V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
SecurityX
V2EX  ›  推广

企业安全之做好这三点,护网没在怕!

  •  
  •   SecurityX · 2019-07-25 16:17:08 +08:00 · 1213 次点击
    这是一个创建于 1950 天前的主题,其中的信息可能已经有所发展或是发生改变。

    护网就像期末考试一样,平时没怎么上心的学生,考试最怕挂科。学生时代,考前会恳求老师划重点,临时抱佛脚,好在考试中及格。临近护网,做好这三点,能够让我们顺利度过护网,取得好成绩。

    考前一周

    从接到护网通知,到护网开始,一般会有一周的时间,可以给护网的同学们做准备。这一周是临时抱佛脚的时间,学霸们可能没这样的经历,对于“学渣”来说,考前复习,没时间一点一点看知识点,主要根据考试内容做准备。护网前期一周,怎么开始“复习”呢?“学渣”们赶快看过来。

    互联网资产发现 往年护网经验来看,很多被打穿的单位,不是通过门户网站等主要系统进来的,而是通过攻击平时不怎么关注的边缘系统,第三方外联系统,一步一步渗透进单位核心服务器,所以,梳理清楚资产,是考前准备的第一步。

    笔者这些年服务的甲方单位,很多不能拿出一份本单位完整的资产列表,各部门独立运营自己的系统,根据需要开放域名和端口,安全部门很难对暴露在互联网的资产进行控制,手上只有使用较多的资产信息。

    资产发现步骤:

    1、根据一级域名发现所有子域名,可以采取搜索引擎探测,site:xxx.com ,暴力破解等方式。

    2、根据子域名 DNS 解析记录查找 IP

    3、针对子域名和 IP 做端口探测

    4、针对 IP 做域名反查,备选,很难保证准确性。

    网络安全风险排查

    我这里对网络拓扑、主机、应用配置需要注意的部分“划了重点”,单位可以对照进行排查:

    1、护网目标系统是否与单位其他网段网络隔离。

    2、服务器、网络设备、安全设备运维方式确认,是否为堡垒机,如果直接运维,建议护网期间,只允许运维人员网络访问 SSH、RDP 等。

    3、核心系统安全策略确认,建议护网期间配置更严格的 ACL 策略。

    4、终端杀毒软件保证护网前期和护网期间每天进行病毒查杀。

    5、口令安全,网络设备、安全设备口令设置为强口令,不能统一口令,业务系统是否对外部用户开启注册。若提供外部用户注册,是否对外部用户注册时口令复杂度及长度进行强制要求。是否有密码找回功能。

    6、应用系统后台地址暴露情况,是否对公网暴露。

    7、网站上传目录是否有运行权限。

    8、VPN、服务器账号是否有长期不用的测试账号、临时账号等。

    9、监控设备如流量分析、态势感知设备流量接入是否全部覆盖单位互联网网络,尤其容易疏忽的是第三方接入流量。

    10、安全设备如 WAF、IPS 可以根据网络情况,安全策略级别调高,如访问频率阀值,封堵时间等。

    11、前期发现的漏洞,高危利用难度低的漏洞优先修复。

    风险排查 PDCA: 此处该有一图……

    **护网期间工作计划

    最后需要对护网期间的工作做好计划安排,组织架构,威胁上报流程,应急处置预案,护网环境确认等。

    组织架构:可以分为领导小组,监控小组,分析小组,处置小组,应急小组,报告编写小组,根据护网团队规模分组,规模较小的单位,部分小组可以合并为一个,比如监控和分析。

    威胁上报流程:单位安全部门需要与运维、应用、网络部门做好沟通,发现威胁后的处置流程,配合部门也要派出相应的人员值守,专职负责支撑护网。小编以及小编小伙伴们护网的几家单位,护网期间大部分工作都是监控攻击,然后封堵 IP。

    应急处置预案:拟定护网期间的不同场景,编写应急处置预案,与各支撑部分进行确认。

    护网环境确认:护网值守人员工作场所,监控设备登录方式,堡垒机账号,各支撑部门沟通方式等。

    考前一天

    内部演练 经过一周的抱佛脚,“学渣”们上考场前,已经提升了不少信心。在护网前一天,可以来一次内部演练,磨合一下流程。

    内部演练主要的目的是为了验证攻击方的流量都能够监控到,以及应急处置流程的顺利实施:

    安排红队攻击方,对单位网络模拟攻击,攻击范围要覆盖单位全部系统(可以根据前期资产发现结果),攻击方式也要多样化,力求模拟攻击方几乎所有类型的攻击手段,包括 web 渗透、暴力破解、内网渗透、钓鱼邮件等。监控小组需要确认,不同系统不同攻击方式,是否全部监控到,如果有遗漏,需要及时调整。

    模拟应急处置流程,监控小组发现攻击后,提交给应急处置小组,开展应急处置工作,如封堵攻击 IP,通知收到钓鱼邮件的员工,隔离内网被控制的主机等。

    复盘总结,内部演练后,总结演练过程中发现的问题,保证护网开始后,一切按照计划开展。

    安全意识宣讲 护网期间,攻击方的目标不仅仅是业务系统,也包括普通员工的电脑,如钓鱼邮件、钓鱼网页、社会工程学之类,需要对全单位进行安全意识宣讲,这里小编拟了几个需要注意的场景:

    1、长时间使用叫号机器、ATM 等单位信息系统,不做业务办理情况。(银行单位)

    2、无证件或者无证明文件的外部人员要求进机房、办公区等。

    3、自称是打印机、办公电脑维护的 IT 人员,需要在办公电脑操作或者插 U 盘。

    4、之前没连接过的 WiFi,WiFi 名称一般为某某餐饮或门店,突然出现在 WiFi 列表中。

    5、收到异常邮件,邮件中含有异常链接、附件等。

    护网开始

    准备了那么久,终于到了考试的日子啦,放轻松心态,吃点清淡有营养易消化的早餐,元气满满的走进考场。

    护网开始后,按照原定计划开展监控、处置、应急工作。防守比攻击被动,不清楚什么时候攻击方开始攻击自己,只能 7*24 小时盯着监控平台。这里笔者分享一些“考试技巧”:

    1、长时间使用叫号机器、ATM 等单位信息系统,不做业务办理情况。(银行单位)

    2、无证件或者无证明文件的外部人员要求进机房、办公区等。

    3、自称是打印机、办公电脑维护的 IT 人员,需要在办公电脑操作或者插 U 盘。

    4、之前没连接过的 WiFi,WiFi 名称一般为某某餐饮或门店,突然出现在 WiFi 列表中。

    5、收到异常邮件,邮件中含有异常链接、附件等。

    有人说,没参加过护网的安全从业人员,和没参加过高考的学生一样,是终身的遗憾。最后预祝各位护网的小伙伴,享受护网过程,尊重护网结果,开心安全工作每一天。

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5676 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 06:32 · PVG 14:32 · LAX 22:32 · JFK 01:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.