seidcubro/cybersecurity-color-wheel-simulation

# 网络安全色轮模拟 这是一个基于网络安全色轮实践的结构化事件响应案例研究，重点关注身份入侵、MFA 疲劳、VPN 滥用、横向移动和可能的数据渗出。 ## 概述 本仓库记录了针对模拟企业安全事件的蓝队调查。该场景围绕一次可疑的凌晨 2:13 VPN 登录展开，该登录与一个受损的财务用户账户有关。在经过多次 MFA 推送后，攻击者获得了访问权限，通过服务账户进行横向移动，访问了核心资产文件共享，暂存了归档文件，并启动了可能的数据渗出。 该项目既作为作品集展示，也为未来的网络安全培训提供基础。 ## 场景摘要 模拟组织 WV RUS 遭受了一次分阶段展开的身份驱动攻击： 1. 一次高风险登录尝试源自陌生的地理区域和新设备。 2. 多个 MFA 推送通知被发送给受害者。 3. 一个 MFA 请求被批准，从而允许了 VPN 访问。 4. 内部访问已建立，并与一个新的 VPN 会话相关联。 5. 随后一个服务账户在多个主机上被使用，表明发生了横向移动。 6. `\\FS-RES-02\Research_Contracts` 共享上的敏感数据被访问并暂存到一个归档中。 7. DNS、Proxy 和 VPN 字节计数证据表明可能发生了向可疑云存储目的地的数据渗出。 ## 仓库结构 ``` cybersecurity-color-wheel-simulation/ ├── README.md ├── LICENSE ├── .gitignore ├── docs/ │ ├── simulation-overview.md │ └── training-program-notes.md ├── blue-team/ │ ├── README.md │ └── blue-team-running-log.pdf ├── white-team/ │ └── evidence-catalog-summary.md ├── scenario/ │ └── attack-scenario.md └── assets/ ``` ## 蓝队交付成果 本仓库中的主要成果是已完成的蓝队运行日志： blue-team/blue-team-running-log.pdf 该运行日志包括： - 成功标准 - 事件摘要 - 已知事实 - 假设 - 各阶段的证据请求 - 可见性与覆盖范围分析 - 默认遏制方案 - 决策日志 - 时间线 - 协作笔记 - 阶段结束结果 ## 展示的技能 本项目展示了以下方面的实践技能： - 事件响应 - 身份与访问安全分析 - MFA 疲劳检测 - VPN 滥用调查 - 横向移动分析 - 服务账户风险分析 - 数据渗出检测 - 安全文档编制 - 跨职能协作 ### 为什么这很重要 该实践可用于： - 一个网络安全作品集项目 - 一个可复用的桌面推演式培训练习 - 组织内部安全意识和响应培训的基础 它反映了现实世界安全运营的主题，特别是围绕身份入侵、不完整的遥测数据、业务权衡以及基于证据的遏制。 ## 培训计划潜力 此模拟可改编为公司内部团队的可重复培训计划。 可能受众 - SOC 分析师 - 服务台和 IAM 团队 - 事件指挥官 - 安全工程师 - IT 经理 - 跨职能技术人员 ## 可能的学习成果 - 识别基于身份的攻击信号 - 响应 MFA 滥用 - 关联多个系统的日志 - 在不确定性下做出遏制决策 - 平衡安全响应与业务连续性 - 清晰且专业地记录事件 ## 可能的进阶模型 级别 1：身份入侵和 MFA 疲劳 级别 2：VPN 访问和横向移动 级别 3：数据暂存、渗出指标和违规判定 备注 本仓库用于教育、作品集和培训设计目的。它不包含漏洞利用代码或攻击性工具。重点是防御、证据处理、响应工作流和安全培训设计。 作者 Seid Cubro 云计算专业学生，对网络安全、事件响应、基础设施和实用安全运营感兴趣。

标签：MFA疲劳攻击, PE 加载器, VPN攻陷, 企业安全, 安全培训, 安全运营, 扫描框架, 数字取证, 数据渗出, 服务账户滥用, 案例研究, 模拟演练, 横向移动, 编程规范, 网络安全, 网络资产管理, 自动化脚本, 身份泄露, 防御加固, 防御矩阵, 隐私保护