前言参与hvv的事情还是要想办法规避掉很多坑的。网络安全这个行业现阶段还是主要政策驱动后面应该是客户意识现在用户教育成本明显比以前低太多。1.关于HVV的一个简单流程首先我带大家从甲方和厂商的角度来分解一下整个护网流程的核心逻辑第一阶段一般由总负责的安全厂商牵头完成:方案制定、用户沟通、设备调研梳理、整体的安全设备防护情况资产清单收集等工作便于后续的安全保障工作的划分这一块工作基本上不需要外聘人员的参与。第二阶段风险自查及修复阶段这个时候一般一些外聘的安服人员蓝队人员开始进场主要工作包括:互联网资产扫描、漏洞扫描、渗透测试、安全基线/配置核查、安全设备策略检查、日志审计情况检查、防护设备完善、之前的一些安全事件的复核、安全整改加固这类具体的工作。第三阶段为攻防预演习阶段这个阶段就是甲方这边组织的一个小型的攻防演练活动调研也调研了检测也检测了加固也加固了该修复的也修复了内部会做一个预测试由内部人员或者合作厂商这边充当红队人员对现有网络发起攻击看看目前的工作是不是到位如果没有做好的地方会进行二次修复。第四阶段正式演练阶段就正式开搞了甲方和厂商一般会分为几个小组将用户与安全设备厂商、业务系统开发商、运维厂商等人员进行分组、分工明确职责开展相关工作领导小组总体指挥协调综合研判组分析研判、资源协调防护监测组事件检测、分析应急处置组事件处置演习保障组资源保障并且使用HW的防守成果模板撰写成果并上报一般是看人员的数量有的会身兼数职。最后一个阶段基本是厂商项目经理的事情了外聘的一些工程师这个时候一般就解放了。看到这里大家基本能对流程有一个大体的了解所以说安全厂商一般是全程参与的由于整个过程时间比较紧任务量比较大造成了人手匮乏的局面所以有一部分外聘的兄弟就会被安排在第2-4阶段。大家可以通过这个过程的具体事情去掌握自己所需要的一些核心技能点。第二阶段 基本就是Web安全方面的点点滴滴这就考验平时大家的动手能力和项目经验了搞SRC搞的多的同学基本一看就明白了。第四阶段 基本是各种跟甲方合作的安全厂商的一些设备的监测日志分析和IP封堵等大家可以针对性的熟悉一下安全设备的监测因为日志分析和IP封堵基本没太有技术含量的懂Web安全和渗透测试基本一看就会了当然部分厂商会对自己的合作伙伴进行短期的产品培训的关于面试方面基本上考核的就是一些技能点最重要的是心理素质项目经验和技能点。当然也有一些中间商让大家把简历做的漂亮一些把各种CNVDSRC挖洞经验都写进去可以说意义不大。面试官基本几句话就能问出你的级别了。所以说对于刚入行不久的兄弟大家还是要抱着一种学习的心态因为这种面试不太考验你的格局和学习能力因为项目时间太短了所以大家可以对部分技能点进行深入的学习最重要的是提升自己的项目经验做的多了感觉就有了多经历几个项目感觉就有了。最后说一下护网是一个对安全产业非常有助推作用的一件事包括对于安全从业人员大家做了这么多年的安全服务应该是深有体会的所以说对于部分人员说的过于形式主义我是不认可的。我觉得后面对于行业人员协同以及厂商协同来做一些事不管对于客户还是行业都是特别有帮助的取之互联网用之互联网包容学习希望大家一如既往的做多安全行业2.资料下面是我为大家找的几个面试方法论和红蓝对抗的几个面试知识点:1.个人准备渗透测试和安全面试的经验之谈https://github.com/Leezj9671/Pentest_Interview/blob/master/HR%E9%97%AE%E9%A2%98.md https://github.com/Leezj9671/Pentest_Interview/blob/master/%E9%83%A8%E5%88%86%E9%9D%A2%E8%AF%95%E9%97%AE%E9%A2%98%E8%AE%B0%E5%BD%95.md2.一位HR被面试的经历(十分精彩和值得借鉴)http://blog.sina.com.cn/s/blog_4d8b08bd0102w88w.html3.面试方法大全HR都要知道的面试方法论https://www.sohu.com/a/169167390_7210614.