行业背景

当前,网络安全事件频发,往往给客户单位带来很大损失。伴随着信息化的深入发展,关键信息基础设施相关单位的整体安全防护意识也在提升,各单位迫切需要培养具有高水平的综合类网络安全防护人才,组建防护技术团队,提升自身网络安全保障技术能力。传统的网络安全技术培训大多从攻击视角进行,而当客户需要开展模拟真实环境、为自身培养具备实战经验人才的防守类人才时,则急需对防守(蓝队)团队的高水平实战化培训。因此,奇安信推出了模拟实战场景的蓝队实训方案。

客户需求

• 通过实训培养高水平的网络安全防守专业人才;
• 能够借助实训,为网络安全防护相关岗位安排适合的人员,组建自有网络安全防护团队;
• 能够通过场景化蓝队实训服务解决现有网络安全防护岗位人员能力不足的情况;
• 有计划地对自身的防守团队进行系统化、体系化的持续性实操训练。

解决方案

实训课程内容

奇安信场景化蓝队实训课程为期5天,具体的课程体系大纲如下:

时间

主题

主要内容

第一天

全流量威胁分析

1、   使用天眼分析设备,掌握常见的基本配置

2、   分析天眼流量,在请求数据中提炼关键信息

3、   学会使用过滤如:端口过滤、IP过滤、关键字过滤等

第二天

攻击技术解析

1、   WEB服务器的常见攻击手段如,漏洞攻击、弱口令、中间件攻击等

2、   漏洞攻击的常见手段和原理如,文件上传、SQL注入、命令执行

3、   后渗透的常思路,权限提升、获取关键信息、清理入侵痕迹

第三天

场景化防御技术

1、   处理网页挂马场景,针对JS挂马,图片挂马、嵌入挂马等环境,发现问题、解决挂马的页面

2、   还原钓鱼攻击的场景,包括邮件钓鱼、网站钓鱼、连接钓鱼等,处理钓鱼事件,分析钓鱼手法,避免被钓鱼

3、   还原机器被远程控制的场景,查看端口、TCP连接情况、分析恶意进程等、处理外连情况

4、   还原网站被SQL注入,分析SQL注入流量、判断注入点,判断注入是否成功

5、   还原文件上传场景、查看上传流量、获取上传页面、分析上传之后的操作、及时处理webshell

6、   还原命令执行漏洞的场景、分析漏洞的所在页面,分析远程执行的命令、并及时补救

第四天

攻击链路与战术解析

完整的模拟攻击场景包括:信息收集、漏洞利用、内网收集、横向渗透、构建通道、持久控制、清理痕迹等,通过完整的攻击链分析,防守人员做出相应的防御手段和补救措施,尽量找出攻击者的攻击痕迹,攻击手法,还原攻击手段、猜测攻击目的

第五天

成果考核

1、对防御知识的考核、对所学知识的总结和巩固

 

实训操作内容

攻击手段检测

场景化蓝队实训平台会模拟当前的主流攻击技术,展现攻击者通过互联网访问Web服务器,植入后门、构建通道、横向移动、内网渗透、持久控制、获取数据、清理痕迹等进行攻击的行为,在此过程中,学员作为蓝队,可以通过查看流量分析设备、分析系统日志等手段予以识别和发现,并通过相应的流程、工具、方法、策略加以防御和处置。

攻击链路复盘

场景化蓝队实训中的攻击设计,将根据ATT&CK攻击链路和战术手段,搭建极为贴近现实环境的场景,模拟完整的攻击过程与攻击链路,包括初始化访问、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。以上过程的设计将保证每一步的攻击都有依据可寻,由学员在老师的指导下依次通过监控分析发现,并进行关联及完整攻击链条的还原。

攻击检测设备使用

场景化蓝队实训平台中创新的以虚拟化的方式,配置天眼流量分析设备,更加直观的看到攻击的方式和攻击意图,并且可以第一时间的防御模拟场景中的网络攻击行为,进而持续追踪找到攻击源。以上对天眼设备的使用能力,将会对学员在未来工作中使用天眼设备保护本单位网络安全起到极大的帮助。

 

