofensiva y la defensa roja y azul en Internet, aquí se basa en la ofensiva roja y la defensa azul nacionales).
El equipo rojo es el equipo de ataque, y el equipo rojo está formado principalmente por el "equipo nacional" (la seguridad de la red del país y otro personal técnico especializado en seguridad de la red) y los técnicos de penetración del fabricante. Entre ellos, el "equipo nacional" representaba alrededor del 60% y el equipo de ataque compuesto por personal técnico del fabricante representaba alrededor del 40%. En términos generales, hay alrededor de 3 personas en un equipo, que son responsables de la recopilación de información, la infiltración y la limpieza del campo de batalla.
El equipo azul es el equipo defensivo, que normalmente selecciona al azar algunas unidades para participar.
2. Puntuación del equipo azul
La puntuación inicial del equipo azul es de 10.000 puntos, una vez que el ataque sea exitoso se descontarán los puntos correspondientes. Cada año, los requisitos para el equipo azul son más estrictos. Antes de 2020, siempre que el equipo azul pueda descubrir el ataque, puede sumar puntos o compensar los puntos deducidos; pero en 2021, el equipo azul debe cumplir con los requisitos de descubrimiento oportuno, eliminación oportuna y recuperación de la cadena de ataque en Para reducir la deducción de algunos puntos, ya no puedo aprobar. Esto es una ventaja. La única forma de ganar puntos es detectar ataques de piratería reales durante la protección de la red.
3. Puntuación del equipo rojo
Cada equipo atacante tendrá algunos objetivos fijos asignados. Además, algunos objetivos se seleccionarán y colocarán en el grupo de objetivos como objetivos públicos. En términos generales, el equipo rojo dará prioridad al ataque a estos objetivos públicos, una vez que el ataque sea exitoso y se obtengan las pruebas, se presentarán en una plataforma proporcionada por un país y la certificación será exitosa. Generalmente, el horario de envío de la plataforma de envío es de 9:00 a 21:00, pero esto no significa que nadie atacará después de este horario. De hecho, el equipo rojo seguirá utilizando el período de 21:00 a 9:00 para atacar y luego presentará los resultados del ataque durante el día. Por tanto, el equipo azul necesita 24 horas de seguimiento y protección.
6. ¿Qué es un equipo rojo?
Red teaming es una simulación de ataque de múltiples capas a gran escala diseñada para medir los controles de seguridad física, de red, de personas y de red de una empresa contra ataques de adversarios del mundo real.
Durante la participación del equipo rojo, consultores de seguridad capacitados desarrollan escenarios de ataque que revelan posibles vulnerabilidades físicas, de hardware, de software y humanas. La participación del equipo rojo también brinda oportunidades para que los malos actores y personas internas malintencionadas comprometan los sistemas y redes de una empresa, o corrompan sus datos.
6.1 Importancia de las pruebas del Equipo Rojo
1. Evaluar la capacidad del cliente para responder a un comportamiento amenazante.
2. Evaluar la postura de seguridad de la red de clientes mediante la implementación de ensayos (acceso al correo electrónico del CEO, acceso a los datos de los clientes, etc.).
3. Demostrar rutas potenciales para que los atacantes accedan a los activos del cliente.
Creemos que desde la perspectiva del equipo rojo, cualquier tarea de garantía de seguridad de la red comenzará desde la perspectiva de encontrar problemas a través de medios técnicos de detección de seguridad, descubrir vulnerabilidades de seguridad del sistema y encontrar deficiencias en el sistema y la red. El grupo de detección de seguridad del equipo rojo utilizará una variedad de herramientas de detección y escaneo para llevar a cabo la recopilación de información, pruebas de vulnerabilidad y verificación de vulnerabilidades en la red objetivo del grupo azul. Especialmente para empresas a gran escala, los problemas de seguridad del sistema se descubrirán mediante la detección de objetivos a gran escala y otros medios rápidos. El proceso principal es el siguiente:
1. Detección de objetivos a gran escala
Para comprender rápidamente el tipo, el tipo de dispositivo, la versión, el tipo de servicio abierto y la información del puerto del sistema del usuario azul, la parte roja utilizará Nmap, escaneo de puertos y herramientas de identificación de servicios, o incluso utilizará ZMap, MASScan, etc. determinar el rango de límites del sistema y la red.La herramienta de investigación rápida a gran escala comprende información básica como la escala de la red del usuario y el estado general de apertura del servicio, para llevar a cabo pruebas más específicas.
2. Pruebas de contraseñas y vulnerabilidades comunes
Una vez que el equipo rojo domine la escala de la red, el tipo de sistema host y el estado de apertura del servicio de los usuarios del grupo azul, utilizará Metasploit o métodos manuales para llevar a cabo ataques dirigidos y pruebas de vulnerabilidad, que incluyen: varias vulnerabilidades del sistema de aplicaciones web, vulnerabilidades de middleware , fugas de ejecución remota de código de sistemas, aplicaciones y componentes, etc. Al mismo tiempo, Hydra y otras herramientas se utilizarán para probar las contraseñas de varios servicios, middleware y sistemas en busca de contraseñas débiles comunes, y finalmente obtener el sistema host o componente. permisos por medios técnicos.
