攻防演练 | HVV蓝队防守方复盘——总结(向上汇报)
2023-8-15 20:0:58 Author: www.freebuf.com(查看原文) 阅读量:48 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

护网的必要性--政策需要的内容

1692100615_64db68075af34db258121.png!small?1692100615877

护网蓝队的工作是确保网络和系统免受各种网络威胁和攻击的影响,以保护组织的数据、资产和声誉。以下是护网蓝队的关键职责和总结要点:

1692099806_64db64de7135405482090.png!small

1. 威胁监测与检测: 蓝队负责监测网络流量和系统活动,以识别异常和潜在的威胁。他们使用入侵检测系统(IDS)、入侵防御系统(IPS)和其他安全工具来检测恶意行为。

2. 安全事件响应: 蓝队需要迅速响应安全事件,包括入侵尝试、数据泄露等。他们制定应急响应计划,随时准备采取措施来降低损失并恢复系统。

3. 漏洞管理与补丁: 蓝队负责定期扫描系统和应用程序,识别安全漏洞,并确保及时应用安全补丁,以减少攻击面。

4. 访问控制与身份验证: 蓝队实施访问控制策略,确保只有授权用户可以访问敏感信息。多因素身份验证可以提高访问安全性。

5. 安全意识培训: 蓝队向员工提供安全培训,教育他们如何识别威胁、避免社交工程攻击和处理可疑邮件。

6. 恶意代码分析: 蓝队分析恶意代码,了解其行为和功能,以便有效应对恶意软件的威胁。

7. 网络分析和流量监控: 蓝队监控网络流量,识别异常模式和活动,发现潜在的攻击。

8. 应急演练: 定期进行模拟演练,以测试团队的响应能力,发现改进点,并制定更有效的安全策略。

9. 数据保护和加密: 蓝队使用加密技术保护数据在传输和存储过程中的安全性,防止敏感信息泄露。

10. 安全策略和规范: 制定和维护安全策略和规范,确保整个组织在安全实践上保持一致。

11. 合规性和审计: 蓝队确保系统和流程符合法规和标准要求,并协助进行安全审计。

12. 技术研究和创新: 鉴于网络威胁不断进化,蓝队需要不断学习新技术、攻击手法和防御策略,以保持前沿的安全知识。

总之,护网蓝队在不断变化的威胁环境中扮演着关键角色,他们通过预防、检测和应对安全威胁,确保企业的网络和数据免受损害。他们需要具备坚实的技术知识、分析能力和团队合作精神,以应对各种复杂的网络安全挑战。

护网前期

护网的意义

Ø现状

卡巴斯基实验室和B2B International调查报告曾指出,“IT安全中的人为因素:员工如何让企业更容易遭受攻击”,全球有40%的企业存在员工隐藏IT安全事故的情况。每年,有46%的IT安全事故是由企业员工造成的。

SolarWinds发布的网络安全调查报告显示,相比起外围因素,内部因素对网络安全有更大威胁。在所有的网络安全意外中,超过六成(65%)是由内部人员的失误而引致意外,其次有四成(43%)意外则由外来威胁所导致。

在第五届中国互联网安全大会上。360企业安全集团董事长齐向东发言表示,85%的网络安全事件来自内部人的疏忽、大意和故意。人,对网络安全起着决定性作用。

从CIA、NSA网络武器库泄漏,美国大选期间希拉里邮件门,乌克兰电网断电、美国断网,到利用“永恒之蓝”漏洞的勒索病毒,它们都有一个显著的特点,就是用传统的技术方法和产品,不能防止这些灾难的发生。这些网络攻击采用的都是0Day、1Day未知漏洞,或者新的攻击方法,有的是点对点的APT攻击。防止这些网络攻击需要采用“人+”系统的方法,并且人起到关键性作用。

Ø启示

开展“HVV行动”可以检验企事业单位关键信息基础设施安全防护能力,提升网络安全应急处置队伍应对能力,完善应急处置流程和工作机制,提升安全事件应急处置综合能力水平。此外可帮助内部人员加深对网络安全的认知,了解攻击者的攻击方式和带来危害,降低企业内部网络安全隐患。

护网的前期准备--常见的安全隐患

1692099871_64db651f9f2ea22479faa.png!small

网络安全中常见的安全隐患涵盖了各个层面和方面,从应用程序到基础设施,都存在着不同类型的威胁和风险。以下是一些常见的网络安全隐患:

  • 弱口令和默认凭证: 使用弱密码或默认凭证(如默认用户名和密码)的帐户容易受到攻击者的入侵。攻击者可以利用猜测、字典攻击等方式获取凭证并访问系统。
  • 未修补的漏洞: 操作系统、应用程序和第三方软件中的未修补漏洞可能被攻击者利用。不及时应用安全补丁使系统容易受到已知攻击的影响。
  • 社交工程: 攻击者可能通过欺骗和误导技术,诱使用户泄露敏感信息、密码或访问权限,从而入侵系统。
  • 恶意软件和病毒: 恶意软件,如病毒、蠕虫和木马程序,可以通过操纵系统和数据来造成损害,甚至窃取敏感信息。
  • 钓鱼攻击: 钓鱼攻击通过冒充合法实体的方式,欺骗用户点击恶意链接、下载附件或提供敏感信息。
  • 拒绝服务(DDoS)攻击: 攻击者通过发送大量流量或请求来淹没网络、服务器或服务,导致正常用户无法访问。
  • 数据泄露: 敏感数据的未加密传输、存储不当或未经授权访问可能导致数据泄露。
  • 身份盗窃: 攻击者可能盗取用户凭证、个人身份信息或支付信息,然后冒充用户进行恶意活动。
  • 移动设备安全: 未加密的移动设备、应用程序漏洞和不安全的Wi-Fi连接可能导致数据泄露或未经授权访问。
  • 缺乏访问控制: 不恰当的权限分配和访问控制设置可能导致未经授权的用户或攻击者访问敏感信息。
  • 内部威胁: 内部员工或合作伙伴可能滥用权限,泄露数据或执行恶意操作。
  • 无线网络安全: 不安全的Wi-Fi网络可能容易受到中间人攻击、数据嗅探和破解。
  • 物联网(IoT)漏洞: 物联网设备可能存在弱点,攻击者可以利用这些弱点入侵网络或获取信息。
  • 缺乏安全意识: 缺乏员工和用户的安全意识和培训可能导致不小心的安全违规行为。
  • 缺乏监控和审计: 缺乏网络流量监控、安全审计和事件响应能力可能导致攻击未被发现。

