九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

admin 2024年11月1日14:32:48评论20 views字数 5338阅读17分47秒阅读模式

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

写在前边

蓝队一般分为事前加固、实战阶段、事后总结。本期笔者将会重点介绍事前加固——系统加固的部分,因为事前加固能提高系统和网络的安全性,减少潜在的攻击面。

以下为本文目录概览:

一、 蓝队简介

1、 什么是蓝队

2、 蓝队防守流程

    1) 资产梳理

    2) 收缩攻击面

    3) 强化策略

    4) 建立安全小组

    5) 安全培训

3、 什么是等保2.0

    1) 等保2.0划分准则

    2) 等保2.0第三级要求基线

二、 结合等保基线内容加固系统

1、 Windows加固

    1) 身份鉴别

    2) 控制访问

    3) 安全审计

    4) 入侵防范

    5) 恶意代码防范

    6) 可信验证

    7) 数据完整性

    8) 数据保密性

    9) 数据恢复备份

    10)剩余信息保护

三、 总结

因文章整体内容较长,将会拆分为上下两篇在本公众号发出。欢迎大家点击关注,精彩内容不要错过~

一、蓝队简介

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

1、什么是蓝队?

蓝队是指网络安全领域中的防御方,他们负责保护系统和网络免受黑客和其他威胁的攻击。蓝队的目标是通过实施安全措施、监控网络活动、检测和应对安全事件来确保系统的安全性和完整性。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

2、蓝队防守流程

对于蓝队防守流程,笔者根据自身经验总结出以下几个方面。

01.资产梳理

收集资产清单:收集现有的资产清单,包括服务器、网络设备、终端设备、应用程序和数据库等。

网络拓扑绘制:绘制组织的网络拓扑图,显示不同资产之间的关系和连接。这有助于蓝队更好地理解网络的结构和流量路径,发现可能的风险区域和潜在的攻击路径。

确认网络边界:确定网络的边界和边界防御措施,包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等。了解哪些资产位于内部网络和外部网络之间,以及它们之间的通信方式和访问控制策略。

发现隐藏资产:进行主动扫描和探测,发现可能被遗漏的隐藏资产。这可以包括未经授权的服务器、未记录在清单中的设备、无线网络设备等。可以使用自动化工具进行资产发现和识别。

02.收缩攻击面

能关则关:根据上面梳理的资产,移除不必要的服务和应用程序,关闭不必要的端口和接口,删除或隐藏对外开放的敏感文件。

漏洞管理:对每个资产进行跟踪和更新它们的安全状态,可以用自动化攻击工具扫描它们是否有通用漏洞,并及时为每个系统打补丁、修复漏洞。

网络隔离:根据网络划分不同的网络区域,如内网应该与外网实现网络隔离,这样对外开放的资产将大大减少。

应用程序安全:确保应用程序的安全性,包括安全开发和编码实践、输入验证、访问控制、数据加密等。定期进行应用程序的更新与安全测试,发现和修复潜在的漏洞和安全问题。

03.强化策略

检查安全配置:审查每个资产的安全配置,包括操作系统、网络设备、防火墙和安全设备。确保配置符合最佳实践,并关闭或删除不需要的服务和端口。检查加密和认证设置,确保安全通信和身份验证机制的正确配置。

访问控制和权限管理:采取措施强化访问控制和权限管理。使用最小权限原则,限制用户和系统的访问权限。定期审查和更新权限设置,删除不再需要的账户和权限。

加固配置和安全策略:审查和加固系统、应用程序和网络设备的配置。关闭或禁用不必要的服务和功能,配置安全选项和参数,确保安全策略符合最佳实践和厂商建议。

强化身份验证:采取措施加强身份验证机制,使用强密码策略,要求采用多因素身份验证,比如短信认证加动态令牌认证。

建立安全审计和监测机制:定期审查系统和网络的安全配置、日志和活动。使用安全信息与事件管理系统(SIEM)来集中管理和分析日志数据,及时发现异常活动和潜在的安全事件。

建立应急响应计划:制定和实施应急响应计划,以应对安全事件和紧急情况。该计划应明确角色和责任、通信渠道、决策流程和恢复步骤等。定期测试和演练应急响应计划,以确保团队熟悉和熟练应对各类安全事件。

