- 课程目标
本课程旨在培养专业的网络安全蓝队成员,通过系统化的学习和实战演练,使学员能够掌握网络安全防御的核心技能,包括资产测绘、应急响应、系统安全应急溯源分析、网络层溯源分析以及综合攻防演练等。学员将能够熟练运用各种工具和技术,有效应对网络攻击,保障企业信息安全。具体目标如下:
- 增强综合攻防能力:通过综合训练,学员将能够模拟攻击者和企业安全人员,开展对抗练习,提升实战能力和团队协作能力。
- 掌握蓝队核心技能:通过系统的课程学习,学员将掌握蓝队(防御方)在网络安全中的核心技能,包括入侵路线分析、溯源分析、网络犯罪心理分析、痕迹追踪等。
- 提升应急响应能力:课程将重点培养学员在网络安全事件中的应急响应能力,包括快速入侵应急响应、取证分析、日志分析等,确保学员能够在实际工作中迅速应对各类安全威胁。
- 熟悉资产测绘与漏洞管理:学员将学习如何通过资产测绘技术识别网络中的关键资产,掌握漏洞扫描与管理的技巧,确保在重保(重要保障)期间能够有效防范潜在风险。
- 掌握系统与网络层溯源分析:通过Windows、Linux系统以及日志、数据流的应急溯源实操,学员将掌握系统层面的安全排查与加固技巧,并能够利用Wireshark等工具进行网络层溯源分析。
- 综合实战能力提升:通过红蓝对抗演练、网站入侵溯源分析、内网渗透全流程溯源等综合训练,学员将具备从攻击者视角分析问题、制定防御策略的能力,提升整体安全防护水平。
- 职业素养与法律意识提升:课程不仅注重技术能力的培养,还将通过职业素养与法律模块,帮助学员了解网络安全行业的职业发展路径、法律红线及职业道德,提升综合素养。
- 课程特色
- 实战导向:课程全程采用红蓝对抗场景,学员将在模拟的真实攻防环境中进行实操练习,确保理论与实践相结合,提升实战能力。
- 全方位覆盖:课程内容涵盖从资产测绘、漏洞管理到系统、网络层溯源分析,再到综合实战演练,确保学员能够全面掌握蓝队工作的各个环节。
- 最新攻防动态:课程内容根据业界最新的攻防动态设计,确保学员能够接触到最新的攻击手段和防御技术,紧跟行业发展趋势。
- 专属实验环境:每位学员将获得专属的攻防服务器、防火墙、WAF等实验环境,确保每位学员都能在相同的环境中进行实操练习,提升学习效果。
- 双模教学模式:授课老师将分别模拟攻击者和企业安全人员,两类操作分别投影到屏幕上,学员能够直观感受到攻防对抗的全过程,增强临场感。
- 课程亮点
- 红蓝对抗演练:学员将分为红方(攻击者)和蓝方(防御者),进行真实的攻防对抗演练,提升实战能力和团队协作能力。
- 多维度溯源分析:课程不仅涵盖系统层面的溯源分析,还包括网络层、日志等多维度的溯源技术,帮助学员全面掌握溯源技巧。
- 工具实操与案例分析:课程中将大量使用Wireshark、Tcpdump等常用工具进行实操演练,并结合真实案例分析,帮助学员掌握工具的使用技巧和实际应用场景。
- 重保场景沙盘推演:通过重保前期自查、资产梳理、网络安全防护分析等场景的沙盘推演,学员将学会如何在重要保障期间制定有效的防御策略。
- 综合训练与报告编写:课程将通过外部网站入侵、内网渗透等综合训练,帮助学员掌握从日志获取、溯源分析到编写报告的全流程,提升综合分析与报告能力。
- 职业发展指导:课程不仅注重技术能力的提升,还将结合网安知识图谱,为学员提供职业成长的指导,帮助学员规划职业发展路径,提升岗位胜任力。
- 课程大纲
| 课程版块 | 课程模块 | 课程内容 | 课时 |
| 第一篇: 网安蓝队开营课程 | 蓝队入营必修课 | 1 红队入侵路线分析 2蓝队溯源分析人才需求 3 网络犯罪心理分析与痕迹追踪 4 课件、视频与问答 | 2 |
| 职业素养与法律 | 1 蓝队成员成长之路 2 网安知识图谱概览 3 职业素养与红线 | ||
| 素养分析实操必备 | 1 云端实验和证书 2 拓扑与账号分配 3 实验指南与答疑 4 平台接入与验证 | ||
| 第二篇:资产测绘实战 | 因特网资产测绘实践 | 常用的资产测绘手段介绍 | 1 |
| 资产测绘中重点关注的资产类型 | |||
| 主动探测技术原理 | |||
| 主动探测关键工具的使用 | |||
| 服务探测技术 | |||
| 子域名探测工具 | |||
| 第三篇: 蓝队HVV等重保类工作战法 | 重保前期自查工作要点与场景沙盘推演 | 1 HW常规入侵思路 2 HW常用攻击手段 3 HW前期自查工作清单 4 HW前期自查工作要点 5 HVV前期自查工作要点推演 | 3 |
| 重保前资产梳理实战指导 | 1 资产梳理的重要性及作用有哪些 2 资产梳理都应该做什么 3 怎么做资产梳理 4 漏洞扫描如何实施好 | ||
| 重保前网络安全防护分析与场景沙盘推演 | 1 如何做好深度安全防护效果分析 2 网络安全域设计和访问控制如何分析 3 域间访问控制矩阵如何设计和安全确认 4 防火墙规则设计有效性如何评价 5 安全设备配置规则有效性如何评价 6 日志管理和警报能力如何评价 | ||
| 如何快速入侵应急响应与场景沙盘推演 | 1 HW中常见安全事件有哪些 2 常见攻击思路对应的快速应急思考 3 如何开展快速分析与侦查 4 常用分析工具有哪些?如何使用 5 如何开展取证工作 | ||
| 第四篇: 蓝队系统安全应急溯源分析实战 | Windows 系统应急溯源实操 | Windows 系统信息排查及常用命令使用 | 3 |
| Windows 文件排查、网络排查方法 | |||
| Windows 常见后门原理及排查方法 | |||
| Windows 应急响应工具配备和使用 | |||
| Windows 操作系统加固实践(OS+服务) | |||
| Linux系统应急溯源实操 | Linux系统信息排查及常用命令使用 | 6 | |
| Linux文件排查、网络排查方法 | |||
| Linux常见后门原理及排查方法 | |||
| Linux应急响应工具配备和使用 | |||
| Linux 操作系统加固实践(OS+服务) | |||
| 第五篇:网络层溯源分析实战 | Wireshark过滤器使用实践基础 | Wireshark抓包过滤器使用实践 | 3 |
| Wireshark显示过滤器使用实践 | |||
| 利用Wireshark分析TCP三次握手 | |||
| Tcpdump表达式构造 | |||
| Tcpdump使用示例 | |||
| Wireshark在攻击数据流中的实战 | 分析数据包中的sql注入攻击 | ||
| 分析数据包中的XSS攻击 | |||
| 分析数据包中的命令执行攻击 | |||
| 分析数据包中一句话木马 | |||
| 分析数据包中的上传漏洞 | |||
| 分析数据包中暴力破解攻击 | |||
| 数据包中传输的文件逆向分析实践 | |||
| 第六篇:综合训练—外部网站入侵后溯源分析实战 | 网站日志溯源分析 | 日志分析工具软件使用方法 | 3 |
| 网站日志获取、溯源分析及编写报告 | |||
| 网站数据流溯源分析 | 网站访问数据流入侵痕迹分析 | ||
| 网站系统溯源分析 | 网站系统白盒溯源安全分析与应急处置实操 | ||
| 被植入木马的访客终端溯源分析 | 被植入木马终端异常分析与木马查杀 | ||
| 第七篇:综合训练—红队打点到内网渗透全流域溯源分析 | 被打穿的外部网站溯源分析实战 | 外部网站被渗透过程重现 | 3 |
| 网站日志获取、溯源分析 | |||
| 网站访问流量入侵痕迹分析 | |||
| 网站系统白盒溯源安全分析与应急处置实操 | |||
| 内网服务器溯源分析实战 | 内网服务器被渗透过程重现 | 6 | |
| 内部被打穿的业务系统溯源分析 | |||
| 内部被打穿的数据库服务器溯源分析 | |||
| 内网数据流溯源分析 |
- 培训平台
课程全程采用红方和黑客攻防对抗场景讲授与演练,攻防对抗场景为根据业界最新攻防动态而设计出来,授课老师将为每个学员分配专有的攻防服务器及防火墙、WAF等,所有的服务器及防火墙统一部署在“实战云端平台”上,学员参加学习时只要自带笔记本电脑即可实践练习。
教师:分别模拟攻击者和企业安全人员,两类操作分别投影到屏幕上,让学员有临场感。
学员:学员分为红方和蓝方,分别模拟攻击者和企业安全人员,开展对抗练习。
课程前提前准备实操环境,每位学员环境相同,每位学员实验环境涉及到15台靶机及防火墙、堡垒机、WAF等。
