专栏文章索引:网络安全
有问题可私聊:QQ:3375119339
目录
一、护网简介
1.护网产生
- 护网行动是一场网络安全攻防演练。护网2019由公安部11局组织,于2019.6.10开始,持续3周。是针对全国范围的真实网络目标为对象的实战攻防活动,旨在发现、暴露和解决安全问题,检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。
2.护网规模
- 国家护网
- 省级护网
- 市级护网
3.护网的时间
以国家级护网为例,一般护网是每年的7、8月左右开始,一般持续时间是2~3周。省级大概在2周左右,再低级的就是一周左右。
4.护网的规则
护网一般分为红蓝两队,做红蓝对抗。红队为攻击队,红队的构成主要有"国家队"、厂商的渗透技术人员。蓝队为防守队,一般是随机抽取一些单位参与。
5.护网工作
- 红队
- 针对所得到的资产进行漏洞扫描,渗透,提权,横向等等
- 蓝队
- 针对自身所在公司资产进行守护。通过安全设备。(监测、研判、溯源)
- 监测:看设备所接收的告警流量,并提交异常流量给研判
- 研判:对异常流量进行分析,判断是否是真实攻击
- 溯源:对真实攻击流量进行溯源,找到攻击者
- 针对自身所在公司资产进行守护。通过安全设备。(监测、研判、溯源)
6.红队
- 攻防入侵路径
- web互联网资产暴露面
- 互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产所面临的安全风险更高,攻击者可利用的点更多,且攻击的成本也更低。
- 设备串入网络且具有漏洞
- 设备部署有旁路(不改变现有网络结构)有串行(串行接入现有网络当中)等方式,对于串到网络中的设备要慎重,一旦设备本身带有漏洞,可直接被利用,内网穿透。
- 社工高权限管理安全意识
- 对于员工的安全意识层面要贯彻到底,每个人对于自己可执行的权限,负责的内容及区域,工作的流程步骤了解清楚,避免攻击者冒充领导或其他部门人员套取信息等。
- 跳板二级单位及下属机构
- 在本身已经做好基础防护措施的同时,要对下级单位提出明确需求,使可以有通讯或数据传输的下级单位同样做好防护手段,且对于通讯的策略做好相应的收紧。
- web互联网资产暴露面
- 红队攻击方式
- web攻击、主机攻击、已知漏洞、敏感文件、口令爆破
- web攻击、主机攻击、已知漏洞、敏感文件、口令爆破
7.蓝队防守
- 极端防守策略
- 全下线:非重要业务系统全部下线;目标系统阶段性下线;
- 狂封IP:疯狂封IP(C段)宁可错杀1000,不能放过1个;
- 边缘化:核心业务仅保留最核心的功能且仅上报边缘系统;
- 策略收紧常态化
- 联系现有设备的厂商将现有的安全设备策略进行调整,将访问控制策略收紧,数据库、系统组件等进行加固。
- 减少攻击暴露面
- 暴露在互联网上的资产,并于能在互联网中查到的现网信息进行清除。
- 各种口令复杂化
- 不论是操作系统、业务入口,还是数据库、中间件,甚至于主机,凡是需要口令认证的都将口令复杂化设置。
- 核心业务白名单
- 将核心业务系统及重要业务系统做好初始化的工作,记录业务正常产生的流量,实施白名单策略。
- 主机系统打补丁
- 对业务系统做基线核查,将不符合标准的项进行整改,并对业务系统做漏洞检查,并对找出的脆弱想进行整改。
- 对业务系统做基线核查,将不符合标准的项进行整改,并对业务系统做漏洞检查,并对找出的脆弱想进行整改。
二、护网整体方案
- 建立组织
- 总指挥领导小组;指挥决策组;
- 监测预警小组;应急处置小组;
- 业务保障小组;对外联络小组;
- 资产梳理
- 外网资产:IP、端口、域名
- 内网资产:主机、系统、服务器
- 资产风险:漏洞、弱口令、边界完整性
- 架构分析
- 拓扑梳理:内网区、互联网接入区等;
- 靶心系统及相关联系统:互访关系;业务流
- 渗透测试
- 人工渗透;漏扫工具
- 获取现有资产威胁;了解业务系统漏洞。
- 整改加固
- 安全加固;漏洞修复;安全设备策略;
- 缺少监控手段部署
- 应急演练
- 查缺补漏;安全策略优化;防守方案优化;
- 验证各方面能力;应急演练
- 护网中期
- 监测内容
- web常见漏洞
- sql注入
- xss跨站
- 文件上传
- 任意代码/命令执行
- 弱口令/越权
- 文件包含
- 设备
- 主流安全设备(不同厂商的设备也就不同)
- 天眼
- 椒图
- 。。。