安全资料合集https://rbu.h5.xeknow.com/s/3Lo7UK0x01 护网攻防演练简介网传的HW指的就是护网从2020年起就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。护网攻防演练这个概念是从2016年开始有的在国家相关网络安全监管机构的推动下网络安全演习工作日益得到重视从而分出红队和蓝队由红队担任攻击方、蓝队担任防守方通过一定规则限制下进行实战网络攻防演练即红蓝对抗。而本文主要以蓝队角色为中心视觉下面介绍护网蓝队工作组划分。0x02 护网的三个阶段预演阶段10 days预演阶段也叫准备阶段对于甲方来说这个准备时间可能是1~3个月不等甚至更长每家企业的准备时间都不一样。对于兼职外援来说这个时间通常为期10天较多具体看甲方需求。这里只针对兼职外援描述其在预演阶段时的大致工作内容如下资产梳理Tips - 资产梳理的工作主要分为业务系统资产、设备资产、外包或第三方服务资产通常这项工作都是由甲方运维人员主要负责而兼职外援通常需要协助甲方运维人员一起进行梳理。主机基线扫描主机系统加固私设资产收集安全渗透测试Tips - 实际上预演阶段的工作内容都说不准毕竟部分企业预演阶段的时候就已经开始模拟红蓝对抗了所以会在蓝队当中挑选人员组织成红队进行模拟演练这种情况下就会模拟正式阶段按分组进行工作就无需进行资产梳理、基线扫描、系统加固、渗透测试等工作。正式阶段15 days在正式防护阶段中重点加强防护过程中的安全保障工作各组人员各司其职从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。Tips - 正式阶段各组的工作内容如下文的第三点0x03 ↓↓↓复盘阶段1 daysTips - 在正式阶段结束后会进入为期1~2天的复盘阶段具体事项为总结本次护网攻防演练的工作成果并在会上进行汇报红蓝两队双方的领队负责汇报情况。0x03 护网蓝队工作组划分护网蓝队通常分为5个组,分别是监控组、研判组、处置组、溯源组、反制组监控组负责实时汇报监控平台上的高危告警Tips - 监控组人员需要懂得使用各种厂商的安全设备如360天眼、知道创宇云图等还要懂得分析流量毕竟不是一发现监控平台上存在告警就立马汇报的一些很明显是误报的告警是无需汇报的在反馈给研判组之前其监控组人员本身要对此告警进行一次分析分析后无法确定再汇报至工作群当中由研判组进行研判。监控组反馈模板上图为参考每个工作单位的汇报模板都有一定差异主要根据现场指挥中心的要求去汇报研判组负责实时研究判断监控组反馈的高危告警是否为误报Tips - 研判组人员需要实时响应监控组反馈的高危告警事件判断高危告警事件是否属于安全设备的误报行为无论是否属于误报行为都要将针对此告警事件的结果回馈给监控组以及指挥中心。若判断为误报行为则无需升级事态向工作群回馈即可。若判断为攻击者行为则需要分析具体攻击事件情况并反馈至指挥中心。研判组反馈模板上图为参考每个工作单位的汇报模板都有一定差异主要根据现场指挥中心的要求去汇报处置组负责应急处置研判组反馈的真实攻击告警事件Tips - 研判组反馈后如果为攻击事件则处置组以及溯源组的人员需要等待指挥中心的安排随时准备应急处置。通常处置组人员要多和甲方企业的相关运维人员进行沟通因为有部分企业只允许自己的运维人员上机操作所以如果处置组人员无法上机操作的时候就没办法处置只能将当前事件情况和处置方法反馈给甲方企业的相关运维人员。溯源组负责溯源攻击告警事件以及攻击者相关信息Tips - 在研判组确认攻击事件后溯源组同样处于一个应急响应状态需要等待指挥中心的安排随时进行攻击事件的溯源。关于溯源的思路后面会对此进行总结。那么溯源组人员在没有需要溯源的事件的时候就主要负责溯源攻击者相关信息通常会通过监控平台的攻击者指纹信息功能进行查看再结合相关溯源攻击者身份的手段进行溯源。