比賽模式
第一輪:20分鍾基礎知識賽(50道題)
安全運維,法律法規,linux操作系統等
第二輪:50分鍾CTF奪旗(5道題)
題目涵蓋
密碼學
運用多種工具,如ASCII對照,古典密碼,凱撒密碼,柵欄密碼,BASE64,莫斯解密等等對各類變形加密的符號文字等進行解密,提交答案
WEB題
運用多種工具,設置本地代理抓包、改包,找出Web漏洞,如注入,XSS,文件包含等
安全雜項
流量分析,電子取證,數據分析等
逆向工程
要求使用OD進行反編譯,設置斷點程序破解
隱寫術
題目的flag會隱藏到圖片、視頻、音頻等各類數據載體中,要求選手獲取提交)等等內容
第三輪:60分鍾攻防混戰(前20分鍾windows靶機安全加固,后40分鍾攻防混戰)
安全加固主要是針對操作系統進行安全加固,包括修改端口號,做服務器ipsec安全策略,注冊表的修改,隱藏用戶的刪除,webshell的查殺,防火牆的開啟與設置,准備各類補丁包等等
攻防混戰則是各戰隊模擬網絡中的黑客,在防守己方服務器的同時要尋找對方的漏洞並攻擊對方得分。(主辦方提供一台用於生成flag的服務器,只要攻破這個服務器,就會得到一個flag字符串,我們需要找到對方靶機的漏洞,並在對方靶機上執行訪問生成flag服務器的命令curl,在比賽平台上提交flag)
CTF常用工具
-
Burp Suite:抓包攻擊工具,非常強大,可以進行包分析、包偽造、包攔截等
-
Nmap:強大的端口掃描工具,可以探測主機是否在線、主機開了哪些端口、推斷主機的操作系統等
CTF常用題庫網站
- CTF工具整合庫:http://www.ctftools.com/
CTF國內綜合練習題庫:
- BUGKU:https://ctf.bugku.com/
- xctf題庫網站:https://adworld.xctf.org.cn/competition
- 合天網安實驗室:http://www.hetianlab.com/CTFrace.html
- 西普實驗吧:http://www.shiyanbar.com/ctf/
- I春秋CTF:https://www.ichunqiu.com/
攻防演習效果
攻防演習工作組
防守工作任務內容
第一階段:准備階段
- 網絡路徑梳理
對目標系統相關的網絡訪問路徑進行梳理,明確系統訪問源(包括用戶、設備或系統)的類型、位置和途徑的網絡節點,繪制准確的網絡路徑圖。
- 關聯及未知資產梳理
梳理目標系統的關聯及未知資產,形成目標系統的關聯資產清單、未知資產清單。
- 專項應急預案確認
專項應急預案的梳理,確定應急預案的流程、措施有效,針對應急預案的組織、技術、管理流程內容進行完善,確保能夠有效支撐后續演習工作
- 加強安全監測防御體系
梳理當前已有的安全監測和防御產品,對其實現的功能和防御范圍進行確定,並根據已梳理的重要資產和網絡路徑,建立針對性的臨時性(租用或借用)或者長久性(購買)的安全監測防御體系
第二階段:安全自查和整改階段
- 1、互聯網暴露信息檢查
互聯網敏感信息暴漏將給客戶網絡安全帶來極大的隱患。敏感信息主要有資
產信息、技術方案、網絡拓撲圖、系統源代碼、賬號、口令等。可通過技術、
管理和服務等方式開展互聯網暴露敏感信息的發現及清理相關工作。
- 2、 互聯網資產發現
互聯網資產發現服務通過數據挖掘和調研的方式確定資產范圍,之后基於IP
或域名進行互聯網資產進行掃描發現,通過對發現的資產進行確認,將遺漏的
資產納入保護范圍。
- 3、威脅感知系統部署
威脅感知系統可基於自有的多維度海量互聯網數據,進行自動化挖掘與雲端
關聯分析,提前洞悉各種安全威脅。同時結合部署本地的大數據平台,進行本
地流量深度分析。
- 4、 蜜罐系統部署
互聯網資產發現服務通過數據挖掘和調研的方式確定企業資產范圍,之后基
於IP或域名進行互聯網資產進行掃描發現,通過對發現的資產進行確認,將遺
漏的資產納入保護范圍。
- 蜜罐部署位置
- 5、主機加固實施
在內部業務服務器上安裝部署監控服務端,實現網絡及系統層攻擊攔截,攻
擊方式捕獲、漏洞發現,漏洞修復,補丁管理,系統加固,訪問控制,應用隔
離,威脅感知,系統資源監控,應用性能監控等功能。
-
6、網絡安全檢查:網絡架構評估、網絡安全策略檢查、網絡安全基線檢查、安全設備基線檢查;
-
7、主機安全檢查:操作系統、數據庫、中間件安全基線,主機漏洞掃描;
-
8、應用安全檢查:應用系統合規性檢查、漏洞掃描、滲透測試
-
9、運維終端安全檢查:運維終端安全策略、基線,漏洞掃描
-
10、日志審計:網絡、主機(操作系統、數據庫、中間件)、應用、安全設備
針對本次目標系統中網絡設備的日志記錄進行檢查,確認能夠對訪問和操作行為進行記錄;
明確日志開通級別和記錄情況,並對未能進行日志記錄的情況進行標記,明確改進措施。
- 11、 備份有效性檢查:備份策略檢查、備份系統有效性檢查;
- 12、安全意識培訓:針對本次演習參與人員進行安全意識培訓,明確演習工作中應注意的安全事項;
- 13、安全整改加固
第三階段:攻防預演習階段
攻防預演習是為了在正式演習前,檢驗安全自查和整改階段的工作效果以及
防護小組否能順利開展防守工作,而組織攻擊小組對目標系統開展真實的攻擊。
通過攻防預演習結果,及時發現目標系統還存在的安全風險,並對遺留(漏)
風險進行分析和整改,確保目標系統在正式演習時,所有發現的安全問題均已
得到有效的整改和處置。
第四階段:正式護網階段
各崗位人員各司其職,從攻擊監測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源等方面全面加強演習過程的安全防護效果。
- 1、安全事件實時監測
借助安全防護設備(全流量分析設備、Web防火牆、IDS、IPS、數據庫審計
等)開展攻擊安全事件實時監測,對發現的攻擊行為進行確認,詳細記錄攻擊
相關數據,為后續處置工作開展提供信息。
- 2、事件分析與處置
根據監測到安全事件,協同進行分析和確認。如有必要可通過主機日志、網絡設備日志、入侵檢測設備日志等信息對攻擊行為進行分析,以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息,並對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。
- 3、威脅情報共享
對於經過分析已經確認的攻擊事件,將攻擊事件涉及的IP地址、攻擊方式,攻擊行為和相關威脅情報等整理后進行共享,可根據提供的IP地址等信息進行針對性的日志或流量查詢和分析,判斷本地是否發生此類攻擊行為,共同打造攻擊防護情報網。
- 4、防護總結與整改
總結本次攻防演習各階段的工作情況,包括組織人員、攻擊情況、防守
情況、安全防護措施、監測手段、響應和協同處置等,形成總結報告並向有關
單位匯報。
針對演習結果,對在演習過程中還存在的脆弱點,開展整改工作,進一步提
高目標系統的安全防護能力。
參考
https://bcs.qianxin.com/pdf/0749948417c217f4d86c53db1e3b89cd.pdf