1. ネットワーク保護動作とは何ですか?
ネットワーク保護活動は公安省が主導し、企業や機関のネットワーク セキュリティを評価します。
具体的な実践において。公安省は攻撃側と防御側の両方を組織し、攻撃側は防御側(企業や機関)のセキュリティの抜け穴を発見するため、1か月以内に防御側に対してサイバー攻撃を開始する。
攻撃者との対決を通じて、企業や機関のネットワーク、システム、機器のセキュリティ能力が大幅に向上します。
「ネットワーク保護作戦」は、ネットワークセキュリティ問題に対処するために国が講じた重要な取り決めの一つである。2016年に始まった「ネットワーク防護作戦」は、我が国のネットワークセキュリティを重視する中、参加部隊の拡大を続け、ネットワーク防護作戦に参加する部隊も増加しており、ネットワークセキュリティ対決訓練は日に日に近づいている。また、各機関はネットワーク セキュリティのニーズを受動的構築からビジネス保護のための厳格なニーズにアップグレードしています。
2. 防護ネットの分類
ネットワーク保護は一般に行政レベルに応じて国家レベルの保護ネットワーク、省レベルの保護ネットワーク、地方自治体レベルの保護ネットワークに分けられ、さらに一部の業界ではネットワークセキュリティに対する要件が比較的高いため、ネットワーク保護業務も行われることになる。金融業界などの業界内で。
3. ネットを守る時が来た
ネット保護のレベルが異なると、開始時間と期間が異なります。国家保護ネットワークを例にとると、一般的に保護ネットワークは毎年 7 月から 8 月頃に開始され、通常 2 ~ 3 週間続きます。省レベルは約2週間、下位レベルは約1週間です。2021 年は非常に特別で、党創立 100 周年にあたるため、すべてのセキュリティ作業は 7 月までに完了する必要があり、21 年間にわたるネットワーク保護は 4 月頃にすべて完了する予定です。
4. 保護ネットの影響
ネットワーク保護は政府によって組織され、参加するユニットはランク付けされ、ネットワーク保護のパフォーマンスが低いユニットは今後の評価などに影響を与えます。さらに、ネットワーク保護は政治と結びついており、ネットワーク保護に参加している企業や部門のネットワークが攻撃者に侵入されると、リーダーが排除される可能性があります。たとえば、金融証券部門では昨年、ネットワークに侵入され、部門の副指揮官が直接解任されました。全体として支払われる代償は依然として非常に深刻です。
五、ネットのルール
1.赤と青の対決
ネットプロテクションは赤チームと青チームに分かれて赤青対決するのが一般的です(赤青の攻守についてはネット上で意見が分かれていますが、ここでは国内の赤オフェンスと青ディフェンスに基づいています)。
レッドチームは攻撃チームで、レッドチームは主に「ナショナルチーム」(国のネットワークセキュリティやネットワークセキュリティに特化した技術者)とメーカーの侵入技術者で構成されている。そのうち「ナショナルチーム」が約6割、メーカーの技術者で構成された攻撃陣が約4割を占めた。一般的に1チームは3人程度で、情報収集、潜入、戦場の清掃などを担当する。
青いチームは防御チームで、通常は参加するユニットをランダムに選択します。
2. 青チームのスコア
青チームの初期スコアは 10,000 ポイントで、攻撃が成功すると、対応するポイントが減点されます。青チームの要件は年々厳しくなっています。2020 年までは、青チームが攻撃を発見できれば、ポイントを追加したり、減点を埋め合わせたりすることができましたが、2021 年には、青チームはタイムリーな発見、タイムリーな処理、および攻撃チェーンの回復という要件を満たさなければなりません。少し減点を減らすため、合格できなくなります。これはプラスです。ポイントを獲得する唯一の方法は、ネットワーク保護中に実際のハッキング攻撃を発見することです。
3. レッドチームのスコア
各攻撃チームにはいくつかの固定ターゲットが割り当てられます。さらに、一部のターゲットが選択され、パブリック ターゲットとしてターゲット プールに配置されます。一般的に、レッドチームはこれらの公開ターゲットへの攻撃を優先し、攻撃が成功して証拠が得られれば、国が提供するプラットフォームに提出され、認証が成功する。一般的に投稿プラットフォームの投稿時間は9時から21時までですが、この時間を過ぎると誰も攻撃しないというわけではありません。実際、赤チームは引き続き 21:00 から 9:00 までの時間を攻撃に使用し、その日中に攻撃結果を提出します。したがって、青チームには 24 時間の監視と保護が必要です。
6. レッドチームとは何ですか?
