FreeBuf群讨论:如何做好HVV前的安全隐患排查?
2021-04-06 16:12:10 Author: www.freebuf.com(查看原文) 阅读量:141 收藏

HVV在即,这是一场考验企业的网络安全防护能力、监测发现能力、应急处置能力及其综合能力的“拉锯战”。在攻防演练开始前期尽可能早地发现存在的短板和薄弱环节,这是悬在参演单位头上的“达摩克利斯之剑”。

安全隐患排查可谓是一个大工程:

1.如何行之有效地搜寻攻方可探查的敏感信息并及时清理?

2.如何进行资产测绘?

...

本期话题讨论将围绕但不限于以上维度进行讨论。

关于HVV,你准备好了吗?如果你还有更多想说的、想吐槽的、想分享的,欢迎在评论区畅所欲言。

我们将为评论区点赞数前三名的小伙伴赠送FreeBuf定制周边礼品~此外,欢迎大家下拉至文末申请加入作者群和甲方群,参与群内讨论噢~

活动时间:即日起至4月9日 18:00

精彩观点汇总

如何行之有效地搜寻攻方可探查的敏感信息并及时清理?

1. 内外两扇门。外部用ARL灯塔监测互联网资产指纹,除443和80端口一律关闭。内部杀毒和补丁全修复,对探明的资产进行加固,未知网络一律封禁。

2. 多找几家安全厂商做资产和漏洞,互为补充,毕竟每家的探测能力和重点都有差异。

3. 以攻为守,故意散播蜜罐信息,反制攻击方。攻击才是最好的防守。

4. 收缩防守面,梳理资产(最最最重要),关掉那些乱七八糟的测试系统,封网一段时间(能禁止发版最好,避免新的漏洞出现)。内部用户端每天邮件、IM、易拉宝各种绝招轰炸。

5. 原始的资产表收集+扫描监控补充。

6. 直接按照红方的攻击手法,搜集信息方法,做一个checklist,然后防守方自己按照checklist检查一遍。如果有条件的,再直接找内部的攻击能力,对内部进行一些攻击尝试,以及来一次多方面的内部钓鱼然后公布结果,这个钓鱼比平时的员工安全意识培训管用。

7. 三个字:堆设备。只要设备堆得多,别人就打不进来。

8. 可以多看看外部那些扫描器爬虫在爬途中安全设备上的记录,可以看见很多连开发都没发现的东西。

9. 从人的角度看,有几类人容易成为钓鱼的重点也是易感人群:

各级领导,特别是大领导:易用特权不受监管。

行政财务人员:意识不够,好奇心重。

网络管理人员,NOC和soc的人:易有艺高人胆大心理,违规时侥幸心理重。

这三类人要重点加强检查排查督查。

如何进行资产测绘?

1. 资产测绘感觉是平时就该做的,不应该再要HVV了才开始准备,在HVV前顶多是检查和维护一下,看看资产测绘方面的系统能否正常工作。

2. 我们梳理资产的时候,其中一项工作是扒了半年的网络访问日志,资产梳理出多少不说,无效系统访问发现无数,居然还有好多系统在访问机房搬迁前的无效老机房ftp。

3. 我们是简单做了一个分类,把资产定义为三个场景:

第一个场景是办公场景资产,主要是PC机,打印机,办公网络设备,主要靠dis arp命令+上网行为管理+终端管理做的资产合集,拆了域控。方便,但不安全,集权业务还额外扣分。

第二个是互联网业务场景,包含自建数据中心+云端服务器。这个我们有完善登记,责任到人,还请了厂商做Git泄露检测等互联网情报工作。

第三个场景就麻烦了,分子单位场景。分子单位我们不关注他们的办公网,只关注互联网发布业务,开了红头文件,每家按表格上报互联网可访问资产,有条件的统一迁移到自建数据中心,不能迁移的,做好职守工作,我们登记了,就会打他们。

我们目前这么做,还是有疏漏,把资产保送,通报整改纳入了信息化建设考核,希望大家都重视,但是重视有没有落实,我们也很难把握。毕竟没有非常实际的奖惩措施。

4. 资产盘查是点,网络系统架构是面。只有对网络和系统架构弄清楚了,点面联系起来,资产盘缠才有意义。响应的策略部署、监控,部署起来思路才能清晰。

5.尽量发现资产,能够发现一大堆内网漏洞。然后思考怎么能推动规定时间内整改完成?如果整改完不成怎样降低风险?不断迭代...

其他观点

Q:有人计划把蜜罐做成容器服务吗?用容器调度做出自适应计划,根据攻击频率更改配置疯狂复制起多个蜜罐服务,消耗攻击者排查蜜罐的时间。

A1:现在就有全网蜜罐这种吧。不过现在攻击者主要是挖掘利用失陷服务器的痕迹,点到点攻击,根本不扫描。所以只能考虑在各种服务器上埋伏诱导,让攻击者访问蜜罐。

A2:不能,高仿真才能真消耗时间,每个都是定制,建议多定制,想办法倒流量。

A3:你必须从被攻击点,一点点溯源,把攻击者的路径复原,复原与攻击者真实路径越一致,分数越高,占6个得分点,反制占2个得分点。

FreeBuf官方群进群方式

甲方群进群方式:

扫码填写申请表单,通过审核后即可入群:

1614841109_60408515ac795652d99a1.png!small?1614841118748

作者群进群方式:

扫码添加FB小编加入群聊

扫码入群.png

回顾往期精彩话题讨论可关注专辑:Let's Talk


文章来源: https://www.freebuf.com/articles/neopoints/268610.html
如有侵权请联系:admin#unsafe.sh