【1】2023年攻防演练防守保障启动会-模板
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过网络安全培训、宣传、考核和评测,参训人员将了解到相关法律法规和企业制度、常见网络攻击
和防御措施、个人信息保护方法等知识,提升整体安全意识水平。
专项意识培训
网络安全法
②
全员邮件/公文宣传 安全图文/海报/易拉宝
安全意识 宣传
专
①
题 类
课
程
网络钓鱼与社工
弱口令及数据安全
日常生活与办公安 全注意事项
常见网络攻击及防 御措施
3. 加强安全保障措施:各系统、设备管理人员和运维厂家,需提高 保障级别,采取相应的安全措施,确保所属资产有效且稳定运行, 确保系统防护规则完成更新,并对所发现异常问题及时修复处置
日报提交
1. 当日日报提交规范:参演人员应及时提交当日工作汇报,确保信 息的及时性和准确性。日报应在当日演习开始前的9:00和演习结 束前的21:00之前提交,提交内容主要包括突发事件的发生时间、 类型、处理过程、处置结果和遗留事项等内容。
WAF、IPS、蜜罐、防火墙、 态势感知等安全设备梳理
汇总
互联网资产台账
企业资产台账总览
内网资产台账
准备阶段-风险排查处置
网络架 构分析
网络拓扑结构分析 全局流量走向梳理 安全能力现状绘制 架构风险问题识别
资产风 险识别
配置核查 漏洞扫描/渗透测试 弱口令专项治理 高频高危专项检查 历史入侵痕迹排查
安全运营人员
3
监控发现组
负责7*24小时现场值守监测内网安全状况,通过 初步分析,及时发现安全事件和异常情况
监控人员
监控人员
公司 主防单位 协防单位
实时监测公司内部整体安全状况,及时发现网络中的异常流量和针对人员安全意识的社工行为
周期性巡检各安全设备和平台的运行状态,确保其运行稳定。对各设备和平台所监控到的告警事件进行初步分析,按攻击类型的不同 筛选可信度较高的告警事件列表 对其所负责的主要设备和平台所监控到的告警事件进行初步分析,筛选出可信度较高的告警事件列表
三、演练阶段
2023.XX.XX - 2023.XX.XX
攻击方使用各种攻击手段,对本单位资产进行攻击和渗透,防守方需采取相应的安全措施,及时发现和处理异常行为。
四、总结阶段
2023.XX.XX - 2023.XX.XX
对演练过程进行评估和总结,分析存在的问题和不足,总结经验教训,提出改进方案和措施,完善安全规章制度。
2023年国家级攻防演习防守保障启动会
目录
一、演习活动说明 二、保障工作介绍 三、重点工作梳理 四、风险识别应对
一、演习活动说明
演习规则概述 演习流程介绍
演习规则概述
演习规则总则
1、演习分值
一般资产被攻陷,扣除少量分值 重要资产被攻陷,扣除大量分值 目标资产被攻陷,扣除全部分值 敏感数据被获取,依据数据重要性扣取分值 也可通过发现风险、上报材料和溯源攻击得分
安全运营人员 业务管理人员 网络维护人员 主防厂家人员
启动阶段-人员职责划分
序号 组别
小组职责
小组成员 成员归属
成员职责
备注
高管
1
统筹领导组
负责责制定安全策略和应急预案,决策重大安全 事件的应对方案
项目相关领导
公司 公司
负责此次演习保障的重大事件决策 把控攻防演习防守保障项目整体进度
负责维护和管理现场的各种设备和系统,并为其
演练目标
规范安全事件操作和处置流程
存在问题的资产 防御与检测能力缺失
演练阶段-演习保障规范
基本要求
1. 参演人员专职脱产:所有值守人员应在正式演习期间暂时脱离其 他工作,专心专职的负责演习相关事件的监控和处置
2. 加入内部演习大群:通过内部联防联控保障大群,协同参与演习 工作,加强团队合作意识和沟通能力,提高演习效果和工作效率
发现恶意攻击开展源溯源反制
1. 收集攻击相关的日志、文件、数据等信息;
2. 分析攻击的源头、手段、目的等特征;
3. 追踪攻击的传播路径、受害者、攻击者等信息
4. 通过技术手段尝试反制攻击者工具和平台
科目
四
准备阶段-红蓝对抗演练
蓝队(攻击方):模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权 范围内获得业务数据、服务器控制权限、业务控制权限。
