一、文件概述提炼和总结分享参加攻坚演习近几年的经验。
攻防演练建议站在黑客的角度,审视攻击流程,有针对性地进行防守,防止攻击者只从短板进入的桶效应,但构建的防守措施与短板无关。
外部网的纵向入侵流程和评论信息如下。
内部网横向渗透流程及评论信息如下。
二、建议攻防练习前攻防练习前要做的工作是周期性工作,如每年一次、每月一次、每天一次,不建议在攻防练习前开始。 攻防练习前的工作总结如下。人员培养
随着信息化的发展,为了应对软硬件过剩的日常工作,培养职场日常工作人员。 此外,还将加强发生紧急突发事件时现场工作人员的协调性,并提高再保修期内工作人员的维护工作。 因为再担保期不是一个单位的再担保,所以向其他单位派遣人员比较困难。日常运维及资产台账月度梳理
整理软硬件资产:互联网/专用网络/内部网端口暴露面积,旧资产
软件开发人员自我调查、整理暴露在互联网、软件中的通用型框架的特征
更新硬件和软件资产信息
启用操作系统本地系统日志、APP应用程序日志和中间件访问日志记录功能,并保存生成的日志至少6个月;
对网络、主机进行安全检查,根据目的优化强化。新上线业务系统的风险评估
未进行风险评估的业务系统禁止在线。防护机制月度检查
互联网/专用网/内联网区域边界监测预警/安全防护机制,特别是在互联网边界,【上级主动举报攻击行为来自下级,要求其断网和自查】和【下级主动拦截攻击行为,报告相关报告
安全APP应用层的保护策略检查
网络/安全设备的网络层访问控制检查;
操作系统的本地访问控制检查
操作系统本地安全软件保护策略检查
有条件且具有可行性、可操作性的,可以建立运行基线,周期性进行巡检。软件版本漏洞月度检查
跟踪第三方漏洞发布平台,匹配本地资产(操作系统/第三方硬件和软件/web容器/web框架)特征,自动警告存在的漏洞,进行漏洞修复。软件逻辑漏洞年度检查
通过代码审计、渗透测试发现并修复逻辑漏洞。安全意识年度培训
对公司全体人员的安全意识培训
对公司信息化人员的安全技术培训。监测告警机制构建
对操作系统、APP应用系统的可用性事件进行内部网监视警告;
对操作系统、APP应用系统的安全事件进行内外网监控报警;
建立威胁信息系统。 威胁信息源越多越好,可以同时输入内部/外部威胁信息。 另外,可以根据信息维度相互关联,可读性强,关联性强,适合日常运输业者的习惯。 例如,威胁信息系统可以多维关联攻击源ip、攻击工具、攻击流量等特征,以自动化更高价值的内部威胁信息。应急响应机制构建和年度检查
制定特定安全事件的信息系统安全专业应急预案
根据预案构建环境,定期对特定安全事件进行应急演练;
定期验证内网安全防护系统的有效性,首先,当前关注点不应该全部位于外部可攻击面积,内部可攻击面积直接与核心系统、数据的rxdxf相关; 二是投入大量人力物力,防止内网安全防护体系是否有效,但没有相对准确的答案(相对准确取决于攻击方的能力)。
与常规事件现场应急支持小组和后台支持专家小组、利益相关者小组进行谈话。容错机制构建
构建关键数据、痕迹操作系统本地备份机制;
构建关键数据、痕迹不同的机器备份机制
为高可用性业务系统建立异地备份和灾难恢复机制;
定期检查备份机制,检查其是否正常,并定期进行恢复测试。蜜罐密网构建
不推荐使用开源蜜罐技术,没有技术支持,容易发生蜜罐逃生安全事件,任何信息系统的改变都应以安全稳定为主
日常承运人技术条件好,产品形态采购,熟练使用,有定制化需求; 日常承运人技术条件差,以服务形式购买的,除首次服务外,建议附加年度周期性、维护性服务,频率越高越好; 体现形态取决于公司态度、供应商本地化实力及服务态度
在所有表现形式中,建议购买工厂服务,禁止渠道服务。 例如,写文件的人可以口述文件的表面意义、深层意义,但不同的使用文件的人高低是没有标准的。 无论是工厂还是渠道,由于是对公司APP应用系统的结构、特性特别不熟悉的技术人员,【开始实施交付通用实施方案现场简单调查构建功能运行的某个阵营简单的功能测试交付实施报告和用户手册
