参与hvv的事情还是要想办法规避掉很多坑的。网络安全这个行业现阶段还是主要政策驱动,后面应该是客户意识,现在用户教育成本明显比以前低太多。
1.关于HVV的一个简单流程
首先我带大家从甲方和厂商的角度来分解一下整个护网流程的核心逻辑第一阶段一般由总负责的安全厂商牵头完成:方案制定、用户沟通、设备调研梳理、整体的安全设备防护情况,资产清单收集等工作,便于后续的安全保障工作的划分,这一块工作基本上不需要外聘人员的参与。第二阶段风险自查及修复阶段,这个时候一般一些外聘的安服人员,蓝队人员开始进场,主要工作包括:互联网资产扫描、漏洞扫描、渗透测试、安全基线/配置核查、安全设备策略检查、日志审计情况检查、防护设备完善、之前的一些安全事件的复核、安全整改加固这类具体的工作。第三阶段为攻防预演习阶段,这个阶段就是甲方这边组织的一个小型的攻防演练活动,调研也调研了,检测也检测了,加固也加固了,该修复的也修复了,内部会做一个预测试,由内部人员或者合作厂商这边充当红队人员对现有网络发起攻击,看看目前的工作是不是到位,如果没有做好的地方,会进行二次修复。第四阶段正式演练阶段,就正式开搞了,甲方和厂商一般会分为几个小组,将用户与安全设备厂商、业务系统开发商、运维厂商等人员进行分组、分工,明确职责,开展相关工作;并且使用HW的防守成果模板撰写成果并上报,一般是看人员的数量,有的会身兼数职。最后一个阶段基本是厂商项目经理的事情了,外聘的一些工程师这个时候一般就解放了。看到这里,大家基本能对流程有一个大体的了解,所以说安全厂商一般是全程参与的,由于整个过程时间比较紧,任务量比较大,造成了人手匮乏的局面,所以有一部分外聘的兄弟就会被安排在第2-4阶段。大家可以通过这个过程的具体事情去掌握自己所需要的一些核心技能点。第二阶段 基本就是Web安全方面的点点滴滴,这就考验平时大家的动手能力和项目经验了,搞SRC搞的多的同学基本一看就明白了。第四阶段 基本是各种跟甲方合作的安全厂商的一些设备的监测,日志分析和IP封堵等,大家可以针对性的熟悉一下安全设备的监测,因为日志分析和IP封堵基本没太有技术含量的,懂Web安全和渗透测试基本一看就会了,当然部分厂商会对自己的合作伙伴进行短期的产品培训的关于面试方面,基本上考核的就是一些技能点,最重要的是心理素质,项目经验和技能点。当然也有一些中间商让大家把简历做的漂亮一些,把各种CNVD,SRC挖洞经验都写进去,可以说意义不大。面试官基本几句话就能问出你的级别了。所以说对于刚入行不久的兄弟,大家还是要抱着一种学习的心态,因为这种面试不太考验你的格局和学习能力,因为项目时间太短了,所以大家可以对部分技能点进行深入的学习,最重要的是提升自己的项目经验,做的多了感觉就有了,多经历几个项目,感觉就有了。最后说一下,护网是一个对安全产业非常有助推作用的一件事,包括对于安全从业人员,大家做了这么多年的安全服务,应该是深有体会的,所以说对于部分人员说的过于形式主义,我是不认可的。我觉得后面对于行业人员协同以及厂商协同来做一些事,不管对于客户还是行业都是特别有帮助的,取之互联网,用之互联网,包容,学习,希望大家一如既往的做多安全行业!2.资料
下面是我为大家找的几个面试方法论和红蓝对抗的几个面试知识点:https://github.com/Leezj9671/Pentest_Interview/blob/master/HR%E9%97%AE%E9%A2%98.mdhttps://github.com/Leezj9671/Pentest_Interview/blob/master/%E9%83%A8%E5%88%86%E9%9D%A2%E8%AF%95%E9%97%AE%E9%A2%98%E8%AE%B0%E5%BD%95.md
http://blog.sina.com.cn/s/blog_4d8b08bd0102w88w.html
https://www.sohu.com/a/169167390_721061
https://rbu.h5.xeknow.com/s/3Lo7UK