模块化场景

场景化蓝队实训的内容,从多个安全防护技术及主流防护攻击的相关知识点出发,以模块化的核心思路,设置若干模拟现实中提供常见网络服务的业务场景,让学员利用所学知识和掌握的工具、数据资源,监控、分析、发现各个模块场景中的网络攻击行为,并且采取有效的应对措施进行恰当的处置,将攻击行为给系统带来的风险和影响降到最低。

目前的标准场景化蓝队实训课程中,包含由奇安信网络安全攻防专家精心设计和构建的初级、中级、高级三个级别的实战场景模块:


专有场景化蓝队实训平台

场景化蓝队实训依托奇安信专有的实训平台,该平台以真实的网络环境为基础搭建,融入了虚拟化的天眼、椒图等网络安全防护产品,以及防火墙、蜜罐等主流防护产品,通过模拟真实的黑客攻击,让参加实训的学员作为“蓝队”成员,以身临其境的仿真体验,更好地学习和掌握网络安全防御手段,提高学员在未来工作中的网络安全分析与网络安全防护能力,成为真正的“蓝队防守专家”。下图为实训平台体系架构示意图。


实训成果检验

场景化蓝队实训,在最后的成果考核阶段,会有专门设计的学习效果实战检验考核题目,需要学员将自身置于日常的工作状态下,在没有任何提示的情况下,登录系统,综合使用安全检测与防护设备、工具进行查看和分析,通过所学的知识进行正确的操作、给出正确的答案,以此来检验学员在实训中的学习效果,加深学员的印象。

客户价值

技术与品牌
奇安信集团根据自身在网络安全技术领域的优势,在蓝队实训课程中将模拟的攻击行为按照现实中攻击者的思路进行阶段化的分类,让蓝队学员充分了解目前黑客攻击的完整流程,明白所发现的攻击处于哪个过程和阶段,从而帮助蓝队人员更好地做出决策、进行有效的防御。
奇安信处于国内网络安全技术领域的前沿阵营,依托技术与品牌方面的优势,奇安信已多次肩负国家重大活动的网络安全保障工作,并在提供网络安全实训服务方面成为业界前沿的安全厂商之一。
大量优秀师资储备
奇安信拥有多位资深网络安全渗透测试领域专家及工程师作为场景化蓝队实训专家讲师。专家讲师拥有至少3年以上的信息安全从业经验,并经过系统的教学能力实训和考核,能够充分保证所实施的场景化蓝队实训教学的高质量,实训效果广受客户好评。
丰富的实施经验
奇安信为包括电力、运营商、金融、石油化工、军工、交通、教育、医疗等众多行业的客户,提供优质的网络安全实训服务,客户满意度极高。依托所积累的丰富经验,奇安信在网络安全知识体系规划、课件编制、习题设计与上机实际操作设计方面,都能充分把握行业发展的前沿变化,为客户单位提供效果不错的网络安全实训服务。
完善的网络安全人才培养体系
奇安信在网络安全攻防渗透技术、安全产品管理、安全运营、信息安全意识等多个网络安全知识领域,提供丰富的实训产品,每年为国家培养大量高水平的网络安全优秀人才。在为客户单位提供网络安全实训的过程中,能够根据客户单位的实际需要,协助客户单位建立层次化的、完善的网络安全人才培养体系,逐步丰富客户单位的网络安全人才类别,并持续提升既有网络安全人才自身的知识水平与能力,选拔优秀的人才不断深造,学习和掌握安全运营、高级渗透测试、应急响应等对个人能力要求更高的网络安全技术知识。 

应用场景

客户单位获得的价值
• 培养高水平的、具有较强防守技术与实操能力的防护岗位人员、建立防护团队;
• 为参加国家有关部门组织的实战演习及本行业内安排网络安全防护工作做好充分的准备工作;
• 在客户单位内部培养员工学习积极性,营造学习信息安全技术的良好氛围。
学员获得的价值
• 了解和掌握当前主流防护技术、产品综合使用知识,培养信息安全技术方面的学习兴趣;
• 熟练掌握相关网络安全防护实操能力,有效提升个人网络安全防护能力;
• 通过评测,优秀学员将加入所在单位安全防护团队,获得个人荣誉。