二、保障工作介绍
启动阶段工作介绍 准备阶段工作介绍 演练阶段工作介绍 总结阶段工作介绍 //以方案的角度介绍保障工作 //启动会介绍应是整体工作计划的简版 //可结合项目实际情况对内容进行删减
启动阶段-保障团队组建
演习保障团队人员组成结构(示例)
本公司人员:公司领导、安全运营部门、网络维 护部门、业务管理部门等
2. 协防单位值守时间:白班:9:00-21:00 /晚班:21:00-9:00,负责 平台类的协防单位建议全程现场值守,负责设备类的协防单位建 议晚班为远程值守(提供联系方式)
主方厂家人员:项目管理、监控值守、技术专家 协防厂家人员:监控值守 远程参与人员:情报运营、技术支持
统筹领导组
保障支撑组
· 监控发现组
安全运营人员 主防监控人员 协防监控人员
研判分析组 安全运营人员 业务管理人员 主防厂家人员
应急处置组
安全运营人员 业务管理人员 网络维护人员 主防厂家人员
追踪溯源组
敏感数据。
演练流程介绍
一、启动阶段
2023.XX.XX - 2023.XX.XX
组建演练团队并划分人员职责,确定本次参与人员及演练目标,制定演练方案,并进行必要的准备工作。
二、准备阶段
2023.XX.XX - 2023.XX.XX
开展风险评估工作,识别并处置安全隐患,组织人员进行安全培训和准备,通过模拟演练来评估现有安全能力。
项目经理
确保各小组的协作和合作
项目经理
公司 主防单位 主防单位
负责演习安全保障工作的组织,协调各组、各分支机构之间的工作开展 提供安全事件处置意见、技术支持和决策建议,直至事件处理完成 负责对演习安全防守报告材料审核和修改,并进行防守成果的上报
准备阶段-已有问题闭环
历年攻防演习问题闭环
历年参演发现的主要问题及解决 思路
针对演习结束后下发的风险清单 复查情况
针对历年问题的风险规避措施及 相关要求
日常安全运营问题闭环
目前内部遗留的安全问题、数量 及整改情况
针对目前如上问题的闭环措施及 相关要求
针对演习期间提出的各类要求 (如:非必要系统暂缓上线)
信息安全事件分析
安全意识 考核
③ 通过试题考核检测
④ 利用钓鱼邮件测评
安全意识 测评
准备阶段-对抗场景演练
为有效应对攻防演习期间可能发生的各类安全事件,检验保障团队在事件突发时的协 同配合与应急处置能力,将围绕如下四个科目组织专项对抗场景的演练工作。
科目
一
监测发现恶意主机高频扫描
1. 确认是否为真实威胁,例如排除误报等情况。 2. 采取防御措施,例如封禁源IP、限制访问 3. 对事件进行记录:源、目的、行为和影响资产
业务管理人员
6
追踪溯源组
还原攻击路径及攻击手法,并对攻击者的真实身 份进行溯源分析,输出攻击者画像
网络运维人员
应急人员
公司
提供应用系统的中间件日志、应用会话日志、应用报错日志等数据
公司 主防单位
提供网络层的策略配置、访问流量和网络会话等数据
还原网络入侵攻击路径,定位攻击突破入口及受影响资产范围,结合互联网威胁情报对攻击者进行真实身份的溯源分析,输出网络攻 击源和威胁样本进行画像
安全运营人员
公司
协调内部相关人员参与配合突发安全事件的应急处置过程
对突发安全事件进行快速处置,包括IP封堵、资 业务管理人员
5 应急处置组 产隔离、漏洞修复或升级安全措施等,根除内部
风险并提供加固建议
网络运维人员
应急人员
安全运营人员
公司
清除或处理业务中的攻击工具(webshell)、异常账号等攻击载体;定位业务漏洞位置,快速完成漏洞加固工作
安全运营人员
4
研判分析组
负责对安全事件进行二次分析,协调资源确认安 全威胁的真实性及其影响范围
业务管理人员
公司 公司
确认突发事件所涉资产归属单位、部门、联系人员和联系方式 核实业务是否受突发漏洞影响、业务功能和业务状态是否正常,协助技术人员完成研判
研判人员
主防单位 通过专业工具和技术手段,对监控发现组流转的各类可疑告警事件进行深入分析研判,确认攻击是否成功及受影响资产范围
