freeBuf
攻防演练 | 得分规则
2024-05-20 09:42:59

又要到护网的时候了,我总结了护网的加分规则,可以查看下表,但内容上有一些是我自己补充的,不可能完整的和组委会完全一致。但可以根据这个来学习,并根据内容分配自己的队伍。

以我个人为例,因为我的主要工作内容为蓝队方向,所以我这次的学习路线如下:

1715264762_663cdcfadd15977d4355b.png!small

加分规则 :
1、防守方的扣分是多支攻击队从该防守方获取的成果总分。
2、防守方加分包括:基础得分与附加分。
3、基础得分是根据防守方提交的成果报告逐一打分后累加的总得分,每个报告对应一起攻击事件的处置,分别从监测发现、分析研判、应急处置、 通报预警、协同联动、追踪溯源6方面打分,具体公式为:该起攻击事件被扣分数x各评分点实际得分(百分比)x80%。注:基础得分的上限是攻 击方战果得分的80%。
4、防守方提交的每一份报告围绕一起攻击事件编写,只有属于演习范畴的安全事件(属于已认定的攻击方战果)方可得分,同一起事件不允许出 现在多份报告中。
5、附加分上限为3000分,所有防守方单位都可以提交。
6、防守方提交的报告数量上限为50个。
7、报告要有逻辑性,要提供确凿证据的文字描述和日志、设备界面截图等。
8、本次演习设计了"防护值"公式:(1)防守方被扣分情况下:防护值=(基础得分/扣分+附加分/3000*0.2)*10000; (2)防守方未扣分情况 下:防护值=(0.8+附加分-3000x0.2)x10000。
序号评分点具体评分点评价具体指标
1监测发现(25%)及时性(防守方自证,5%)提交攻击时间、发现时间等
2采用工具或手段(3%)提交监测发现使用的工具或手段包括但不限于:安全设备、态 势感知平台、流量分析等
3覆盖率(结束的时候算总的覆盖率,9%)防守方发现的被控IP(填写被控IP地址、URL、被攻击单位名 称等),占各攻击队控制其IP的总数CSD
4监测发现(25%)有效性(是否能够发现攻击方有效攻击手段, 3%)18 种攻击方有效攻击手段:①互联网侧信息收集②步"重点人 敏感信息收集③供应链信息收集④应用层漏洞利用⑤系统层漏 洞利用⑥钓鱼邮件攻击⑦社工欺骗利用攻击⑧弱☐令攻击⑨网 站木马攻击回内核/内存木马攻击①无线网络攻击②物理接触 攻击③权限提升④授权、认证机制绕过⑤搭建隐蔽通道⑥内网 敏感信息搜集利用国供应链打击⑧内存☐令提取
5分析研判(15%)锁定涉事单位及关联单位(3%)确定该起事件涉及的资产范围、资产所属单位、运营单位等
6锁定主要责任人及相关责任人(3%)确定该起事件的主要责任人、直接责任人、其他具体负责人员 等人员及其相关责任
7分析研判(15%)明确事件性质以及应采取的措施(3%)按照涉事件单位网络安全分级分类管理办法和应急处置预案确 定事件性质及应有的处置方案
8研判攻击的影响范围(3%) 7确定攻击事件对业务连续性、稳定性、数据安全性等带来的影 向,并明确影响范围
97 分析研判采用的工具或手段(3%)在分析研判过程中采用的工具或手段,例如日志提取工具、关 联分析工具及方法、情报提取工具及方法等及发挥的具体作用
10应急处置(25%)抑制攻击的能力(9%)阻断有效攻击源(如IP、物理接口、服务等)(6%)
11处置社会工程学攻击的方式与效果(如何处置)(3%)
12根除攻击的能力(8%)漏洞定位与修复能力(定位漏洞位置,快速修复漏洞)(小时 級)(4%)
13清除或处理攻击工具、异常账号等攻击载体(4%)
14恢复能力(8%)业务整改恢复能力(按时间评分)
15通报预警(15%)准确性(5%)是否能将涉及该事件的时间、影响范围、 危害以及对策措施等 情况,详实准确的通过文字、 图表等形式表达出来
16穿透性(5%)能否将通报预警信息及时传递到一线实战部门和具体责任人
17有效性 (5%)计对该起事件,相关方在接到通报后已在开展陆息治除工港
18协同联动(10%)针对该起事件单位内部安全部门、业务部门、管理1 单位内部各部门之间的联动(2%) 部门等相关部门在处置事件过程中的联动机制、责 任分工及产生的实际效果
19行业内部的各单位的联动(3%)针对该起事件单位行业内部相关单位在处置事件过 程中的联动机制、责任分工及产生的实际效果
20与公安机关、主管部门联动(3%)针对该起事件与属地公安机关、主管部门的联动机 制、联动防御体系、联动效率及产生的实际效果
21与下属单位的联动(2%)针对该起事件单位与下属单位在处置事件过程中的 联动机制、责任分工及产生的实际效果
22追踪潮源(10%)溯源到场内攻击队设备信息(4%)根据路径长度、路径还原完整度和复杂度酌情给分
23溯源到场外攻击队设备信息(2%)根据路径长度、路径还原完整度和复杂度的情给分
24溯源到攻击队员虚拟身份(2%)根据路径长度、路径还原完整度和复杂度酌情给分
25追踪溯源攻击主机或攻击控制主机(2%)根据攻击主机或控制主机的可信度、路径长度、路 径还原完整度和复杂度酌情给分
26附加分项零日漏洞的发现和处置(上限1500分)在演习期间发现零日漏洞攻击事件(提交漏洞特征 原理、利用方法等说明文档,以及POC程序),处 置和采取应对措施及时有效 
27附加分项上报涉及本单位非法攻击线索(在演习期间发 生,在演习范畴之外),并对攻击者画像(上 限1500分)例如木马、后门、逻辑轰炸等,并尝试对攻击者画像,提交攻 击者组织属性或个人属性、所使用的攻击工具、所拥有的攻击 设施,网络活动规律、攻击手法及特点等
二、减分规则
序号类型扣分规则备注
(一) 非正常防守
发现防守方对任意系统非 正常防守,包括封C段,网 站不可用,网站首页被改 为图片,被发现并提交确 切证据每30分钟减10分,5个小时仍来整改的,每30分 钟减20分指挥部研发专门的系统,由攻击队提交防守方非正常防守的线 索证据,系统核验并通知防守方,并给予2个小时处置时间,2 小时后开始扣分,采用滴血式扣分方式,直到防守方改正行为
(二)系统或网络被控:攻击方获得系统权限或突破网络边界,防守方相应扣分
1 权限被控
2陂获取参演单位的域名控 制权限一级域名10
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