3. Adquisición de permisos y movimiento lateral.
Después de que el partido rojo obtiene autoridad de objetivo específica a través de lagunas del sistema o contraseñas débiles, utiliza la autoridad del sistema host y las condiciones de accesibilidad de la red para moverse lateralmente, expande los resultados de la batalla y controla bases de datos clave, sistemas comerciales y equipos de red, y utiliza suficiente información recopilada. información para, en última instancia, controlar el sistema central, obtener datos centrales, etc., para demostrar la falta de seguridad del sistema actual.
Los equipos rojos actúan como atacantes reales y motivados. La mayoría de las veces, los ataques del equipo rojo son grandes, todo el entorno está dentro del alcance y su objetivo es infiltrarse, mantener la persistencia, la centralidad y la capacidad de retirada para confirmar lo que puede hacer un enemigo persistente. Todas las tácticas están disponibles, incluida la ingeniería social. Con el tiempo, los equipos rojos alcanzarán su objetivo de poseer toda la red; de lo contrario, sus acciones serán detectadas, serán detenidos por los administradores de seguridad de la red que están atacando y, en ese momento, informarán sus hallazgos a la administración para ayudar a mejorar la seguridad. seguridad de la red seguridad.
Uno de los principales objetivos de un equipo rojo es permanecer invisible incluso cuando ingresan a la organización. Los probadores de penetración no son buenos en la red y pueden ser detectados fácilmente porque utilizan medios tradicionales para ingresar a la organización, mientras que los red teamers son sigilosos, rápidos y están técnicamente equipados para evadir antivirus y protección de endpoints. Conocimiento de soluciones, firewalls y otras medidas de seguridad . la organización ha implementado.
7. ¿Qué es el equipo azul?
El mayor desafío para el equipo azul es encontrar vulnerabilidades explotables y proteger su dominio sin imponer demasiadas restricciones a los usuarios.
1. Identificar controles
Lo más importante para los equipos azules es la capacidad de comprender los controles establecidos en su entorno, especialmente cuando se trata de phishing y phishing. Algunas empresas realmente no empiezan a buscar medidas de protección en sus propias redes hasta que no se produce un enfrentamiento formal.
2. Garantizar que los datos se recopilen y analicen
Dado que la eficacia de un equipo azul se basa en la capacidad de recopilar y utilizar datos, las herramientas de gestión de registros, como Splunk, son especialmente importantes. Otra habilidad es saber recoger todos los datos de las acciones del equipo y registrarlos con alta fidelidad, para determinar qué salió bien, qué salió mal y cómo mejorar durante la repetición.
3. Utilice las herramientas adecuadas para el medio ambiente
Las herramientas que utilice un equipo azul dependerán de las necesidades de su entorno. Tienen que averiguar "¿qué está haciendo este programa? ¿Por qué intenta formatear el disco duro?", y luego agregar tecnología para bloquear acciones no deseadas. Las herramientas para comprobar el éxito de la técnica provienen del equipo rojo.
4. Elija personas con experiencia para unirse al equipo.
Más allá de las herramientas, lo más valioso para el equipo azul es el conocimiento de los jugadores. A medida que adquieres experiencia, empiezas a pensar: "He visto esto, he visto aquello, hicieron esto y aquello, pero me pregunto si habrá un error aquí". Si solo te diriges a lo que se sabe, prepárate y estarás no está preparado para lo desconocido.
5. Asume que habrá fracaso
Hacer preguntas es una herramienta valiosa para explorar lo desconocido. No se limite a prepararse para lo que existe hoy, asumiendo que habrá fallas en su propia infraestructura.
La mejor manera de pensarlo es asumir que eventualmente habrá errores y que nada es 100% seguro.
8. Información de protección de la red de seguridad de la red (huevo de pascua)
Los estudiantes que no hayan participado en la protección de la red durante varios años definitivamente no podrán ponerse al día, ¡pero los estudiantes que quieran participar deben darse prisa y estudiar! ¡Esfuércese por participar en la protección neta del próximo año! ¡Acumula experiencia valiosa para tu carrera universitaria! ! !
Las siguientes son las notas de datos de seguridad de la red y los videos tutoriales de protección de la red acumulados por el blogger durante muchos años. Si es necesario, puede compartirlos con todos de forma gratuita. Recuerde darle me gusta, seguir y decirle al blogger en el área de comentarios ~ enviarlos a ¡Todos uno por uno! Los estudiantes que no puedan esperar pueden hacer clic para seguir; después de seguir, el fondo enviará automáticamente un enlace de datos. ¡Todos pueden recogerlo!
Si lo encuentra útil, puede darle me gusta y marcarlo como favorito. Si escribe algo incorrecto o poco claro, puede señalarlo en el área de comentarios, ¡gracias!