红队(防守方):通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置;红蓝双方汇报 成果,共同复盘,沟通攻防过程中的优点与不足,结合安全防护体系现状探讨安全建议。
发现演练目标安全防护薄弱点, 入侵目标网络
拦截所有攻击行为,保证资产、 数据不被攻击者控制和获取
风险识别
漏洞
弱口令
获取目标单位资产权限、业务数 据和业务控制权
准备阶段-资产核查梳理
互联网资产核查
• 互联网IP地址网段 • 互联网出口映射表 • 互联网资产清单 • 关联域名及子域名 • 常见弱口令、漏洞
内网资产梳理
• 内网安全域划分 • 内网主机存活探测 • 内网服务开放情况
探测 • 集权设备资产梳理 • 安全设备资产梳理
生成 生成
企业信息泄露的情况
GitHub,微信公众提交:建议在8:30和20:30前完成所在班次日报提 交,内容应包括当天的工作进展、安全事件的情况和处理情况等。
3. 主防单位日报提交:需收集汇总各值班人员相关日报数据,在 09:00和21:00前完成日报数据的归并,输出完整的当日日报信息
值守时间
1. 内部人员值守时间:白班:9:00-21:00 /晚班:21:00-9:00,建议 白班为现场值守,晚班为远程值守(提供联系方式)
防御能 力评估
边界防护能力评估 内网防护能力评估 终端防护能力评估 产品检测能力评估 运营分析能力评估
防护策 略优化
产品规则更新 访问控制优化 告警规则优化 误拦误报优化 防护策略优化
安全能 力补足
安全能力现状分析 安全能力补充建议
准备阶段-安全意识强化
为了增强攻防演习期间全员网络安全意识、强化信息安全保护、防范各种网络攻击和威胁,将根据企业 内部员工岗位和职责的不同,定制多类型、多场景的安全意识培训活动。
易被攻陷的高危主机
开放高风险服务端口 非常见协议、存在高 频高危漏洞的主机
存在恶意行为的主机
发起DDoS攻击,扫描,漏洞 攻击…
互联网资产 收集
值得关注的IP和域名
对外开放数据库登录页面, 非有效业务界面,web登 录没有使用加密协议
互联网资产现状
对外提供的服务,该 IP关联的域名和子域 名信息
工信部ICP备案
序,例如:财务系统、OA系统系统、资产管 理系统、项目管理系统等。
对企业的生产和核心业务运行起到至关重要的数据 和应用程序,例如生产控制系统、物流管理系统等。
本次演练我单位目标资产为:XXX系统
对企业生产和运营具有至关重要的价值、涉及到 组织核心机密、财务数据、客户信息、战略 规划、知识产权和关键业务数据等重要信息的
科目
三
内网主机失陷被控应急响应
1. 确认受影响资产,隔离主机和检查感染情况 2. 收集样本并分析,确定攻击手法和目的 3. 清除恶意驻留软件和完成漏洞加固修复 4. 进行溯源和日志分析,排查其他潜在威胁
攻防演习 对抗场景
科目
二
研判确认某系统被漏洞利用
1. 确认漏洞类型、真实性和影响范围 2. 判断受影响资产是否遭受攻击并提供加固建议 3. 采取防御措施,例如封禁源IP、限制访问 4. 对事件进行记录:源、目的、行为和影响资产
备案信息
汇总
内网网络区域情况
各区域信息收集、区域隔离情 况收集、区域防护措施收集
内网主机存活情况
服务器资产探测、办 公网主机探测、其他 类主机探测
内网服务开放情况
WEB服务、数据库服务等各类 服务开放情况探测
内网资产收 集
集权设备资产表
堡垒机、域控、云平台、 虚拟化平台等集权设备梳 理
内网安全设备资产表
公司 主防单位
公司
配合应急需求,对网络层策略进行调整(如终端隔离断网、网络权限关闭等)
参照已定义的应急处置预案与流程,对而已攻击源进行攻击遏制(封堵/隔离),阻断来自内网的攻击入口或攻击跳板,清除攻击工具、 异常账号和驻留程序,快速定位产生安全事件的风险隐患点,提供有效可执行的修复和加固建议
协调相关人员配合开展情报预警、威胁排查、事件追踪和溯源取证工作
2、演习攻略
被动:监测发现、分析研判、应急处置 主动:通报预警、协同联动、追踪溯源
3、演习成绩
根据安全防护能力强弱对防守方进行得分排名:
优秀、较好、中等、较差
一般资产 重要资产