这种情况给供给方带来了看不见的负面影响,产品在公司中没有表现出实际的应用价值,通过产品/服务的成果在供给方造成,没有带来更多的价值。 具体表现形式是某个阵营n年无法访问,不定期检查和优化
,攻防演练前用户单位如果无人向其提及,可能都无法通过回忆想起存在这么一个产品。如果该厂商看到了,是感谢我的反馈还是给我打折,打骨折的那种?/狗头欣喜的宝马的理念:赋能无可挑剔,但是遇到了大部分领导都会遇到而且很头疼的问题,即相关人员的落地执行能力,以及沟通漏斗。
攻防演练防守工作启动会议
向各个层次体现重视程度,以获取攻防演练时的相关支撑资源;
记录会议纪要,为攻防演练总结报告附件内容做准备 三、攻防演练中
高强度、高重复性且容易发生错漏少的情况是【攻防演练中工作】的特有属性。攻防演练中的工作总结如下所示:
一次性工作
情报共享:值守领导协调上级单位、下级单位、兄弟单位以及值守交班人员,共享防守情报,例如共享攻击源ip的威胁情报,每交班时与相关单位交换一次威胁情报,由交班人员加入到本地的防守策略中;
人员保障:协调后台支撑专家远程待命,保持24小时电话开机,随时准备进场入侵取证;
现场保护:如攻击源为内网,则往上溯源直至发现互联网ip后,对安全设备、操作系统中的网络连接状态进行截图取证再进行断网,在后台支撑专家赶赴现场前根据网络连接描绘出攻击路径,禁止其他破坏现场的行为发生;
攻击溯源:由于非攻击者自身,后台支撑专家将会根据现场残留痕迹进行最大程度的入侵溯源,并给出对应的优化建议,交付应急处置报告,由值守领导上报上级单位或裁判组;
优化加固:现场值守人员根据应急处置报告中的优化建议进行安全隐患、安全风险的优化,协调软件开发商进行安全漏洞的修复,协调渗透测试人员对漏洞修复的有效性进行复测;
争议处置:值守领导根据值守人员反馈的信息,经评估后上报上级单位或裁判组;
宁错杀,不放过:异常ip在互联网网关处新建一个地址组,将其全部封禁,禁止封国内网段防止对应用系统可用性造成影响(如已和业务部门协商确认,可在攻防演练中加大策略调优力度,例如封禁ip段等等强有力的控制措施但可能会导致业务系统发生可用性问题),封禁国外网段根据具体情况请示值守领导;
人员值守1:安排值守领导和值守人员2班24小时值守,值守时间和值守批次可自行调整,但需预留1个机动人员应对突发情况;人力资源富裕则可3班24小时值守;
人员值守2:每批次巡检结束后在干系人群聊中汇报该批次的值守成果,当日值守成果的文件名称需附日期和时间(xx单位xx值守成果20010101-00:30),为编制当日值守报告做准备;
人员值守3:交接时间已到的情况下,交接人员进行当前班次的值守工作,未完成的值守工作不可交接给下一班次的值守人员,完成后才可下班;
人员值守4:当日值守人员交接时,向当日值守领导和交接人员简单汇报值守期间的工作成果以及注意事项,向交接人员交付当前班次的所有值守成果;
人员值守5:当日最后一班值守人员交接时,记录当日值守报告交付当日值守领导,值守报告需具备可读性,当日值守报告的文件名称需附日期(xx单位xx值守报告20200101),为攻防演练总结报告的附件做内容准备;值守领导交接时,向下一批次的交接领导交付当日的值守报告及注意事项。
重复性工作,根据人员能力匹配以下工作内容,尽量做到人员/对象全覆盖
巡检安全性/可用性事件监测告警系统:针对告警事件进行过滤、事件验证、策略调优;当无新事件时每隔30分钟巡检1次;每批次安排1人员,根据任务量可与【巡检安全防护硬件】人员为同一人;
巡检安全防护硬件:针对告警/防护事件进行过滤、事件验证、策略调优,当无新事件时每隔30分钟巡检1次,每批次安排1人员;
巡检安全防护软件:针对告警/防护事件进行过滤、事件验证、策略调优,每1小时巡检1次,以每批次巡检15个操作系统为单位安排人员;
