CHIMA網絡安全攻防大賽經驗分享

比賽模式

第一輪：20分鐘基礎知識賽（50道題）

安全運維，法律法規，linux操做系統等

第二輪：50分鐘CTF奪旗（5道題）

題目涵蓋

密碼學

運用多種工具，如ASCII對照，古典密碼，凱撒密碼，柵欄密碼，BASE64，莫斯解密等等對各種變形加密的符號文字等進行解密，提交答案

WEB題

運用多種工具，設置本地代理抓包、改包，找出Web漏洞，如注入，XSS，文件包含等

安全雜項

流量分析，電子取證，數據分析等

逆向工程

要求使用OD進行反編譯，設置斷點程序破解

隱寫術

題目的flag會隱藏到圖片、視頻、音頻等各種數據載體中，要求選手獲取提交）等等內容

第三輪：60分鐘攻防混戰（前20分鐘windows靶機安全加固，後40分鐘攻防混戰）

安全加固主要是針對操做系統進行安全加固，包括修改端口號，作服務器ipsec安全策略，註冊表的修改，隱藏用戶的刪除，webshell的查殺，防火牆的開啓與設置，準備各種補丁包等等

攻防混戰則是各戰隊模擬網絡中的黑客，在防守己方服務器的同時要尋找對方的漏洞並攻擊對方得分。（主辦方提供一臺用於生成flag的服務器，只要攻破這個服務器，就會獲得一個flag字符串，咱們須要找到對方靶機的漏洞，並在對方靶機上執行訪問生成flag服務器的命令curl，在比賽平臺上提交flag）

CTF經常使用工具

• 在線工具：http://ctf.ssleye.com/對於編碼、雜項問題

• CMD5：https://www.cmd5.com/MD5加密解密

• Burp Suite：抓包攻擊工具，很是強大，能夠進行包分析、包僞造、包攔截等

• Nmap：強大的端口掃描工具，能夠探測主機是否在線、主機開了哪些端口、推斷主機的操做系統等

CTF經常使用題庫網站

• CTF工具整合庫：http://www.ctftools.com/

CTF國內綜合練習題庫：

• BUGKU：https://ctf.bugku.com/
• xctf題庫網站：https://adworld.xctf.org.cn/competition
• 合天網安實驗室：http://www.hetianlab.com/CTFrace.html
• 西普實驗吧：http://www.shiyanbar.com/ctf/
• I春秋CTF：https://www.ichunqiu.com/

攻防演習效果

攻防演習工做組

防守工做任務內容

第一階段：準備階段

• 網絡路徑梳理

對目標系統相關的網絡訪問路徑進行梳理，明確系統訪問源（包括用戶、設備或系統）的類型、位置和途徑的網絡節點，繪製準確的網絡路徑圖。

• 關聯及未知資產梳理

梳理目標系統的關聯及未知資產，造成目標系統的關聯資產清單、未知資產清單。

• 專項應急預案確認

專項應急預案的梳理，肯定應急預案的流程、措施有效，針對應急預案的組織、技術、管理流程內容進行完善，確保可以有效支撐後續演習工做

• 增強安全監測防護體系

梳理當前已有的安全監測和防護產品，對其實現的功能和防護範圍進行肯定，並根據已梳理的重要資產和網絡路徑，創建針對性的臨時性（租用或借用）或者長久性（購買）的安全監測防護體系

第二階段：安全自查和整改階段

• 一、互聯網暴露信息檢查

互聯網敏感信息暴漏將給客戶網絡安全帶來極大的隱患。敏感信息主要有資 產信息、技術方案、網絡拓撲圖、系統源代碼、帳號、口令等。可經過技術、 管理和服務等方式開展互聯網暴露敏感信息的發現及清理相關工做。

