1.1.5 资源的调集_网络靶场与攻防演练-QQ阅读男生都市网

书名：网络靶场与攻防演练
作者名：文武
本章字数：2178字
更新时间：2023-08-28 19:49:55

1.1.5 资源的调集

网络对抗中，最重要的资源就是人，尤其是具备网络攻防实战能力的人。

攻击战队一般会采用针对目标单位的从业人员，以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段。通过技术手段实现系统提权、控制业务和获取数据等渗透目标，来发现系统、技术、人员、管理和基础架构等方面中存在的网络安全隐患或薄弱环节。

攻击战队并不只是一般意义上的黑客。一般黑客以攻破系统、获取利益为目标。攻击战队也有可能以发现系统薄弱环节、提升系统安全性为目标。此外，对于一般的黑客来说，只要发现一种攻击方法可以有效地达成目标，通常就不会再去尝试其他的攻击方法和途径。但攻击战队的目标则是要尽可能地找出系统中存在的所有安全问题，因此往往会穷尽已知的“所有”方法来完成攻击。换句话说，攻击战队人员需要的是全面的攻防能力，而不仅仅是“三板斧”式的几个绝招。

攻击战队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试。而攻击战队一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。渗透测试过程只要验证漏洞的存在即可，而攻击战队则要求实际获取系统权限或系统数据。此外，渗透测试一般都会明确要求禁止使用社会工程学手段（通过对人的诱导、欺骗等方法完成攻击），而攻击战队则可以在确保自身安全的情况下使用社会工程学手段。

攻击战队的资源可以通过定向邀请、竞赛选拔、公开招募和社会动员等方式调集。

从网络靶场的资源要素来看，除战队资源外，支撑网络对抗活动的工具库、安全知识库、其他知识库与支撑资源库也需要积累。其内容分列如下。

（1）工具库

工具库是网络靶场系统的重要组成部分，用于支撑靶场的攻防对抗实训、竞赛演练、人才培养、认证与检测、研究与实验等各类业务或功能。工具库分为攻击工具库、防御工具库和测试工具库三大类，其中攻击工具库与防御工具库尤为重要。

·攻击工具库：包含端口扫描工具、漏洞验证工具、提权工具、SQL注入工具和DDoS类工具等，它们可以由平台管理方所提供，也可以由平台使用者提供，还可以由其他方式提供，但是，都必须经过平台管理者进行验证和授权使用。

·防御工具库：包括防火墙、WAF、病毒查杀、恶意代码专杀、漏洞防护、IDS、IPS和SOC等，它们也由平台管理方所提供，还可以由使用者提供，但是，都必须经过平台管理者进行验证和授权使用。

·测试工具库：较为重要的测试工具有4类。第一类是流量生成型仿真工具，用于实现向所定义的路由和节点发送包含特定内容的特定数据流。所送的数据流可能是真实网络环境下采集的数据流量的回放，也可以是基于特定规测而实时生成的数据流量；第二类是传感器/探针型数据采集工具，用于放置在特定节点，或者是用来采集某种特定数据或特定行为，以便触发下一步仿真测试动作，或者是作为仿真测试结果记录器，在特定节点记录全部或指定的协议和内容的数据；第三类是基于模型的网络应用仿真器，按照从特定实际环境中，针对特定的网络应用所建立的网络行为模型，在该仿真环境中反向实现该项网络应用；第四类是各种测试仪表，如Avalanche、IXIA、BreakingPoint、Core Impact和Codenomicon等。

（2）安全知识库

安全知识库为网络靶场环境构建、攻防对抗演训、安全检测评估与信息安全新技术研究等提供重要能力支持，主要有安全漏洞库、威胁情报库，以及相关的专家系统。

其中安全漏洞库与业界重要的漏洞平台（CNVD、CNNVD、CVE等）对接，面向社会收集大数据安全漏洞，收纳靶场举办各类实战活动挖掘发现的漏洞，持续积累“漏洞银行”。威胁情报[4]是指网络空间中一种基于证据的知识，包括情境（Context）、机制（Mechanisms）、指标（Indicators）、隐含（Implications）和实际可行的建议（Actionable Advice）。威胁情报描述了现存的，或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。广义的威胁情报库可以包含以下安全数据：恶意代码样本与安全漏洞技术信息；IP信誉、DNS信誉、Web信誉、文件信誉和邮件信誉等安全信誉数据；恶意代码的静态特征码、IPS特征规则；恶意软件行为数据、网络攻击行为数据；高级威胁检测模型；攻击工具Profile；黑客画像与APT组织Profile（见图1-11）。

·图1-11 威胁情报包含的内容

（3）其他知识库

其他知识库包括样本数据库、社工知识库、想定生成库、安全模型库、演练脚本库、安全基线库和应急预案库等。

（4）支撑资源库

支撑资源库包括基础镜像资源库、行业应用场景资源库、私有镜像资源库、私有场景资源库和试验结果库等。

·基础镜像资源库中汇总了各种标准的操作系统库、中间件库、数据库和虚拟化资源等常见的应用环境，并已经制作成了虚拟机镜像，可以供所有的试验者调用。

·行业应用场景资源库中包括具有行业背景的业务系统应用场景库，由“网络拓扑+虚拟机镜像+相关安全设备硬件+安全配置”组成，并且由系统管理员根据业务需求设定访问策略决定用户的使用权限。

·私有镜像资源库中包括各个试验者自己制作，并仅应用在自己所从事的试验中的专用镜像资源，这些资源要提交给系统管理员管理，但是按照提交者的要求分配应用权限。

·私有场景资源库中包括由各个试验者自己制作，并仅应用在自己所从事的试验中的专用场景资源，这些资源要提交给系统管理员管理，但是按照提交者的要求分配应用权限。

·试验结果库中提供一定的文件空间给各个试验者，由他们存放试验过程中所产生的试验数据，这个空间是有权限的，建议由申请人自行管理。

本周热推：

VMware vSphere Security Cookbook Kali Linux Intrusion and Exploitation Cookbook Android Application Security Essentials Hands-On Penetration Testing with Kali NetHunter Hands-On Bug Hunting for Penetration Testers