当然不排除闲余时间在各大安全群摸鱼 反制组负责反制钓鱼邮件中的钓鱼网站或者通过社工的方法反制红队Tips - 反制组和溯源组都能够得分基本上蓝队的得分都由这两组负责关于蓝队得分规则下文会提及到。关于蓝队如何进行反制后面会对此进行总结。除了上面的5个分组还有一个领队专门负责安排每个组的工作并统筹每个组的工作内容当然具体负责的事项肯定不止这些还有各种与甲方企业项目负责人、领导之间的沟通汇报预演阶段的各项工作安排复盘阶段的工作汇总、文档撰写等等我有幸担任过一次领队那工作量真的挺大的经常睡梦正浓的时候被电话惊醒 基本上一有问题第一时间就会找上你吐槽一万字省略0x04 护网蓝队指挥中心通常蓝队指挥中心由甲方企业管理层组织并任命专人负责领导主要负责组织和统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制以及对演习活动中各类突发事件进行决策。Tips - 这里对此不赘述太多不是外援需要深入了解的东西知道有这东西存在即可。0x05 护网蓝队得分规则图片摘自小迪师傅博客得分规则Tips - 针对以上得分规则我这里罗列出一些比较好得分的点溯源攻击者真实身份信息反控攻击方服务器通常只能反控到攻击方用于钓鱼的跳板机3. 发现恶意邮件发现webshell、木马、账号异常较少难度较大攻击方进入内网后会隐匿好自己避免触发告警这需要监控人员对全流量日志分析的足够仔细0x06 护网蓝队应急响应关于应急响应很多人以为一上来就是各种查系统日志、查WEB日志、分析流量信息。然而这种做法是错误的。通常应急响应的都是安全监控平台上出现的高危告警事件借助平台上的流量监控功能可以有效确定攻击事件的时间和攻击事件的类型再不者也可以缩小攻击时间范围。当我们确定了攻击事件的时间/时间段以及攻击事件的类型那么再开始进行系统分析这样才能最高效的进行应急响应工作。所以当应急响应工作展开时这两点非常重要确定攻击事件的时间/时间段确定攻击事件的类型在这两点确定之后就可以进行系统分析了关于系统分析整体思路如下系统分析Tips - 以上都是系统分析需要的检查项后面会对此进行总结。应急响应包括应急处置和应急溯源所以在HW中当研判组研判此告警事件为成功攻击告警事件时处置组和溯源组是要同时应急响应起来的。这里要对应急处置特别说明一下应急处置分临时处置和完全处置。举个例子假如告警事件为Webshell上传成功那么完全处置当然是将Webshell进行删除并将漏洞入口封堵起来即漏洞修复但是完全处置花费的时间较长所以就需要做临时处置的处理。0x06 总结在HW阶段工作时间通常为7_8三班倒或者7_12两班倒周末不停歇持续进行15天。当然如果是两班倒真的够呛。首先想说一下hvv这件事对于行业本身、对于国家的网络空域防护是很好且很重要的事情但是对于防守企业可能会出现加班情况或者在实操过程中会觉得只有封堵IP的这种无技术含量工作导致了部分甲方人员进入了疲于应付的状态。hvv这一活动的加入肯定会出现阵痛的短暂效应不过长期来看是很必须的。很多甲方在hvv过程中怕出现问题怕担责任其实整个事件就是为了发现更多的问题如果没有发现安全问题没有提升甲方整个安全合作生态方的协同作战能力如果没有提升自身的应急能力和更好的应急优化流程那将是非常可惜的。对于企业来说就是一次练兵。大家都知道如果是在真实的攻击行动中就算是一个web网站为了一步步贴近目标一般也要半月甚至APT要潜伏5到10年才能拿到自己想要的数据。所以如果攻击方的时间仅有两周或者三周且目标比较多的情况下只能自动化、工具化。对于防守和预检测而言要有体系有节奏。一.宏观视角我们从宏观角度大体看一下这个行业里面的市场、产品和产业链条1.从客户角度去看从客户角度可分为企业市场to B与个人市场to C。市场客户群特征企业级市场To B面向企业客户1.按照行业划分,如工业、运营商、金融、政府、制造、能源、教育、交通、医疗等客户2.按照规模划分如大型客户、中型客户、小微客户等1.企业有明显的行业特征与IT需求内部有从计划、采购、运营到使用的角色链2.关注成熟产品与技术关注整体的安全解决方案重视与安全企业的长期合作个人市场To C - 消费品面向个人客户比如个人电脑使用者或手机互联网用户等1.需求变化快个人决策。2.关注痛点解决关注体验国内多有免费意识2.从产品角度去看可分为安全硬件、安全软件、安全服务三类。当然现在其实很多硬件和产品也都趋向于服务化了。类型领域产品业内代表产品硬件硬件防火墙/VPNWAF/防火墙、安全网关等入侵检测流量分析、IDS、APT检测入侵防御IPS、抗DDOS统一威胁管理统一威胁管理网关、下一代防火墙安全内容管理上网行为管理、行为审计等硬件认证令牌、智能卡、生物识别令牌、指纹识别、虹膜识别软件安全内容与威胁管理网络、主机、WEB安全防病毒、Web应用防火墙、反垃圾邮件系统、数据防泄漏系统、数据加密系统、终端安全管理软件等身份管理与访问控制PKI、SSO、增强认证、权限分配零信任、数字证书身份认证系统、身份管理与访问控制系统等安全性与漏洞管理事件管理、漏洞管理、策略与合规安全评估系统、安全事件管理系统、安全管理平台等运营咨询、实施、运维、培训SOC、态势感知、安全咨询、安全运维、安全培训等3.从产业链角度去看从产业链视角可分为客户、主管机关、安全企业、潜在竞争对手。角色定位特点客户企业市场to B:企业个人市场to C个人企业与个人从需求、采购模式、关注点差距较大主管机关按照不同领域分为1.国家级主管机关网信办、公安部、工信部、银监会、证监会等2.行业级主管机关运营商、金融、能源等有行业主管机关发布行业政策和标准3.地区级主管机关地方政府或网监发布地方政策信息安全行业有较强的合规性需求主管机关发布的政策对客户影响较大自身也是客户。安全企业为客户提供安全解决方案、产品及服务可分为1.产品提供商研发安全产品提供销售与交付2.系统集成商为客户选择合适产品提供安全解决方案3.安全服务提供商:为客户提供安全运营、安全服务、安全咨询、安全运维等服务产品提供商、系统集成商、安全服务提供商是产业链的不同分工相互之间也存在重叠与渗透潜在竞争对手信息安全行业的潜在竞争对手比较多1.从上下游角度看信息系统提供商比如操作系统厂商、数据库厂商、应用系统厂商会增加产品的安全功能或者开发独立安全产品会挤压安全企业。越来越多的大中型客户成立自己的IT公司出现客户IT公司研发安全产品、提供安全服务的情况对安全企业产生影响。2.越来越多的安全企业在巩固资深优势领域之后通过投资并购、战略合作、OEM等不同方式扩大产品线加强解决方案能力。3.个人市场企业向企业市场渗透奇虎、腾讯等在强大资本的运作下对企业安全市场造成冲击。蓝海变成红海有市场就有竞争对手。、题外话今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。学习资源如果你也是零基础想转行网络安全却苦于没系统学习路径、不懂核心攻防技能光靠盲目摸索不仅浪费时间还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造01内容涵盖这份资料专门为零基础转行设计19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进攻防结合的讲解方式让新手轻松上手真实实战案例 落地脚本直接对标企业岗位需求帮你快速搭建转行核心技能体系这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击02 知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。03 谁需要掌握本知识库负责企业整体安全策略与建设的CISO/安全总监从事渗透测试、红队行动的安全研究员/渗透测试工程师负责安全监控、威胁分析、应急响应的蓝队工程师/SOC分析师设计开发安全产品、自动化工具的安全开发工程师对网络攻防技术有浓厚兴趣的高校信息安全专业师生04部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 ***安全链接放心点击**本文转自网络如有侵权请联系删除。