目标资产
敏 感 数 据
通常指企业内部的办公终端、打印机和内部通讯工 具等,该类资产对企业的生产和运营影响较小。
对企业的生产和运营产生较大影响的数据和应用程
和防御措施、个人信息保护方法等知识,提升整体安全意识水平。
专项意识培训
网络安全法
②
全员邮件/公文宣传 安全图文/海报/易拉宝
安全意识 宣传
专
①
题 类
课
程
网络钓鱼与社工
弱口令及数据安全
日常生活与办公安 全注意事项
常见网络攻击及防 御措施
3. 加强安全保障措施:各系统、设备管理人员和运维厂家,需提高 保障级别,采取相应的安全措施,确保所属资产有效且稳定运行, 确保系统防护规则完成更新,并对所发现异常问题及时修复处置
日报提交
1. 当日日报提交规范:参演人员应及时提交当日工作汇报,确保信 息的及时性和准确性。日报应在当日演习开始前的9:00和演习结 束前的21:00之前提交,提交内容主要包括突发事件的发生时间、 类型、处理过程、处置结果和遗留事项等内容。
WAF、IPS、蜜罐、防火墙、 态势感知等安全设备梳理
汇总
互联网资产台账
企业资产台账总览
内网资产台账
准备阶段-风险排查处置
网络架 构分析
网络拓扑结构分析 全局流量走向梳理 安全能力现状绘制 架构风险问题识别
资产风 险识别
配置核查 漏洞扫描/渗透测试 弱口令专项治理 高频高危专项检查 历史入侵痕迹排查
安全运营人员
3
监控发现组
负责7*24小时现场值守监测内网安全状况,通过 初步分析,及时发现安全事件和异常情况
监控人员
监控人员
公司 主防单位 协防单位
实时监测公司内部整体安全状况,及时发现网络中的异常流量和针对人员安全意识的社工行为
周期性巡检各安全设备和平台的运行状态,确保其运行稳定。对各设备和平台所监控到的告警事件进行初步分析,按攻击类型的不同 筛选可信度较高的告警事件列表 对其所负责的主要设备和平台所监控到的告警事件进行初步分析,筛选出可信度较高的告警事件列表
三、演练阶段
2023.XX.XX - 2023.XX.XX
攻击方使用各种攻击手段,对本单位资产进行攻击和渗透,防守方需采取相应的安全措施,及时发现和处理异常行为。
四、总结阶段
2023.XX.XX - 2023.XX.XX
对演练过程进行评估和总结,分析存在的问题和不足,总结经验教训,提出改进方案和措施,完善安全规章制度。
2023年国家级攻防演习防守保障启动会
目录
一、演习活动说明 二、保障工作介绍 三、重点工作梳理 四、风险识别应对
一、演习活动说明
演习规则概述 演习流程介绍
演习规则概述
演习规则总则
1、演习分值
一般资产被攻陷,扣除少量分值 重要资产被攻陷,扣除大量分值 目标资产被攻陷,扣除全部分值 敏感数据被获取,依据数据重要性扣取分值 也可通过发现风险、上报材料和溯源攻击得分
安全运营人员 业务管理人员 网络维护人员 主防厂家人员
启动阶段-人员职责划分
序号 组别
小组职责
小组成员 成员归属
成员职责
备注
高管
1
统筹领导组
负责责制定安全策略和应急预案,决策重大安全 事件的应对方案
项目相关领导
公司 公司
负责此次演习保障的重大事件决策 把控攻防演习防守保障项目整体进度
负责维护和管理现场的各种设备和系统,并为其
演练目标
规范安全事件操作和处置流程
存在问题的资产 防御与检测能力缺失
演练阶段-演习保障规范
基本要求
1. 参演人员专职脱产:所有值守人员应在正式演习期间暂时脱离其 他工作,专心专职的负责演习相关事件的监控和处置
2. 加入内部演习大群:通过内部联防联控保障大群,协同参与演习 工作,加强团队合作意识和沟通能力,提高演习效果和工作效率
发现恶意攻击开展源溯源反制
1. 收集攻击相关的日志、文件、数据等信息;
2. 分析攻击的源头、手段、目的等特征;
3. 追踪攻击的传播路径、受害者、攻击者等信息
4. 通过技术手段尝试反制攻击者工具和平台
科目
四
准备阶段-红蓝对抗演练
蓝队(攻击方):模拟黑客的动机与行为,探测企业网络存在的薄弱点,加以利用并深入扩展,在授权 范围内获得业务数据、服务器控制权限、业务控制权限。
二、保障工作介绍