建立自动化的补丁管理和更新机制:定期检查和应用最新的安全修复程序,以修复已知的漏洞和安全问题。

时更新资产记录:根据梳理的结果更新资产清单和网络拓扑图。确保记录准确和实时,以便蓝队在后续的防守工作中可以准确识别和保护组织的资产。

04.建立安全小组

情报收集:安全小组通过收集与网络安全相关的情报,包括已知的攻击方式、攻击者的工具和技术、漏洞信息以及最新的威胁情报。这些情报可以来自内部的日志和事件记录、第三方安全供应商、公开的漏洞报告和威胁情报平台。

威胁情报分析:安全小组持续收集、分析和评估威胁情报,通过与威胁情报共享组织、合作伙伴和安全社区的合作,获取实时的威胁情报和警报,帮助蓝队更好地识别和应对潜在的威胁。

实时事件监控与响应:安全小组设置安全监控系统,这可以包括入侵检测系统(IDS)、入侵防御系统(IPS)、日志分析工具和安全信息与事件管理系统(SIEM),并实时监控系统和日志,及时发现和分析潜在的安全事件。通过建立有效的响应计划和流程,迅速对安全事件进行调查、确认和响应。这可能包括隔离受感染的系统、阻止恶意流量、恢复受影响的数据和系统,并进行取证以支持进一步的调查。

持续监控和演练:安全小组进行持续的安全监控和演练活动,以保持对网络和系统的实时可见性,并测试应急响应能力。他们定期检查安全监控系统的功能性和有效性,进行模拟演练和红队演练,以评估安全防御的强弱点,并改进应急响应计划和流程。

恢复和修复:在应对安全事件后,安全小组会进行系统和网络的恢复和修复工作。这包括修复受损的系统、重新配置安全控制、更新密码和凭证、加强安全培训和意识等。

安全培训和意识活动:安全小组开展定期的安全培训和意识活动,向组织内部员工传授安全最佳实践、识别威胁的能力,并提醒他们关注安全风险和潜在的社交工程攻击。通过增强员工的安全意识和行为,减少安全漏洞来源,加强整体安全防护。

05.安全培训

为组织内部员工提供安全意识培训。教育员工有关常见的网络威胁、社交工程攻击、密码安全等方面的最佳实践。提醒员工关注可疑的电子邮件、链接和附件,加强对安全风险的认识和防范意识。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

3、什么是等保2.0

以下参考:

  • GBT22239-2019《信息安全技术-网络安全等级保护基本要求》

  • GBT 28448-2019《信息安全技术 网络安全等级保护测评要求》

  • GB 17859-1999 《计算机信息系统 安全等级保护划分准则》

等保2.0是中国网络安全等级保护标准的升级版,也称为《GB/T 22239-2019信息安全技术网络安全等级保护管理指南》。在2019年发布,是对之前的等保1.0标准进行了修订和完善。

等保2.0标准旨在指导和规范政府机构和关键信息基础设施等重要单位的网络安全等级保护工作。它提供了一套系统的方法和要求,帮助组织评估和提升其网络安全水平,并确保其信息系统的安全运行。

等保2.0标准包含了网络安全等级保护的五个等级,分别为等级一至等级五,级别越高,对网络安全的要求越严格。标准规定了在不同等级下的安全保护要求和技术措施,包括网络安全管理、访问控制、安全审计、应急响应等方面。

等保2.0标准的推出旨在提高我国关键信息基础设施的网络安全水平,增强国家网络安全的整体能力,保护重要信息的安全和稳定。它对于企事业单位来说,也是一个重要的参考和指导,以确保其网络安全能够满足国家标准和要求。

等保2.0划分准则

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

第三级-安全标记级包含以下内容:

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

等保2.0第三级要求基线

等保2.0第三级安全计算环境基线要求如下:

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

二、结合等保基线内容加固系统

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

1、windows加固

01.身份鉴别

基线项a)

应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

实施内容:

  • 应核查用户在登录时是否采用了身份鉴别措施;

  • 应核查用户列表确认用户身份标识是否具有唯一性;

  • 应核查用户配置信息或测试验是否不在存空口令用户;

  • 应核查用户鉴别信息是否具有复杂度要求并定期更换;

配置参考:

运行“gpedit.msc”->本地计算机策略->计算机配置->Windows设置->安全设置>帐户策略->密码策略:

密码必须符合复杂性要求->启用;

密码长度最小值->8;

密码最长使用期限(可选)->180天;

密码最短使用期限->1天;

强制密码历史->5次。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线项b)

应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

  实施内容:

  • 应核查是否配置并启用了登录失败处理功能;

  • 应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;

  • 应核查是否配置并启用了登录连接超时及自动退出功能。

 配置参考:

1、运行“gpedit.msc”->本地计算机策略->计算机配置->Windows设置->安全设置>帐户策略->账户锁定策略:

帐户锁定阀值->5次无效登录(要先设置锁定阈值才能设置下面的两个);

重置帐户锁定计数器->3分钟;

帐户锁定时间->5分钟。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

2、运行“gpedit.msc”->本地计算机策略->用户配置->管理模版->控制面板->个性化:

启用“带密码的保护程序”;

启用“屏幕保护程序超时”,并设置“启用屏幕保护程序之前等待的秒数”为600秒(可设置为其他时间,建议不大于20分钟)。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线项c)

当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

 实施内容:

  • 应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。

 配置参考:

使用ssh等加密协议进行远程传输;

服务器使用堡垒机进行远程管理。

基线项d)

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

 实施内容:

  • 应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别;

  • 应核查其中一种鉴别技术是否使用密码技术来实现。

 配置参考:

采用短信验证码、动态口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户身份进行鉴别。

02.控制访问

基线a)

应对登录的用户分配账户和权限。

 实施内容:

  • 应核查是否为用户分配了账户和权限及相关设置情况;

  • 应核查是否已禁用或限制匿名、默认账户的访问权限。

 配置参考:

1、系统关键目录users用户无写入权限;

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

2、cmd.exe administrators和system组完全控制权限,其他用户没有权限。

打开文件夹:C:WindowsSystem32,找到cmd.exe,右键-->属性-->安全,设置把其他用户没有权限。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线b)

应重命名或删除默认账户,修改默认账户的默认口令。

 实施内容:

  • 应核查是否已经重命名默认账户或默认账户已被删除;

  • 应核查是否已修改默认账户的默认口令。

 配置参考:

运行“gpedit.msc”->本地计算机策略->计算机配置->安全选项->账户:

重命名管理员账户,修改Administraor、Guest用户名为不易猜测的用户。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线c)

应及时删除或停用多余的、过期的账户,避免共享账户的存在。

 实施内容:

  • 应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;

  • 应测试验证多余的、过期的账户是否被删除或停用。

  配置参考:

运行“compmgmt.msc”->计算机管理(本地)->本地用户和组->用户:

禁用guest、internet来宾帐户等多余帐户。九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线d)

应授予管理用户所需的最小权限,实现管理用户的权限分离。

  实施内容:

  • 应核查是否进行角色划分;

  • 应核查管理用户的权限是否已进行分离;

  • 应核查管理用户权限是否为其工作任务所需的最小权限。

  配置参考:

这个根据场景需要设置,假如针对外对开放的ftp服务进行设置,可以对该服务所对应的文件夹做用户权限划分:

文件夹:右键-->属性-->安全-->编辑;

管理员:完全控制;

普通用户:列出文件夹内容或者读取。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线e)

应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

  实施内容:

  • 应核查是否由授权主体(如管理用户)负责配置访问控制策略;

  • 应核查授权主体是否依据安全策略配置了主体对客体的访问规则;

  • 应测试验证用户是否有可越权访问情形。

  配置参考:

安全管理员对操作系统的访问控制策略进行配置。

基线f)

访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。

  实施内容:

  • 应核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。

  配置参考:

%systemdrive%windowssystem、%systemroot%system32config、%systemroot%ProgramDataMySQL等重要的文件夹users用户无写入权限。

九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

基线g)

应对重要主体和客体设置敏感标记,并控制主体对有安全标记信息资源的访问。

  实施内容:

  • 应核查是否对主体、客体设置了安全标记;

  • 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。

  配置参考:

 1、查看目前的敏感标记策略相关设置,例如:如何划分敏感标记分类,如何设定访问权限等; 

 2、将资源分类成不同安全等级。

(未完待续)

原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日14:32:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   九维团队-蓝队(防御)| 蓝队之结合等保2.0加固系统(上)http://cn-sec.com/archives/1825016.html

发表评论

匿名网友 填写信息