综上所述,网络安全隐患多种多样,保护网络免受威胁的关键在于采取综合性的安全措施,包括使用安全工具、强化访问控制、定期审查漏洞和实施安全意识培训

护网前期准备--HW防守组织组成

1692100153_64db663981d136a3ce726.png!small?1692100153828

护网前期准备--内外网资产盘点

事项

详细内容

关键路径和资产梳理

关键路径:指攻击者从暴露面到达目标资产的网络通道,基本的关键路径由:暴露面、关键跳板和价值资产组成。

外网暴露面定义:暴露在互联网上、具备公网地址的,面向互联网提供WEB、FTP、EMAIL、数据库等互联网服务的设备;

内网暴露面定义:指在内网中可被其它设备跨区域访问和操作的设备;

关键跳板定义:在访问重要资产时,必须经过此类资产中转才可达到目标的设备(如集权系统、网络核心节点);

价值资产定义:该类资产受到攻击或故障时,会导致服务中断,造成企业或社会巨大影响、危害的网络安全甚至国家安全的设备(如重要业务和数据系统)。

网络拓扑绘制

各单位/部门应绘制自身管辖下的系统网络拓扑图,其中拓扑图中应体现网络区域的划分情况、网络边界情况、网络隔离情况,将拓扑中的关键跳板以及价值资产以醒目的方式标明,并对其中的网络流向作简要说明。

全量资产梳理

各部门按产线形成内网资产清单,清单内容应至少包括类型(如内网、互联网资产、接口清单、服务器、网络设备、安全设备等)、常规信息(如归属域、归属系统、IP、功能、操作系统、安装应用软件及版本、Web URL等)、扩展信息(如开放端口/服务、可访问位置及授权、是否覆盖关键数据、覆盖防护手段)。此外利用扫描工具对网段资产进行存活探测,检测是否存在未知资产。

建立关停清单

各部门建立关停清单,关停清单的内容包括:无人认领/负责的未知业务系统;存在重大漏洞,短时无法修复,且关停不会对业务造成影响的系统;无安全措施防护的测试业务系统;针对闲置的服务器进行断电处理;零时搭建的VPN,不安全的wifi等内容关停;

责任书签订

责任书签订: 以处室/中心为各单位完成安全责任书签订,员工签订自查保证书。

护网前期准备--已知隐患整改

事项

详细内容

重要系统的整改加固

对关键资产,以最高优先级对以发现的安全问题进行整改加固,针对短时间无法修改和根除的漏洞,利用安全产品的防护能力对其进行应急处置;加强网络访问控制和账号权限管理。

账号口令管理

针对弱口令和账号登录验证问题,让开发人员在代码层面将规则写死,强制用户使用强口令(8位以上数字、字母、字符组成)并在一段周期后设置口令过期需重新设置,在账号登录时设置以账号密码和手机短信双因素认证下,才可登录目标系统,确保用户身份真实性

设置安全管理机制

针对log4j2、RCE、rdp等应用缺陷漏洞,周期性对资产进行脆弱性自查,针对发现的漏洞及时落实到人整改,并对其进行复测验证,完成漏洞的闭环。在各厂商发布重大安全漏洞时,开展针对性漏洞检测,排除安全隐患。此外安全检测类工具的漏洞库要及时更新,避免遗漏新漏洞。

开发安全能力提升

对开发人员加强安全开发能力培训,让开发人员了解漏洞产生的原因,避免使用有缺陷的功能模块以及应用组件,此外还可在系统测试上线前加入代码审计一环,降低系统本身安全风险。

敏感信息防护

1、利用现有安全产品能力对敏感信息进行防护;

2、在代码阶段加入加密算法,实现传输过程中的数据加密;

3、禁用远程访问功能,降低网络攻击风险;

4、对非法敏感关键字进行屏蔽和注释;

5、细粒度的HTTP访问控制;

护网前期准备--脆弱性自查

事项

详细内容

漏洞扫描与基线核查

完成一轮自身业务系统资产(主机、设备、应用)全面漏洞扫描,形成高中危漏洞整改清单

完成自身业务系统资产高中危漏洞整改、屏蔽

完成一轮自身部门所属服务器的操作系统、数据库、软件和容器的安全配置检测,形成高中危漏洞整改清单

完成自身资产部门所属服务器安全配置的高中危漏洞整改、屏蔽

完成漏洞修复闭环对比核查,确保漏洞完成修复。


文章来源: https://www.freebuf.com/defense/374990.html
如有侵权请联系:admin#unsafe.sh