1. 演习分成2 个阶段:重点攻坚阶段(3天)、全面攻击阶段(7天);
  2. 攻坚阶段(第一阶段)的最后一天作为近源攻击时间,其它时段严禁私自开展;近源攻击目标采取分配制,由指挥部及专家组综合分析研讨,确定近源攻击单位分配方案,并于近源攻击实施前将具体目标告知对应攻击队伍领队;
  3. 本次没有限定时间,攻击队打到几点就有对应的人值班。

目标选择

目标单位

本次演习限定目标单位,不限定目标系统。此次攻击未通知防守单位。
2021xx市攻防演练裁判复盘总结 - 图1

靶标系统

掌握的目标单位已定级的二级、三级系统是本次演习的靶标

视同靶标系统

演习中攻击队提交的系统指挥部未掌握的目标单位业务系统,需要由审核组整理后上报演习指挥部,裁判组结合该系统在目标单位的重要性进行评判,如业务系统承担目标单位的关键业务,则按视同目标系统处理;如业务系统在目标单位不承载关键业务,则按攻击路径处理。
视同靶标系统原则

  1. 致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;
  2. 致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;
  3. 致使泄露第一项、第二项规定以外的用户信息、业务信息五万条以上的;
  4. 敏感的涉疫、涉政信息;
  5. 影响县区级规模以上人口工作生活;
  6. 篡改等造成重大政治影响的;
  7. 演习指挥部研判认定的其他情况。

审核分组分工

审核两人一组,目标单位单位一分为二;忙不过来帮助另一组审核。每天负责填写当天比较好的成果(1000分以上)汇总到组长那边向客户汇报。

审核评分-不管什么规则都要统一标准保证公平

常规审核,常规分数确定资产可以直接审核,如果确实是目标系统的靶标系统直接给对应的分数(定级备案的系统二级、三级)。如果未在指定的目标系统中,则需要几个裁判一起去判定该系统的重要性是否达到对该系统进行定级的标准。如果经过裁判组研判能够达到定级水平则按照视同目标系统算分。
特殊报告,审核报告最后阶段,大家都拿不准的信息系统需要**亲自判定。

  1. 审核报告时每个裁判评分把握统一尺度,按照统一标准给分,防止攻击队质疑,没了威信。
  2. 在审核完报告通过或者没有通过,每一项给的分数写清楚、有攻击队需要分但是我们经过判定不能给的也需要写清楚。
  3. 拿下入口没有通知退出演习,先提交先得分、后续内网其他队伍先提交先得分。此次攻击队水平不一,有很多队伍不太会打内网,为了成果最大化。
  4. 演习初期攻击队提交的报告需要攻击队证明来源后期有些不好证明的需要裁判和客户一起来证明,特殊情况需要打电话给防守单位确认资产。
  5. 评分规则根据国家护网规则做了稍微改动,减低了难度。比起其他护网比较少见的是在获取目标系统后需要挂HW攻防演习的LOGO额外加分,特殊评分-xx市政府站群、政务云平台、主干道宣传屏、出租车宣传屏。
  6. 发现演习前攻击事件这一项只有我一个人在审核,提交对应历史前的webshell一般就会给点,如果攻击队提供完整的溯源报告会给300-500。
  7. 溯源方面这次基本是没有相关防守方提交,总体场内不是管理的不是很严格。另外有对应的扣分项并未执行此条,在没有特别大的影响情况下已最终结果为主。
  8. 客户比较关注的信息、涉及个人信息相关;轨迹、征信、财产、生理数据等;涉疫涉政治;对公民生活有重大影响。往往这些客户比较愿意给分。

存在的问题

  1. 对工作分工没有细化,此次护网没有对各个裁判没有做明确的分工,例如目标系统下线应该有单独的人负责这一块,工作中大家觉得要下线的资产,后来都没有去通知。
  2. 策略规则,这次第一阶段都是挑选一些较难的资产前期,攻击队前几天没有产出影响后面的积极性导致此次成果不太理想(一方面)。
  3. 360平台问题,裁判自家攻击队提交的报告在报告记录里没有查看权限,导致审核报告时候没有办法核对报告先后提交的报告,导致有些先提交了没给分给了后提交的攻击队存在一定的误差,被质疑。
  4. 得分规则裁判拿到的得分规则和攻击队看到不同、导致在判完分存在一定的异议。

最后

下午去现场报道后在现场熟悉对应的环境同时和各位裁判专家聊护网相关内容,他们几位都是做过当地一些地市护网裁判有相关经验,在聊天中有些不懂的也会咨询他们,我在裁判这方面是个新手攻击队参加的较多其他裁判评判标准不是很明确也会问我国家、其他省、市如何评判提供建议。

  1. 从客户那边得知省级护网报送过来的资产很多不是他们的,在开始的第一天我也向各位裁判建议;攻击队提交的报告需要在前面证明资产归属。
  2. 前三天(第一阶段)发现攻击队报告一些问题;对成果的描述、攻击路径,攻击方法体现不够详细、证明的截图不关键不知道该截什么图。于是反馈给客户存在这些问题,客户也表示之前一直有这样的问题。在当天下午为攻击队培训相关内容,提供《攻击成果报告协作规范样本》。

  3. 原本以为做裁判会很轻松,审核一份报告有歧义的地方会花很大精力(部分资产归属不明确、但系统看着也很重要就需要裁判去判定),

    1. 另一个身份为攻击队员,在不影响审核报告的情况下做攻击,最后两天只能打到深夜;从开始客户指定统一认证平台,到最后两天加入攻击队伍获取多个重要业务系统权限大量敏感数据;

      裁判视角看攻击队

      站在不同的视角才能发现发现不了的问题。
      规则:很多攻击队伍都没去把攻击规则看一遍、吃透规则,才可以更好的输出。
      报告:上面第二点提供的对成果的描述、攻击路径、攻击方法体现不够详细、缺少关键的截图、以及重要性截图。获取到数据对应数据的内容,以及对应的条数,危害性描述。
      录屏/截屏:

  4. 此次有两个队伍反应获取到靶标,后系统被下线,没有来得及截屏也没有录屏,比较可惜。如果有些处于内网没有截好图,并且没有视频,只能按照提交的内容给分。

  5. 裁判对攻击队提出质疑时提供对应的视频好溯源。
  6. 另外一些口令比较强的提交报告说时弱口令让人难以信服、可以提供对应的证据,burp跑一下证明也比直接提供口令好。

沟通:多与裁判沟通,人都会有一些主观问题。

  1. 对裁判判过有分数异议,如果确实有有力的证据,及时沟通裁判给对应的分。
  2. 裁判拿到的资产和攻击队是一样的,有时候也不太清楚,多向裁判裁判描述裁判有时候觉得差不多分就给了。
  3. 如果裁判确实确认了非目标单位或者不是重要的系统不用强行要分。

    攻击队视角看裁判

    身份特殊此次也承担了攻击队的任务、打没有其他攻击队提交过的目标单位防止质疑。
    报告审核:都是围绕的定级来判定分数,没有关注业务的重要性;例如:此次攻打xx局,拿到了存在xx局业务数据库,并且获取到上报到国家的中间件平台;裁判反馈没有对中间件和数据库定级的。攻防演练应该从多种角度,单纯的从定级角度考虑不太合适