• 二、 互聯網資產發現

互聯網資產發現服務經過數據挖掘和調研的方式肯定資產範圍，以後基於IP 或域名進行互聯網資產進行掃描發現，經過對發現的資產進行確認，將遺漏的 資產歸入保護範圍。

• 三、威脅感知系統部署

威脅感知系統可基於自有的多維度海量互聯網數據，進行自動化挖掘與雲端 關聯分析，提早洞悉各類安全威脅。同時結合部署本地的大數據平臺，進行本 地流量深度分析。

• 四、 蜜罐系統部署

互聯網資產發現服務經過數據挖掘和調研的方式肯定企業資產範圍，以後基 於IP或域名進行互聯網資產進行掃描發現，經過對發現的資產進行確認，將遺 漏的資產歸入保護範圍。

• 蜜罐部署位置

• 五、主機加固實施

在內部業務服務器上安裝部署監控服務端，實現網絡及系統層攻擊攔截，攻 擊方式捕獲、漏洞發現，漏洞修復，補丁管理，系統加固，訪問控制，應用隔 離，威脅感知，系統資源監控，應用性能監控等功能。

• 六、網絡安全檢查：網絡架構評估、網絡安全策略檢查、網絡安全基線檢查、安全設備基線檢查；

• 七、主機安全檢查：操做系統、數據庫、中間件安全基線，主機漏洞掃描；

• 八、應用安全檢查：應用系統合規性檢查、漏洞掃描、滲透測試

• 九、運維終端安全檢查：運維終端安全策略、基線，漏洞掃描

• 十、日誌審計：網絡、主機（操做系統、數據庫、中間件）、應用、安全設備

針對本次目標系統中網絡設備的日誌記錄進行檢查，確認可以對訪問和操做行爲進行記錄； 明確日誌開通級別和記錄狀況，並對未能進行日誌記錄的狀況進行標記，明確改進措施。

• 十一、 備份有效性檢查：備份策略檢查、備份系統有效性檢查；
• 十二、安全意識培訓：針對本次演習參與人員進行安全意識培訓，明確演習工做中應注意的安全事項；
• 1三、安全整改加固

第三階段：攻防預演習階段

攻防預演習是爲了在正式演習前，檢驗安全自查和整改階段的工做效果以及 防禦小組否能順利開展防守工做，而組織攻擊小組對目標系統開展真實的攻擊。

經過攻防預演習結果，及時發現目標系統還存在的安全風險，並對遺留（漏） 風險進行分析和整改，確保目標系統在正式演習時，全部發現的安全問題均已 獲得有效的整改和處置。

第四階段：正式護網階段

各崗位人員各司其職，從攻擊監測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源等方面全面增強演習過程的安全防禦效果。

• 一、安全事件實時監測

藉助安全防禦設備（全流量分析設備、Web防火牆、IDS、IPS、數據庫審計 等）開展攻擊安全事件實時監測，對發現的攻擊行爲進行確認，詳細記錄攻擊 相關數據，爲後續處置工做開展提供信息。

• 二、事件分析與處置

根據監測到安全事件，協同進行分析和確認。若有必要可經過主機日誌、網絡設備日誌、入侵檢測設備日誌等信息對攻擊行爲進行分析，以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，並對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。

• 三、威脅情報共享

對於通過分析已經確認的攻擊事件，將攻擊事件涉及的IP地址、攻擊方式，攻擊行爲和相關威脅情報等整理後進行共享，可根據提供的IP地址等信息進行鍼對性的日誌或流量查詢和分析，判斷本地是否發生此類攻擊行爲，共同打造攻擊防禦情報網。

• 四、防禦總結與整改

總結本次攻防演習各階段的工做狀況，包括組織人員、攻擊狀況、防守 狀況、安全防禦措施、監測手段、響應和協同處置等，造成總結報告並向有關 單位彙報。 針對演習結果，對在演習過程當中還存在的脆弱點，開展整改工做，進一步提 高目標系統的安全防禦能力。

參考

https://bcs.qianxin.com/pdf/0749948417c217f4d86c53db1e3b89cd.pdf