2021HW启动,护网行动从2016年开始,是一场由公安部组织的网络安全攻防演练,目的是针对全国范围的真实网络目标为对象的实战攻防活动,旨在发现、暴露和解决安全问题,检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。参加演练的单位不断增加,一般持续时间2-3周,一般护网演练在白天工作日进行,不过攻击方会不分昼夜和休息日进行。
文章图片
2016年护网,基本上是你的业务系统有网络应急响应预案,定期做演练就好,对攻击者没有过多的要求,同时,演练的基础设施基本上是内网系统,对业务系统对外访问有严格的限制,通过网闸,外网业务系统演习期间拔网线等骚操作,基本搞定,也体现不出来的攻击者的价值。
2017年护网,政府部门开始参与进来,那么对外访问的政府网站成为了本阶段攻击的重点,比上2016年不同的地方是,这次网站是不能关闭的,当然也存在被攻击时拔网线的情况,但是攻击方确实能发现很多web漏洞拿下网站,当然,政府网站的建设和第三方开发公司本身做的就很烂。这期间也涌现出了一大批护网专用安全产品和解决方案,例如:关键基础设施监控平台(实时监控全国政务网站),政务网站向政务云(xstack承载)迁移,专业的安全交给专业的团队去做,政务云渗透测试项目也多了起来。
2018年护网,参与的单位新增企事业单位,这个阶段才出现了真正有价值的攻击团队,因为大家都是背靠背的方式,事先不会通知,不知道攻击目标,也不会明确攻击手段。而且在网上招募民间黑客组织,一天一万块的诱人奖金,导致很多政府与企事业单位的网站、业务系统沦陷。防守方虽然没什么长进,但是这阶段,安全纵深防御体系的建设项目多了起来,包括:抗D、WAF、漏洞扫描、渗透测试、主机安全、态势感知、数据库审计、堡垒机。
【学习经验|什么是HW行动】2019年护网,参与单位就更多了,涉及到政务、能源、金融、电信、广电、交通、民航、公共事业,这期间攻击方把精力都放到社会工程学,新型免杀木马、0day使用等攻击手段,因为2018年使用的线上攻击手段也被有纵深防御安全体系拦截,获取权限的攻击成本过高,所以,攻击方事先做了充分的0day挖掘的准备,例如:当时出现的深信服SSLVPN 0day,同时,通过万能钥匙入侵wifi网络,通过钓鱼邮件、IM发送免杀木马等社工入侵方法也运用的相当熟练。