2025护网行动防守方经验分享:从备战到决战的全方位防护
2025护网行动防守方经验分享:从备战到决战的全方位防护
2025年的护网行动(HW行动)中,作为防守方参与演练的经历,从5月份的准备到6月份的正式攻防,本文将分享在备战期、临战期和决战期的具体准备工作和应对措施。
护网行动的三个阶段
备战期
在备战期间,主要做了两件事情:减小攻击面和排查风险点。
减小攻击面:通过多轮暴露面排查,对无用页面、无用系统进行下电处理,将部分系统迁入内网,最终使客户对外仅开放几个端口,大大降低了攻击面。
排查风险点:主要进行了人工渗透测试和webshell排查。在渗透测试中发现了一个系统的功能模块存在权限漏洞;在webshell排查中,发现了2232个后门文件及10个疑似后门文件,但未发现可执行的木马文件。
临战期
在临战初期,客户举行了两场攻防演练,发现了备战期的不足之处:
忽视非WEB漏洞:在备战期对风险点进行排查时侧重于WEB漏洞而忽视了其他漏洞的渗透及验证,导致在演练时被攻击方通过中间件漏洞攻破。
VPN安全问题:VPN的用户名及密码明文存储在APP中,被攻击方成功反编译出密码,直接进入内网。
针对这些问题,采取了以下措施:
中间件漏洞处理:及时升级补丁,删除相关被利用的war包,对每个操作进行截图记录。
VPN账号安全:不再将账号密码写死在APP中,改为通过验证码登录,并对APP进行混淆处理。
此外,客户在临战期陆续部署了安全设备,包括WAF、IPS等防御设备,以及主机探针、网络流量监控等监控设备。
决战期
决战期的关键是应对每个安全事件的处置。人员分工如下:
统筹组:对重大决定进行决策,统筹整个防守工作。
监控组:对安全设备进行7*24小时监控,派发、跟踪、反馈安全威胁。
研判组:对监控组发现的攻击行为进行技术研判。
网络处置组:在防火墙上对攻击方进行IP封锁。
应用处置组:对发现的攻击和漏洞进行风险处置、安全加固。
根据监控设备告警划分风险等级,制定了两个风险处置流程:
主机探针告警:监控人员告知应用处置人员进行风险排查确认,同时通知网络处置组进行攻击IP封锁。确认风险存在后,立即进行断网处置,并进行溯源取证和风险处置。
其他安全设备告警:监控组将发起攻击源IP告知网络处置组进行封堵,同时将发现的告警信息发送给研判组进行研判,根据研判结果通知应用处置组进行风险排查。
总结
整个过程下来,有以下几点收获:
明确客户的所有开放资产,锁好每个入口。
每个环节都应进行闭环管理,确保有效管控。
应急演练的重要性,提前演练真实攻防场景,明确安全事件处置流程。