“回顾逝去的2021年,在疫情的“救火期”后平静的那段时间,部门迎来了一些变动。人来人去,来来往往,好在下半年逐渐趋于稳定。变化是永恒不变的真理。
但也有不怎么变的工作职责,不管谁来,该做的事情还是得继续。为了闭环上半年发现的问题(集团红蓝演习中,暴露出单兵作战应急能力较弱),也为了让新人更快地融入部门,于是在下半年组织开展了“应急响应实战能力提升计划”专项课题,即:应急响应实战演习。”
01
—
专项概要
1.1 面临问题
随着内部安全建设愈加成熟,安全设备覆盖面、安全工具与安全平台功能愈加完善,安全工作分工也愈加细致。但同时导致在不借助平台能力的情况下,单兵动手能力变弱;遇到安全问题时,应急响应集中在几个人身上;…等一系列问题。比如:在红蓝演习中,攻击队通过外购系统的fastjson漏洞上传内存马,而没有被发现的事件就是最好证明。
- 应急响应阶段,上机取日志进行分析花费大量时间;
- 应急响应结果,最终也没有分析出攻击队从何而来。
事后复盘发现:团队成员过于依赖现有平台及工具,弱化了应急响应的基本功,严重影响面对真实攻击对抗时的动手能力。
1.2 寻找出路
遵从“实战是检验动手能力的主要标准之一“的原则,利用部门内部红蓝队资源组织应急响应演习。
与红蓝演习不同,攻击目标和环境由红队来负责,红队完成攻击之后将环境发给蓝队,蓝队登录服务器进行分析并输出应急响应报告。红蓝双方最终进行交流,考察蓝队动手分析和攻击路径还原等基础应急响应能力。
1.3 专项目的
提升攻击与应急实战动手能力,让新人更快上手工作,并融入团队:
- 红队设计攻击场景并模拟,锻炼动手能力,包括:基础环境搭建、漏洞利用、攻击思路等;
- 蓝队通过实战应急的方式,巩固基础知识,包括:操作系统命令、手工日志分析、应急思路与技巧等;
- 通过模拟实战攻击与应急,让新人快速融入到整个部门中,打破“部门墙”,锤炼应对实战型的安全队伍。
02
—
整体计划
专项主要分为筹备阶段和实施阶段,实施阶段包括专项一期和专项二期,分别为不同的攻击场景应急响应,并在每次模拟结束后组织总结。从2021Q3到2021年末,时间跨度较大,历时约三个半月(2021-07-26 ~ 2021-11-15)。
2.1 组织分工
此次专项参与的人员较多,按照分工主要有三个虚拟角色:组织方、攻击模拟人员、应急响应人员。
- 组织方人员:负责整个方案的发起、设计、组织、总结等工作,并兼应急响应报告评委,由红队组长、防护组长、运营组长、aerfa(总负责)组成;
- 攻击模拟人员:负责设计攻击路径、实施攻击,由红队组长带队;
- 应急响应人员:负责对被攻击环境开展应急响应,并输出应急响应报告,人员由防护组长、运营组长确定本组人员(原则上全部都要参加),部门内部其他人员自行报名参与。
2.2 人员考核
采取筹备组评委对应急响应报告阅卷的形式,对每个应急响应报告进行打分和点评。须包括但不仅限于:攻击路径复原(核心)、攻击点与证据收集、应急响应步骤与截图正确性、处置方案与建议、汇报演讲表现等。
2.3 奖励方式
第一期作为试点,仅针对提交的报告进行优缺点进行点评,未公布成绩,暂不设置奖项。第二期延续第一期,评选了最佳应急响应小组,但由于预算问题,最终没能做实质性奖励。(最开始考虑提升技能,未考虑奖励机制。通过总结发现,在现有资源的情况下应尽可能安排奖品,可以调动积极性)
2.4 时间线回顾
本部分采用事后叙述的方式,未完全按照最初的计划行文。不过保证了主要目标与计划大体保持一致,里程碑事件如下:
筹备阶段:
- 07-26,创建【筹备组】应急响应实战能力提升计划群,确定筹备人员;
- 07-27,召开筹备组会议,确定专项原则、分工、考察知识点、可能存在的不足点、注意事项;
- 08-06,完成整体方案的制定,并在筹备组内发起评审;
- 08-11,输出应急响应报告模板,并在筹备组内发起评审。
专项一期:
- 07-28,红队输出一期攻击链图谱,并在筹备组内发起讨论;
- 07-30,红队制定好攻击方案及资源需求;
- 08-02,按照红队提出的资源需求完成部署;
- 08-03,红队完成攻击模拟,并制作虚机镜像;
- 08-10,通知防护组和运营组,提供应急响应专项人员;
- 08-11,创建【应急组】应急响应实战能力提升计划群,确定应急团队;
- 08-12,召开应急人员启动会,主要内容为:
1、背景与整体计划;2、被攻击后的现象(系统卡慢,CPU利用率飙升);3、靶场环境的使用(一期模拟靶场下载与使用);4、如何写应急报告(突出攻击链还原和支撑的证据截图)。 |
---|
- 08-23,应急响应报告收集完成(5份),通知评委开始阅卷点评,各应急小组确定发言人及准备发言材料;
- 08-12,一期镜像提供下载;
- 08-30,召开一期总结会。
专项二期:
- 09-29,红队输出二期攻击链图谱,并在筹备组内发起讨论;
1、引入供应链攻击,思路很赞。linux-->windows这部分入口是否可以利用系统漏洞,就别搞web漏洞了,比如ssh弱口令爆破,在一些细节或关键路径上挖一些坑:①webshell搞点D盾查杀不出来的,文件名字、上传后的日期都修改 一下;②ssh弱口令,修改默认的ssh端口,并在防火墙上设置acl,仅开放常见服务和22、真正的ssh端口。2、故意留下点痕迹,比如破解shadow,需要给大家一些思路;3、攻击的时候,分别记录下攻击步骤,在总结的时候输出攻击报告给参赛者学习;4、内容挺多的,可以增加些排查难度,比如进程隐藏进程注入,实际在上线cs时做了进程隐藏,但没有做防御绕过,使用beaconeye还是能检测到;5、设个评判标准,比如排查到哪些攻击手段,清除项是合格,哪些是优秀,额外的再加分。 |
---|
- 10-03,红队制定好攻击方案及资源需求;
- 10-13,红队完成攻击模拟,并开始制作虚机镜像;
- 10-26,应急人员分组进行调整,由一期的5个小组增加至7个小组;
- 11-01,二期镜像提供下载,通知应急小组开始获取环境并分析;
- 11-08,应急响应报告收集完成(7份),通知评委开始阅卷点评,各应急小组确定发言人及准备发言材料;
- 11-15,召开二期总结会。
03
—
注意事项
3.1 保密原则
参与专项组织的人员,需要对攻击方案保密。
严禁将攻击手法、路径泄露给应急响应人员。
3.2 工具选型
不得使用公司内部的基础安全检测环境,包括但不仅限于天眼、椒图、天擎等安全产品自带的分析平台、安全事件运营平台等处置告警和事件。
可以使用公开的小工具或进行原创。
3.3 总结要求
每个参与应急响应人员须按照应急响应报告模板,输出应急响应报告。
攻击模拟人员,输出攻击手法与路径报告,应记录各个关键攻击动作的时间点。