启动阶段工作介绍 准备阶段工作介绍 演练阶段工作介绍 总结阶段工作介绍 //以方案的角度介绍保障工作 //启动会介绍应是整体工作计划的简版 //可结合项目实际情况对内容进行删减
启动阶段-保障团队组建
演习保障团队人员组成结构(示例)
本公司人员:公司领导、安全运营部门、网络维 护部门、业务管理部门等
2. 协防单位值守时间:白班:9:00-21:00 /晚班:21:00-9:00,负责 平台类的协防单位建议全程现场值守,负责设备类的协防单位建 议晚班为远程值守(提供联系方式)
主方厂家人员:项目管理、监控值守、技术专家 协防厂家人员:监控值守 远程参与人员:情报运营、技术支持
统筹领导组
保障支撑组
· 监控发现组
安全运营人员 主防监控人员 协防监控人员
研判分析组 安全运营人员 业务管理人员 主防厂家人员
应急处置组
安全运营人员 业务管理人员 网络维护人员 主防厂家人员
追踪溯源组
敏感数据。
演练流程介绍
一、启动阶段
2023.XX.XX - 2023.XX.XX
组建演练团队并划分人员职责,确定本次参与人员及演练目标,制定演练方案,并进行必要的准备工作。
二、准备阶段
2023.XX.XX - 2023.XX.XX
开展风险评估工作,识别并处置安全隐患,组织人员进行安全培训和准备,通过模拟演练来评估现有安全能力。
项目经理
确保各小组的协作和合作
项目经理
公司 主防单位 主防单位
负责演习安全保障工作的组织,协调各组、各分支机构之间的工作开展 提供安全事件处置意见、技术支持和决策建议,直至事件处理完成 负责对演习安全防守报告材料审核和修改,并进行防守成果的上报
准备阶段-已有问题闭环
历年攻防演习问题闭环
历年参演发现的主要问题及解决 思路
针对演习结束后下发的风险清单 复查情况
针对历年问题的风险规避措施及 相关要求
日常安全运营问题闭环
目前内部遗留的安全问题、数量 及整改情况
针对目前如上问题的闭环措施及 相关要求
针对演习期间提出的各类要求 (如:非必要系统暂缓上线)
信息安全事件分析
安全意识 考核
③ 通过试题考核检测
④ 利用钓鱼邮件测评
安全意识 测评
准备阶段-对抗场景演练
为有效应对攻防演习期间可能发生的各类安全事件,检验保障团队在事件突发时的协 同配合与应急处置能力,将围绕如下四个科目组织专项对抗场景的演练工作。
科目
一
监测发现恶意主机高频扫描
1. 确认是否为真实威胁,例如排除误报等情况。 2. 采取防御措施,例如封禁源IP、限制访问 3. 对事件进行记录:源、目的、行为和影响资产
业务管理人员
6
追踪溯源组
还原攻击路径及攻击手法,并对攻击者的真实身 份进行溯源分析,输出攻击者画像
网络运维人员
应急人员
公司
提供应用系统的中间件日志、应用会话日志、应用报错日志等数据
公司 主防单位
提供网络层的策略配置、访问流量和网络会话等数据
还原网络入侵攻击路径,定位攻击突破入口及受影响资产范围,结合互联网威胁情报对攻击者进行真实身份的溯源分析,输出网络攻 击源和威胁样本进行画像
安全运营人员
公司
协调内部相关人员参与配合突发安全事件的应急处置过程
对突发安全事件进行快速处置,包括IP封堵、资 业务管理人员
5 应急处置组 产隔离、漏洞修复或升级安全措施等,根除内部
风险并提供加固建议
网络运维人员
应急人员
安全运营人员
公司
清除或处理业务中的攻击工具(webshell)、异常账号等攻击载体;定位业务漏洞位置,快速完成漏洞加固工作
安全运营人员
4
研判分析组
负责对安全事件进行二次分析,协调资源确认安 全威胁的真实性及其影响范围
业务管理人员
公司 公司
确认突发事件所涉资产归属单位、部门、联系人员和联系方式 核实业务是否受突发漏洞影响、业务功能和业务状态是否正常,协助技术人员完成研判
研判人员
主防单位 通过专业工具和技术手段,对监控发现组流转的各类可疑告警事件进行深入分析研判,确认攻击是否成功及受影响资产范围
红队(防守方):通过设备监测和日志及流量分析等手段,监测攻击行为并响应和处置;红蓝双方汇报 成果,共同复盘,沟通攻防过程中的优点与不足,结合安全防护体系现状探讨安全建议。
