本文为整个专题的第五篇,前面完成了方案设计、攻击模拟、应急响应,接下来是对应急响应过程及结果进行点评,在每一个“模拟-应急”之后,组织参与人员提交应急响应报告,由红队组长、防护组长、运营组长和aerfa一齐审阅,并按照评分要点对每份报告进行评价,最终输出评语和选出最佳团队。
在一期模拟(从SQLi攻击到挖矿与权限维持专题)中,收到5份应急响应报告;二期模拟(内网Linux与Windows横向漏洞攻击),增加了2个小组,收到8份报告(有一个小组写了2份报告,最短都是20+页,最长能达到50+页),每份看完至少在30min以上。评委需要提前去熟悉攻击流程、攻击点及对应的时间点,又要关注整体的应急逻辑、证据充分性、推断正确性等多个方面,难度极大。
01
—
评分要点
应急响应报告质量如何,怎么评价呢?为了能较好的落地,抓主要关键点进行提炼,总结了一些要点来评价应急响应做的好与坏。由于本次专项针对的是应急响应实战能力,故从以下三个方面来进行评估:
02
—
应急捕获攻击点对比表
第I期模拟后,评委拿着5个小组的应急响应报告进行阅读,虽说报告模板格式统一,但是交上来的内容和质量不一,更别提某个攻击细节的分析了。在第II期中,红队一位负责攻击的同学主动看了所有应急报告,把每个小组命中的攻击点都列出来、并与自己的攻击路线逐一比对,输出对比表给评委,极大提高了评分环节的效率。
(表格原创于前内部蓝军成员--番茄)
以表格中“组别-攻击矩阵”的方式来总结,显得十分清晰,这不仅减轻了评委的工作量,同时也是一种针对复杂场景梳理要点的最佳实践。不过也通知了评委不能仅靠这张图表进行评分,需要关心报告中的细节。
03
—
应急响应评分要点表
表格中的其他项,不都是针对应急响应的考核。由于在实际的业务场景中,涉及到情况可能比较复杂,比如需要和业务方(客户)沟通、过程分析交流、编写报告反馈等软技能,所以在本课题中一并把这些内容的也纳入进行评分。
应急组别 | 评委点评栏 | 评委署名 | |||||||
---|---|---|---|---|---|---|---|---|---|
攻击链分析与复原情况 | 做得好之处 | 不足之处 | 其他项 | 总体评分(优秀/良好/一般/不及格) | 最佳应急响应报告投票(写“最佳”+换行写明理由) | ||||
应急响应步骤与方法 | 攻击点与证据充分性 | 攻击链的复原完整度 | |||||||