巡检windows操作系统:针对当天全部目录的全部新增文件或特定目录的特定新增文件进行巡检,每1小时巡检1次,以每批次巡检15个操作系统为单位安排人员;巡检方法详见目录《附件-windows新增文件值守方法》;
巡检linux操作系统:针对当天全部目录的全部新增文件或特定目录的特定新增文件进行巡检,每1小时巡检1次,以每批次巡检15个操作系统为单位安排人员;巡检方法详见目录《附件-linux新增文件值守方法》;
根据单位需求巡检本文中未提及的软硬件系
攻防演练结束后存在三种防守成果,根据不同的成果进行不同的总结
防守成功,根据防守得分参加防守方排名;
防守失败,核心系统被攻破,不参加防守方排名;后续本地主管部门进行通报、现场检查年度等级保护/风险评估的工作成果、然后本单位进行优化加固、以及主管单位的复检;
作为附属单位参演,攻方有入侵成功的的成果但附属单位未发现,上级单位进行内部通报及处理。
攻防演练后的工作总结思路
值守领导安排值守人员编写攻防演练总结报告和整理附件,附件包括不限于会议纪要、日常值守报告、应急响应报告等攻防演练防守痕迹,并对其内容进行审核,确认无误后交付裁判组/上级单位;
值守人员根据防守成功的结果,在收到攻方的总结报告后,对比优化加固报告,检查是否存在遗漏;值守领导安排值守人员编写会议材料,展开总结分析会议,提炼防守心得和防守技战法;
值守人员根据防守失败的现状,在收到攻方的总结报告后,对比优化加固报告,检查是否存在遗漏;值守领导安排值守人员编写会议材料,展开总结分析会议,提炼防守失败的主要因素,包括不限于人为因素、技术因素和软硬件因素,以及识别以上因素中存在的安全隐患、安全风险和安全漏洞,同步制定相关联的、现阶段即可落地执行的优化整改措施;同步制定信息系统安全防护体系建立健全的计划,并根据计划制定建立健全的流程并将其逐步落地(分步骤、按批次,逐渐完善、循循渐进)。
针对攻防演练前中后的防守思路进行提炼,同时将提炼的内容进行总结,如下所示:
【梳理互联网/专网/内网的可攻击面积】影响黑客【信息收集】的成果;
【安全域的访问控制】影响黑客【内外网渗透】的可行性;
【关键路径上的安全软硬件中的防护策略】影响黑客【内外网渗透】的成果;
【本地痕迹】、【第三方保存的痕迹】影响【攻击溯源】的可行性。
通过everything工具进行检查,dc:后跟日期,检查创建时间为1999年01月01日,后缀为.txt的文件。
dm:后跟日期,检查修改时间为1999年01月02日,名称包含te和.的文件。
da:后跟时间,检查访问时间为1999年01月03日的文件。
注意:windows文件的所有时间完全不可信,因此文件时间仅作为参考依据。攻防相悖论的地方,如果攻方看到/哭泣,以后就只能根据逻辑进行痕迹关联,无法通过直接证据进行痕迹关联了,但只要正在运行,即代表可以找到痕迹并进行逻辑关联,如果不运行,即代表无危害不用紧张,包括不会自启动的程序。
是否受够了网上大量查找最近7天的方法/狗头?查找/path目录下2020年12月1日访问过后缀为jsp文件,即atime。path可以是绝对路径,也可以是当前目录./
find /path -name "*.jsp" -newerat '2020-12-01 00:00:00' ! -newerat '2020-12-01 23:59:59'查找/path目录下2020年12月1日改动过后缀为jsp文件,即mtime。
find /path -name "*.jsp" -newermt '2020-12-01 00:00:00' ! -newermt '2020-12-01 23:59:59'查找/path目录下2020年12月1日创建的后缀为jsp文件,即ctime。
find /path -name "*.jsp" -newerct '2020-12-01 00:00:00' ! -newerct '2020-12-01 23:59:59'示例: