网络安全培训的内容.docxVIP

网络安全培训的内容

第一章重新认识“安全”

1.1从“合规”到“生存”

过去十年，网络安全预算从“有就行”变成“没有就死”。勒索软件让生产线停一分钟损失42万元，数据泄露让IPO暂停18个月。安全不再是审计表上的√，而是现金流、股价、品牌甚至人身安全的最后一道阀门。

1.2新公式：风险=概率×损失×恢复时间

传统教材只谈“概率×损失”，但实战里真正杀死企业的是“恢复时间”。把恢复时间从7天压到2小时，等效于把概率降到1/84。培训的第一件事，是让所有人学会用“小时”而不是“百分比”衡量事故。

1.3人的位置

Gartner2023报告：82%的入侵入口是“活人”。技术堆得再高，也挡不住一个被钓鱼的财务。因此课程设计把60%的课时放在“人”的环节，技术只占40%。

第二章攻击者视角：七天剧本杀

2.1第一天情报收集

攻击者用GoogleDork、企业工商查询、员工脉脉匿名区，30分钟就能拼出一张“组织架构图”。培训现场让学员自己搜自己公司，五分钟后屏幕上出现CEO的家庭住址和孩子学校，全场安静。

2.2第二天入口投饵

攻击者注册域名“公司名-”，发邮件：“工资补贴通知”。邮件里不放木马，只放一张600KB的PNG，PNG里嵌12字节恶意指令，Outlook预览即触发。学员亲手把这张图片拖进虚拟机，看到计算器被弹开，印象比讲100页PPT更深。

2.3第三天横向移动

拿到一台终端后，攻击者用“BloodHound”一键找出最短域控路径。课程用开源靶场“GOAD”让学员自己跑，结果平均7分钟就能从普通用户到域管。数字比任何恐吓都有效。

2.4第四天权限加固

被演示打脸后，学员亲手给域管账号加“敏感账户，禁止委派”，关掉PrintSpooler，再跑一次BloodHound，路径瞬间消失。亲手拆雷的爽感，是记忆固化剂。

2.5第五天数据打包

攻击者用7z分卷加密，每卷4MB，上传百度网盘，绕过DLP。学员自己配置DLP规则，把“7z、分卷、网盘”三个关键词组合拦截，测试通过才能下课。

2.6第六天勒索投递

勒索note只写一句话：“Yourdatawasencryptedon%date%,ifyourestorefrombackup,wewillpublish5%ofit.”学员分组辩论：付不付？最终结论：不付，但要用“沙盒+假数据”骗攻击者先释放5%，为警方争取时间。

2.7第七天复盘报告

用MITREATTCK映射每一步，输出一份4页纸的“红队报告”，要求CEO能看懂。学员发现：技术细节只占1页，另外3页是业务影响、法律风险、公关建议。真正好的安全报告，是给业务人员看的。

第三章防御者地图：三层九域

3.1第一层终端域

核心控制：进程白名单+行为审计。

工具链：WindowsDefenderApplicationControl+Sysmon。

落地动作：

1)用Intune下发策略，只允许Publisher在“WHQL签名列表”内的驱动加载；

2)Sysmon配置21号事件（FileCreateTime修改）触发告警；

3)每周跑一次PowerShell脚本，比对“新增可执行文件”与“软件中心审批单”，对不上就发Jira。

3.2第二层身份域

核心控制：零信任+条件访问。

关键公式：信任=f（身份、设备、位置、行为、数据敏感度）。

实操：

1)AzureAD开启“风险用户”API，检测到“不可能旅行”自动要求MFA；

2)把财务ERP标记为“高敏感”，访问时必须HybridJoin设备+合规证书；

3)每季度做一次“紧急访问测试”：把全局管理员账号锁进保险箱，只给30分钟拆封时间，验证无全局管也能活。

3.3第三层数据域

核心控制：分类分级+加密+水印。

落地模板：

级别

标识

加密算法

水印内容

生命周期

绝密

红色

AES-256+SHA-2-384

打开者邮箱+时间

7天自动回收

机密

橙色

SM4

员工编号

30天自动降密

内部

黄色

无

无

90天审计

公开

绿色

无

无

永久

第四章邮件钓鱼实战演练

4.1演练前48小时

发正式公告：“本周将进行钓鱼演练，但不会有任何预告。”制造不确定感，让“官方提醒”本身成为钓鱼素材。

4.2邮件设计

发件人：hrbp@（把n写成nt）

标题：2024年薪酬调整确认

正文：只有58字+一个按钮“立即确认”

按钮链接：内部域名拼写错误，指向.top域名