STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
No.1 安全设备
1、针对重点客户攻防演练前期的值守,安全设备(APT、AiLPHA大数据平台等)最好能提前一周到位,主要是可以提前用来检测客户的网站存在的弱口令漏洞、Shiro 反序列化漏洞等等,通知客户进行及时的整改。如下图所示:
2、攻防演练前期一定要确认安装的安全设备有访问流量通过,如果没有则要及时进行整改,不要出现被攻击了设备上还没有流量的情况。WAF等安全设备的策略一定要调到最高,发现攻击行为直接把攻击者的流量给拦截了并且封对应的IP地址。
No.2 互联网系统
1、攻防演练前期重心一定要放到靶标系统以及内网的集权系统(堡垒机、天擎等等)设备上,只要能把大头保住攻防演练值守最终还是能拿下来的。最后建议客户不要把OA系统报给公安当靶标系统(OA系统容易爆0day漏洞)。
2、客户的互联网资产梳理:
· 首先询问客户要一份客户整理出来的互联网资产表,把一些能关闭的帐外资产都关闭掉,渗透测试主要集中在不能关闭的互联网系统上。
· 常见漏洞的梳理(SQL注入漏洞等等)。
· 该打的补丁都要打上,防止攻击者进行提权,内网横向渗透,权限控制也一定要做好。
· 减少互联网系统暴露面,防止被攻击者攻击。
· 建议不要把OA系统报给公安当作靶标系统(容易报0day漏洞出来)。
3、根据各个地址不同的攻防演练规则制定相应的防守策略,要灵活分析出攻击者的一个时间点,给自己的防守减少工作量。
4、关闭暴露在互联网上的国内大型商业软件,金融公司采用的自己的开发软件。
5、做信息收集的时候不要只限定于客户提供的资产,特别是一些大型厂商可能连他们自己都有很多资产不清楚,可以利用红队渗透平台GreatAttack(http://greatattack.688023.cn/)来做信息收集,看是否有漏掉一些系统做信息收集,确保在攻防演练期间不被攻击者给发现。
No.3 内网系统
1、客户内网资产梳理:
· 常见漏洞的梳理(数据库弱口令、RDP弱口令、MS17-010等等),保证这些容易利用的漏洞不存在。可以利用超级弱口令工具来进行扫描。
· 可以使用goby对内网网段进行扫描,看看是否存在容易被利用的漏洞点。发现了立即对其进行修复。
2、明白公司的组织架构、网络架构、精细华控制(找到用户的清单,进行排序,特别是公开在外网上的)网络拓扑图。
3、关闭公司内部不使用的wifi,并对开发的wifi进行监控。
RECRUITMENT
招聘启事
END
长按识别二维码关注我们
本文始发于微信公众号(雷神众测):谈谈蓝队攻防演练前期值守准备
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论