发现演练目标安全防护薄弱点, 入侵目标网络
拦截所有攻击行为,保证资产、 数据不被攻击者控制和获取
风险识别
漏洞
弱口令
获取目标单位资产权限、业务数 据和业务控制权
准备阶段-资产核查梳理
互联网资产核查
• 互联网IP地址网段 • 互联网出口映射表 • 互联网资产清单 • 关联域名及子域名 • 常见弱口令、漏洞
内网资产梳理
• 内网安全域划分 • 内网主机存活探测 • 内网服务开放情况
探测 • 集权设备资产梳理 • 安全设备资产梳理
生成 生成
企业信息泄露的情况
GitHub,微信公众提交:建议在8:30和20:30前完成所在班次日报提 交,内容应包括当天的工作进展、安全事件的情况和处理情况等。
3. 主防单位日报提交:需收集汇总各值班人员相关日报数据,在 09:00和21:00前完成日报数据的归并,输出完整的当日日报信息
值守时间
1. 内部人员值守时间:白班:9:00-21:00 /晚班:21:00-9:00,建议 白班为现场值守,晚班为远程值守(提供联系方式)
防御能 力评估
边界防护能力评估 内网防护能力评估 终端防护能力评估 产品检测能力评估 运营分析能力评估
防护策 略优化
产品规则更新 访问控制优化 告警规则优化 误拦误报优化 防护策略优化
安全能 力补足
安全能力现状分析 安全能力补充建议
准备阶段-安全意识强化
为了增强攻防演习期间全员网络安全意识、强化信息安全保护、防范各种网络攻击和威胁,将根据企业 内部员工岗位和职责的不同,定制多类型、多场景的安全意识培训活动。
易被攻陷的高危主机
开放高风险服务端口 非常见协议、存在高 频高危漏洞的主机
存在恶意行为的主机
发起DDoS攻击,扫描,漏洞 攻击…
互联网资产 收集
值得关注的IP和域名
对外开放数据库登录页面, 非有效业务界面,web登 录没有使用加密协议
互联网资产现状
对外提供的服务,该 IP关联的域名和子域 名信息
工信部ICP备案
序,例如:财务系统、OA系统系统、资产管 理系统、项目管理系统等。
对企业的生产和核心业务运行起到至关重要的数据 和应用程序,例如生产控制系统、物流管理系统等。
本次演练我单位目标资产为:XXX系统
对企业生产和运营具有至关重要的价值、涉及到 组织核心机密、财务数据、客户信息、战略 规划、知识产权和关键业务数据等重要信息的
科目
三
内网主机失陷被控应急响应
1. 确认受影响资产,隔离主机和检查感染情况 2. 收集样本并分析,确定攻击手法和目的 3. 清除恶意驻留软件和完成漏洞加固修复 4. 进行溯源和日志分析,排查其他潜在威胁
攻防演习 对抗场景
科目
二
研判确认某系统被漏洞利用
1. 确认漏洞类型、真实性和影响范围 2. 判断受影响资产是否遭受攻击并提供加固建议 3. 采取防御措施,例如封禁源IP、限制访问 4. 对事件进行记录:源、目的、行为和影响资产
备案信息
汇总
内网网络区域情况
各区域信息收集、区域隔离情 况收集、区域防护措施收集
内网主机存活情况
服务器资产探测、办 公网主机探测、其他 类主机探测
内网服务开放情况
WEB服务、数据库服务等各类 服务开放情况探测
内网资产收 集
集权设备资产表
堡垒机、域控、云平台、 虚拟化平台等集权设备梳 理
内网安全设备资产表
公司 主防单位
公司
配合应急需求,对网络层策略进行调整(如终端隔离断网、网络权限关闭等)
参照已定义的应急处置预案与流程,对而已攻击源进行攻击遏制(封堵/隔离),阻断来自内网的攻击入口或攻击跳板,清除攻击工具、 异常账号和驻留程序,快速定位产生安全事件的风险隐患点,提供有效可执行的修复和加固建议
协调相关人员配合开展情报预警、威胁排查、事件追踪和溯源取证工作
2、演习攻略
被动:监测发现、分析研判、应急处置 主动:通报预警、协同联动、追踪溯源
3、演习成绩
根据安全防护能力强弱对防守方进行得分排名:
优秀、较好、中等、较差
一般资产 重要资产
目标资产
敏 感 数 据
通常指企业内部的办公终端、打印机和内部通讯工 具等,该类资产对企业的生产和运营影响较小。
对企业的生产和运营产生较大影响的数据和应用程