hvv蓝方思路总结
参加过几次攻防演练,因此笔者对此经历总结一下。
一、概述
想知道”盾“厚不厚,那么就需要”矛“来戳一戳,因此我们站在黑客的视角,梳理攻击流程,再针对性的进行防守设置。
攻击者主要从外网纵向入侵和内网横向渗透。
外网纵向入侵
内网横向渗透
接下来主要对攻防演练的前期准备、进行中、结束复盘三个阶段进行具体工作方案。
二、攻防演练Pre
1.日常运维及资产梳理
梳理软硬件资产。重点查看暴露在公网的端口的资产
清理常见CMS框架的特征。
更新软硬件资产的信息。
保持6个月以上系统日志、应用日志、中间件的访问日志。
针对网络、主机进行安全检查,并针对性的优化加固。
2.新上线业务系统的风险评估
- 未进行风险评估的业务系统禁止上线。
3.每月对防护机制进行排查
- 排查公网边界具有监测告警/安全防护机制
- 排查安全设备应用层防护策略
- 排查安全设备网络层访问控制
- 排查操作系统本地访问控制
- 排查安全软件防护策略
4. 排查软件版本漏洞
- 根据第三方漏洞平台(阿里应急响应中心等),匹配本地资产(操作系统、中间件、web框架),自动化告警漏洞存在和漏洞修复
5. 排查软件逻辑漏洞
- 代码审计、渗透测试发现
6. 安全意识培训
7. 监测告警机制构建
- 内外网检测警告
- 构建威胁情报系统
8. 应急响应机制构建
- 特定安全事件的应急预案及演练
- 内网的可攻击面经
9. 容错机制构建
- 重要数据、入侵痕迹本地/异地备份
- 周期性测试
10. 蜜罐构建
- 开源蜜罐容易发生逃逸事件,因此不建议使用
三、攻防演练ing
高强度、高重复性且容易发生错漏扫
一次性工作:
- 情报共享:共享攻击源IP的威胁情报,注意交接班(交班人员直接加到本地的防守策略)
- 人员保障:协调后台支撑专家远程待命,
- 现场保护:保留溯源至公网ip及攻击路径待分析
- 攻击溯源:根据现场残留痕迹进行最大程度的入侵溯源
- 优化加固:根据应急处置报告中的优化建议进行安全隐患、安全风险优化,协助软件开发商进行漏洞优化,对漏洞修复的有效性进行复测
- 争议处置:对于一些争议的加固意见,上报上级再分析
- 宁错杀,不放过:对于可能会影响到该系统业务的ip,上报上级再分析
- 值守计划:
- 24小时值守,预备替补人员应对突发情况
- 编写值守成果(时间、封禁IP、漏洞修复程度等)
- 尽量减少对接事宜,在值守人员处理完后方可交接下一位
重复性工作:
- 巡检安全/告警系统
- 告警事件的过滤、事件验证、策略调优
- 若无事件发生,则根据时间表主动检查
- 巡检安全防护硬件:
- 告警/防护事件的过滤、事件验证、策略调优
- 若无事件发生,则根据时间表主动检查
- 巡检安全防护软件
- 告警/防护事件的过滤、事件验证、策略调优
- 若无事件发生,则根据时间表主动检查
- 巡检Windows
- 针对当前全部目录的全部新增文件或特定目录的特定新增文件进行巡检
- 巡检Linux
- 针对当前全部目录的全部新增文件或特定目录的特定新增文件进行巡检
四、攻防演练after
攻防演练后有三种防守成果
- 防守成功
- 防守失败
- 防守未知情
攻防演练后的总结与提升
- 编写整个攻防演练的总结报告,应由会议纪要、日常值守报告、应急响应报告等部分组成,主要分析防守痕迹,严格审核内容
- 根据上述报告,排查系统软硬件,优化加固是否存在遗漏;对防守过程中的手段、技巧加以总结,提炼防守心得和防守技战法
- 提升计划
- 提炼防守失败因素,包括人为因素、技术因素、软硬件因素等
- 识别各因素中的存在的安全隐患、安全风险和安全漏洞,部署可落地执行的优化整改方案
- 制定系统安全防护体系计划
五、部分心得
