一、什么是HW

HW是指护网行动。“云移大物智”时代，信息网络技术得以快速发展，但是随之而来的是愈演愈烈的网络攻击。尤其是国家关键信息基础设施每时每刻承受着网络攻击的威胁，也已成为国家面临的安全新挑战。严峻的网络安全态势，迫切需要我们在网络安全领域具备“能打硬仗、敢打硬仗”的能力，“HW行动”由此应运而生。

HW行动从2016年开始，是一场由公安部组织的网络安全攻防演练，目的是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全问题，检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。

二、HW的目的及形式

HW行动目的是检测国家关键基础设施与单位备案重要信息系统的安全问题和隐患，检验各单位网络事件监测、安全防护与应急处置，快速协同、应急处突的能力。

目标涉及的行业众多、范围广泛，包含政府、金融、电力、运营商、重点企业等国家关键基础设施行业，每年由选中单位上报资产或国家指定对应关键目标。

形式针对真实关键目标开展红蓝背对背演戏，攻击方在不破坏目标正常业务工作的前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的安全事件开展追踪溯源、应急处置、安全防护工作。

三、红蓝双方

红方即攻击检测方，由国家公安部组织全国各部委、行业专家、网络安全专家进行指挥统筹，由国家网络安全队伍、科研机构、部队、网络安全专家组成攻击检测队伍。

蓝方即防守方，由各参演单位的工作人员组成。

四、攻击方思路分析

攻击方采用渗透测试手段完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节，获取目标权限。各队采用APT攻击手段在短时间内根据攻击检测目标及在信息收集阶段通过资产指纹扫描、漏洞扫描、端口扫描等手段收集到的各种问题进行汇总分析对目标进行攻击渗透。

攻击容易遇到的问题

1. 攻击方由于目标明确，且攻击周期较短，往往采用自动化扫描进行快速的获取目标相关信息，在此过程中容易被监测发现进行针对性封锁与反制。

2. 目标方针对性临时管理外部接口服务，防守方在HW前临时关闭大量外部常用服务，HW期间部分单位采用断网、断电行为无法监测，导致目标量减少。

3. 终端监测及邮箱监测加强，病毒查杀、准入模式及沙箱的部署，致使webshell植入、木马植入、水坑、鱼叉攻击成功率较低。

4. 内外网蜜罐诱捕系统的部署导致攻击方易被捕获。

红队常见突破手段

1、通过安全扫描搜索引擎、利用分布式扫描源迷惑目标监测系统、分布式扫描形式快速获取目标资产信息,根据指纹信息进行逐步分析。

2、针对通用性系统如OA、CMS、堡垒机、安防设备进行分析获取相同版本0day漏洞存储，根据指纹进行针对性漏洞利用。

3、Webshell、木马程序免杀制作，通过rce直接执行powershell、反弹执行控制权。

4、利用搜索引擎及开源源码托管平台进行获取用户信息、源码信息等内容。

5、多方了解不同业务内网构成，熟悉业务情况，精准捕获核心数据。

6、社工攻击手段。

五、防守方思路分析

各单位防守方往往处于被动防守的地位。除去极个别硬件先进、人才配套完善、反追踪、反渗透能力强的单位，绝大多数参演单位由于各方面原因往往处于被动挨揍的尴尬位置。这也符合我国的网络安全抵御攻击现状，绝大多数单位只要做到加强防护意识、严格落实各项防护规定，反制等专业措施交给专业的单位去做。

依据HW行动时间轴可分为四大阶段，分别为备战阶段、临战阶段、决战阶段、战后总结。

备战阶段

目标单位对安全现状排查，进行资产梳理、针对性风险评估、自查自纠、开展安全培训、建立安全防护体系。

临战阶段

部分单位按照HW整体模式开展资产巡查、渗透测试、制定应急预案、开展实战应急演练、依据内外网检测结果进行系统加固及应急优化。

部分单位如果短时间内无法进行加固及优化，建议断电断网。

决战阶段

主要7*24小时现场值守，实时监控安全态势，并对安全事件进行应急响应确保整个重大活动期间的安全保障，包含依据安全审计防护设备告警信息进行实时监控与上报、实时监测重点系统的风险及安全隐患第一时间进行应急处置、现场依据策略调整进行处理突发事件、针对产生的安全事件进行应急溯源分析等。

战后总结

对本次HW的工作成果及不足进行讨论总结，并根据经验持续改进优化网络安全整体建设。

六、总结

最后附上防守方的一个sao操作：

在流量中监视哪台机器执行了“whoami”命令，有奇效！

“正经人谁敲whoami啊。”

“是啊。”

“你敲whoami吗？”

公司介绍

中科安信科技有限公司，简称“中科安信“公司专注于信息化、智能化、网络安全领域，聚焦咨询设计，系统集成、IT运维、信息安全服务、信息安全培训等为一体化的高新技术企业，公司致力于成为业界领先的数字化解决方案及服务提供商。公司服务于政府、医卫、教育、公安、金融、能源、军工、企业、运营商等，为用户提供数字化转型整体解决方案。中科安信业务涵盖信息安全产品、信息安全集成、信息安全服务、信息安全培训四大模块为基石，同时为用户提供数字化转型整体解决方案，帮助用户创造业务价值，降低安全风险，全面为用户数字化转型保驾护航。中科安信秉承以成就客户为使命，共建和谐网络空间，共享网络空间安全。

○首批公安部第三研究所湖北区域技术服务站

○湖北省网络与信息安全通报技术支撑单位

○湖北省信息网络安全协会副会长单位

○重点XX单位网络安全技术支撑服务单位

○武汉国际安全应急博览会重要技术支撑单位

○湖北省HW攻防实战演习重要技术支撑单位

○XX医卫领域信息化及网络及数据安全重要技术支撑单位

○XX政务领域网络及数据安全服务技术支撑单位

○《XX工业领域数据安全分类分级指南》标准起草单位

○恩施州“HW2023”网络攻防演习优秀支撑单位