网传的HW指的就是护网,从2020年起,就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一,是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。护网攻防演练这个概念是从2016年开始有的,在国家相关网络安全监管机构的推动下,网络安全演习工作日益得到重视,从而分出红队和蓝队,由红队担任攻击方、蓝队担任防守方,通过一定规则限制下进行实战网络攻防演练,即红蓝对抗。而本文主要以蓝队角色为中心视觉,下面介绍护网蓝队工作组划分。预演阶段也叫准备阶段,对于甲方来说,这个准备时间可能是1~3个月不等,甚至更长,每家企业的准备时间都不一样。对于兼职外援来说,这个时间通常为期10天较多,具体看甲方需求。这里只针对兼职外援,描述其在预演阶段时的大致工作内容,如下: 1. 资产梳理
Tips - 资产梳理的工作主要分为业务系统资产、设备资产、外包或第三方服务资产,通常这项工作都是由甲方运维人员主要负责,而兼职外援通常需要协助甲方运维人员一起进行梳理。
2. 主机基线扫描
3. 主机系统加固
4. 私设资产收集
5. 安全渗透测试
Tips - 实际上,预演阶段的工作内容都说不准,毕竟部分企业预演阶段的时候就已经开始模拟红蓝对抗了,所以会在蓝队当中挑选人员组织成红队进行模拟演练,这种情况下,就会模拟正式阶段按分组进行工作,就无需进行资产梳理、基线扫描、系统加固、渗透测试等工作。
在正式防护阶段中,重点加强防护过程中的安全保障工作,各组人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。Tips - 正式阶段各组的工作内容如下文的第三点(0x03) ↓↓↓Tips - 在正式阶段结束后,会进入为期1~2天的复盘阶段,具体事项为总结本次护网攻防演练的工作成果并在会上进行汇报,红蓝两队双方的领队负责汇报情况。
Tips - 监控组人员需要懂得使用各种厂商的安全设备,如360天眼、知道创宇云图等,还要懂得分析流量,毕竟不是一发现监控平台上存在告警就立马汇报的,一些很明显是误报的告警是无需汇报的,在反馈给研判组之前,其监控组人员本身要对此告警进行一次分析,分析后无法确定,再汇报至工作群当中,由研判组进行研判。上图为参考,每个工作单位的汇报模板都有一定差异,主要根据现场指挥中心的要求去汇报研判组:负责实时研究判断监控组反馈的高危告警是否为误报Tips - 研判组人员需要实时响应监控组反馈的高危告警事件,判断高危告警事件是否属于安全设备的误报行为,无论是否属于误报行为都要将针对此告警事件的结果回馈给监控组以及指挥中心。若判断为误报行为,则无需升级事态,向工作群回馈即可。若判断为攻击者行为,则需要分析具体攻击事件情况并反馈至指挥中心。上图为参考,每个工作单位的汇报模板都有一定差异,主要根据现场指挥中心的要求去汇报Tips - 研判组反馈后,如果为攻击事件,则处置组以及溯源组的人员需要等待指挥中心的安排,随时准备应急处置。通常处置组人员要多和甲方企业的相关运维人员进行沟通,因为有部分企业只允许自己的运维人员上机操作,所以如果处置组人员无法上机操作的时候,就没办法处置,只能将当前事件情况和处置方法反馈给甲方企业的相关运维人员。Tips - 在研判组确认攻击事件后,溯源组同样处于一个应急响应状态,需要等待指挥中心的安排,随时进行攻击事件的溯源。关于溯源的思路,后面会对此进行总结。那么溯源组人员在没有需要溯源的事件的时候,就主要负责溯源攻击者相关信息,通常会通过监控平台的攻击者指纹信息功能进行查看,再结合相关溯源攻击者身份的手段进行溯源。(当然不排除闲余时间在各大安全群摸鱼 )反制组:负责反制钓鱼邮件中的钓鱼网站或者通过社工的方法反制红队Tips - 反制组和溯源组都能够得分,基本上蓝队的得分都由这两组负责,关于蓝队得分规则,下文会提及到。关于蓝队如何进行反制,后面会对此进行总结。除了上面的5个分组,还有一个领队,专门负责安排每个组的工作并统筹每个组的工作内容,当然具体负责的事项肯定不止这些,还有各种与甲方企业项目负责人、领导之间的沟通汇报,预演阶段的各项工作安排,复盘阶段的工作汇总、文档撰写等等,我有幸担任过一次领队,那工作量真的挺大的,经常睡梦正浓的时候被电话惊醒 ,基本上一有问题第一时间就会找上你,吐槽一万字<省略>通常蓝队指挥中心由甲方企业管理层组织并任命专人负责领导,主要负责组织和统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制,以及对演习活动中各类突发事件进行决策。Tips - 这里对此不赘述太多,不是外援需要深入了解的东西,知道有这东西存在即可。
0x05 护网蓝队得分规则
下图为2020年网络攻防演习评分规则(防守方)
图片摘自:小迪师傅博客
http://www.xiaodi8.com/?id=216
Tips - 针对以上得分规则,我这里罗列出一些比较好得分的点2. 反控攻击方服务器(通常只能反控到攻击方用于钓鱼的跳板机)4. 发现webshell、木马、账号异常(较少,难度较大,攻击方进入内网后会隐匿好自己,避免触发告警,这需要监控人员对全流量日志分析的足够仔细)0x06 护网蓝队应急响应
关于应急响应,很多人以为一上来就是各种查系统日志、查WEB日志、分析流量信息。然而,这种做法是错误的。通常应急响应的都是安全监控平台上出现的高危告警事件,借助平台上的流量监控功能,可以有效确定攻击事件的时间和攻击事件的类型,再不者也可以缩小攻击时间范围。当我们确定了攻击事件的时间/时间段以及攻击事件的类型,那么再开始进行系统分析,这样才能最高效的进行应急响应工作。
所以,当应急响应工作展开时,这两点非常重要:
确定攻击事件的时间/时间段
确定攻击事件的类型
在这两点确定之后,就可以进行系统分析了,关于系统分析,整体思路如下:
<系统分析>
Tips - 以上都是系统分析需要的检查项,后面会对此进行总结。
应急响应包括应急处置和应急溯源,所以在HW中,当研判组研判此告警事件为成功攻击告警事件时,处置组和溯源组是要同时应急响应起来的。这里要对应急处置特别说明一下,应急处置分临时处置和完全处置。举个例子,假如告警事件为Webshell上传成功,那么完全处置当然是将Webshell进行删除并将漏洞入口封堵起来(即漏洞修复),但是完全处置花费的时间较长,所以就需要做临时处置的处理。
0x06 总结
在HW阶段,工作时间通常为7*8(三班倒)或者7*12(两班倒),周末不停歇,持续进行15天。当然如果是两班倒,真的够呛。
首先想说一下hvv这件事对于行业本身、对于国家的网络空域防护是很好且很重要的事情,但是对于防守企业,可能会出现加班情况或者在实操过程中会觉得只有封堵IP的这种无技术含量工作,导致了部分甲方人员进入了疲于应付的状态。hvv这一活动的加入,肯定会出现阵痛的短暂效应,不过长期来看,是很必须的。
很多甲方在hvv过程中怕出现问题,怕担责任,其实整个事件就是为了发现更多的问题,如果没有发现安全问题,没有提升甲方整个安全合作生态方的协同作战能力,如果没有提升自身的应急能力和更好的应急优化流程,那将是非常可惜的。对于企业来说就是一次练兵。大家都知道,如果是在真实的攻击行动中,就算是一个web网站,为了一步步贴近目标,一般也要半月,甚至APT要潜伏5到10年才能拿到自己想要的数据。所以如果攻击方的时间仅有两周或者三周,且目标比较多的情况下,只能自动化、工具化。对于防守和预检测而言要有体系,有节奏。一.宏观视角
我们从宏观角度大体看一下这个行业里面的市场、产品和产业链条
从客户角度,可分为企业市场(to B)与个人市场(to C)。 | | |
| 1.按照行业划分,如工业、运营商、金融、政府、制造、能源、教育、交通、医疗等客户2.按照规模划分,如大型客户、中型客户、小微客户等 | 1.企业有明显的行业特征与IT需求,内部有从计划、采购、运营到使用的角色链2.关注成熟产品与技术,关注整体的安全解决方案,重视与安全企业的长期合作 |
| 面向个人客户,比如个人电脑使用者或手机互联网用户等 | |
可分为安全硬件、安全软件、安全服务三类。当然,现在其实很多硬件和产品也都趋向于服务化了。 | | | |
| | | |
| |
| |
| |
| |
| | |
| | | 防病毒、Web应用防火墙、反垃圾邮件系统、数据防泄漏系统、数据加密系统、终端安全管理软件等 |
| | 零信任、数字证书身份认证系统、身份管理与访问控制系统等 |
| | |
| |
| |
从产业链视角,可分为客户、主管机关、安全企业、潜在竞争对手。 | | |
| | |
| 1.国家级主管机关:网信办、公安部、工信部、银监会、证监会等2.行业级主管机关:运营商、金融、能源等有行业主管机关发布行业政策和标准 | 信息安全行业有较强的合规性需求,主管机关发布的政策对客户影响较大,自身也是客户。 |
| 2.系统集成商:为客户选择合适产品,提供安全解决方案3.安全服务提供商:为客户提供安全运营、安全服务、安全咨询、安全运维等服务 | 产品提供商、系统集成商、安全服务提供商是产业链的不同分工,相互之间也存在重叠与渗透 |
| 1.从上下游角度看,信息系统提供商,比如操作系统厂商、数据库厂商、应用系统厂商会增加产品的安全功能,或者开发独立安全产品,会挤压安全企业。越来越多的大中型客户成立自己的IT公司,出现客户IT公司研发安全产品、提供安全服务的情况,对安全企业产生影响。2.越来越多的安全企业在巩固资深优势领域之后,通过投资并购、战略合作、OEM等不同方式,扩大产品线,加强解决方案能力。3.个人市场企业向企业市场渗透,奇虎、腾讯等在强大资本的运作下,对企业安全市场造成冲击。 | |
二.HVV本身
1.安全厂商
HVV中,很多厂商的销售会首先跟客户那边沟通,规划大体的一个hvv防守用人需求出来,只不过有的厂商怕耽误事不敢提前预定外包的人,有的厂商会提前预定人。HVV中,很多厂商希望自己的产品能力可以得到展示,还是想通过hvv的时候想办法提供部分产品切入甲方的,平时采购需求较少。2.分包商
目前出现的HVV服务分包商解决的到底是哪些问题,分包商利用的是信息不对称或者是认知不对称的问题,也就是说,厂商没有那么大的精力去维系蓝队人员,也没有那么多信息流去搞定蓝队人员,所以就出现了分包商来弄这其中的事情。分包商弄这个事情是为了盈利,也有的是为了打造自己的IP,为进一步搞定其他方面的事情做铺垫,比如说HVV他们可以少赚一点,可能在接下来的培训等事情上增加收益。hvv盈利点无非在于扩大人员的规模、提升面试的通过率、降低用人成本还有就是整个的过程优化、增加用户的粘性,无非就是从这些角度去操作。现在的厂商都不傻,后面的考核应该会逐渐严格。如果是纯外包公司,甲方给的项目费用至少是人员成本的1.5-2倍才有利润的操作空间,不懂的可以看一下下面这个https://www.zhihu.com/question/403853848/answer/1306615354如果是短期外包,就像hvv这种,因为从厂商那边谈的价格基本都是按人天的价格计算,分包商只能赚中间的差价。假如说厂商给到的人员价格一天是1800,给厂商供给30个人或者50个人的大体利润率如下。这里面没有包含生源成本,还有时间、培训成本等,所以说这个钱还是不太好赚的。
如果你想做分包或者操作里面的事情,下面的流程思路可供参考:
微信群-意向统计-安排面试-技术评级-谈待遇-签订协议
1.生源过来后首先统一安排在技术沟通交流群
2.微信群公告投放 《意向统计表》进行接收意向人员报名信息;并投放《常见问题解答FAQ》及《公开课培训计划》
3.根据意向统计表里面的报名信息,对中高等级人员接收一次个人简历,并拉入项目人员群,安排面试
4.项目人员可选择进行一次公益hvv流程类培训
5.课程培训、面试培训,增加面试通过率,最后分发可能出现的面试题,并让人准备面试。
6.学员储备风险,需要应对人员流失问题,所以需要多储备些人
那么选手如果想多赚点,就直接去对接厂商。今天暂时写到这里。