レッド チーム化は、現実世界の敵対的な攻撃に対する企業の人材、ネットワーク、アプリケーション、および物理的なセキュリティ制御を測定するために設計された、本格的な多層攻撃シミュレーションです。
レッドチームの取り組み中、訓練を受けたセキュリティ コンサルタントが、潜在的な物理的、ハードウェア、ソフトウェア、および人間の脆弱性を明らかにする攻撃シナリオを開発します。レッド チームの関与は、悪意のある行為者や悪意のある内部関係者が企業のシステムやネットワークを侵害したり、データを破損したりする機会も提供します。
6.1. レッドチームテストの意義
1. 脅迫的な行為に対応する顧客の能力を評価します。
2. リハーサル (CEO の電子メールへのアクセス、顧客データへのアクセスなど) を実施して、顧客ネットワークのセキュリティ体制を評価します。
3. 攻撃者がクライアント資産にアクセスする潜在的なパスを実証します。
レッドチームの観点から見ると、ネットワークセキュリティ保証タスクは、セキュリティ検出技術的手段を通じて問題を発見し、システムセキュリティの脆弱性を発見し、システムとネットワークの欠陥を発見するという観点から始まると考えています。レッド チームのセキュリティ検出パーティは、さまざまな検出およびスキャン ツールを使用して、ブルー パーティのターゲット ネットワーク上で情報収集、脆弱性テスト、および脆弱性検証を実行します。特に大規模企業の場合、大規模なターゲット検出などの迅速な手段を通じてシステムのセキュリティ上の問題を発見します。主なプロセスは次のとおりです。
1. 大規模目標探知
青色のユーザーのシステムのタイプ、デバイスの種類、バージョン、オープン サービスの種類、およびポート情報を迅速に理解するために、赤色の当事者は、Nmap、ポート スキャンおよびサービス識別ツールを使用し、さらには ZMap、MASScan などを使用して、大規模迅速調査ツールは、ユーザーのネットワーク規模や全体的なサービス開通状況などの基本情報を把握し、よりターゲットを絞ったテストを実施します。
2. パスワードと一般的な脆弱性のテスト
レッドチームは、ネットワークの規模、ホストシステムの種類、ブルーパーティーのユーザーのサービス開始状況を把握した後、Metasploit または手動の方法を使用して、さまざまな Web アプリケーション システムの脆弱性、ミドルウェアの脆弱性、システム、アプリケーション、コンポーネントのリモート コード実行リークなど。同時に、Hydra やその他のツールを使用して、さまざまなサービス、ミドルウェア、システムのパスワードをテストし、一般的な脆弱なパスワードがないかテストし、最終的にホスト システムまたはコンポーネントを取得します。技術的手段による許可。
3. 許可取得と横移動
レッドパーティは、システムの抜け穴や脆弱なパスワードを通じて特定のターゲット権限を取得した後、ホストシステムの権限とネットワークの到達可能性条件を利用して横方向に移動し、戦闘結果を拡大し、主要なデータベース、ビジネスシステム、およびネットワーク機器を制御し、収集した十分な権限を使用します。現在のシステムのセキュリティが欠如していることを証明するために、コア システムを最終的に制御したり、コア データを取得したりするための情報。
赤いチームは本物のやる気のある攻撃者として機能します。ほとんどの場合、レッドチームの攻撃は大規模で、環境全体が範囲内にあり、その目標は侵入し、持続性、中心性、退却性を維持し、しつこい敵が何をできるかを確認することです。ソーシャルエンジニアリングを含むあらゆる戦術が利用可能です。最終的に、レッド チームはネットワーク全体を所有するという目標を達成します。そうでない場合、彼らの行動は捕らえられ、攻撃しているネットワークのセキュリティ管理者によって阻止されます。その時点で、彼らは結果を管理者に報告して、セキュリティの改善に役立てることになります。ネットワークのセキュリティ、安全性。
レッドチームの主な目標の 1 つは、組織内に入っても目立たないようにすることです。ペネトレーション テスターはネットワーク上では苦手で、従来の手段を使って組織に侵入するため簡単に検出できます。一方、レッド チームはステルス性があり、高速で、AV、エンドポイント保護を回避する技術的装備を備えています。 ソリューション、ファイアウォール、その他のセキュリティ対策に関する知識があります。組織が実装しました。
7. 青チームとは
青チームにとってのより大きな課題は、悪用可能な脆弱性を見つけて、ユーザーに過度の制限を課すことなくドメインを保護することです。
1. コントロールを特定する
青チームにとって最も重要なのは、特にフィッシングやフィッシングに関して、環境内に導入されているコントロールを理解する能力です。一部の企業は、正式な対立が生じるまで、自社のネットワーク内での保護策を検討し始めません。
2. データが収集および分析されていることを確認する
ブルー チームの有効性はデータを収集して利用する能力に基づいているため、Splunk などのログ管理ツールが特に重要です。もう 1 つの能力は、チームの行動のすべてのデータを収集し、それらを高い忠実度で記録する方法を知っていることです。これにより、何がうまくいき、何がうまくいかなかったのか、リプレイ中にどのように改善するかを判断できるようになります。
3. 環境に適したツールを使用する
青チームが使用するツールは、環境のニーズによって異なります。彼らは、「このプログラムは何をしているのか? なぜハードドライブをフォーマットしようとしているのか?」を解明し、意図しない動作をブロックするテクノロジーを追加する必要があります。テクニックの成功をテストするツールはレッド チームから提供されます。
4. チームに参加する経験豊富な人を選ぶ
ツールとは別に、青チームにとって最も価値のあるものはプレーヤーの知識です。経験を積むにつれて、「これを見たことがある、あれも見た、彼らはこれとこれをやったが、ここにバグがあるのではないか」と考え始めます。未知のものに対する準備ができていない。
5. 失敗することを想定する
質問することは、未知のものを探索するための貴重なツールです。自社のインフラストラクチャに障害が発生することを想定して、現在存在するものに備えるだけにとどまらないでください。
これについて考える最良の方法は、最終的にはバグが存在し、100% 安全なものなどないと想定することです。
いくつかのネットワーク保護資料と面接の質問を整理しました。注意を払った後、自動的に送信されます。参考になった場合は、いいねやブックマークをしていただけると助かります、文章が間違っていたりわかりにくい場合は、コメント欄でご指摘いただけると幸いです。