免责声明
月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他违法行为!!!
针对安全设备纵深防御与安全运营思路
-
多层次防护:采用边界防火墙、入侵检测系统、主机防护软件等多种手段建立防护深度。不同层面形成合力,提高总体防御能力。
-
主动发现攻击:通过蜜罐诱捕、威胁情报分析等方式主动探测攻击行为,而不是被动等待被入侵。
-
网络隔离控制:根据最小特权原则,对重要系统和数据采取严格的网络访问控制。限制不必要的连接。
-
系统强化优化:对操作系统和软件进行安全加固,关闭高危端口服务,修复漏洞,使用最新稳定版本。
-
安全运营体系:建立日常监控、事件响应、补丁管理等安全运营流程,持续提高防护能力。
-
人员安全意识培养:加强员工网络安全意识培训,防范钓鱼邮件、设置强口令等人员安全操作。
-
轴退思想指导:合理利用欺骗手段使攻击者浪费时间、转移目标。错过最佳时机常决定失败。
-
日志记录和可见性:收集并关联各类日志信息,全面了解和追踪攻击行为。
-
灵活应变调整防守策略:根据攻防态势变化及时调整防守策略,而不是僵化的预设模式。
-
技术多样运用:结合防火墙、IDS、沙箱、蜜罐等多种手段进行协同防护,不过于依赖单一技术。
总结来讲分为三个小点来总结
一.设备来讲
1.多层次防护:采用边界防火墙、入侵检测系统、主机防护软件等多种手段建立防护深度。不同层面形成合力,提高总体防御能力。
2.主动发现攻击:通过蜜罐诱捕、威胁情报分析等方式主动探测攻击行为,而不是被动等待被入侵。
3.日志记录和可见性:收集并关联各类日志信息,全面了解和追踪攻击行为。
二. 策略来讲
1.安全运营体系:建立日常监控、事件响应、补丁管理等安全运营流程,持续提高防护能力
2.系统强化优化:对操作系统和软件进行安全加固,关闭高危端口服务,修复漏洞,使用最新稳定版本。
3.网络隔离控制:根据最小特权原则,对重要系统和数据采取严格的网络访问控制。限制不必要的连接。
4.轴退思想指导:合理利用欺骗手段使攻击者浪费时间、转移目标。错过最佳时机常决定失败
三. 从人为的安全意识来讲
1. 人员安全意识培养:加强员工网络安全意识培训,防范钓鱼邮件、设置强口令等人员安全操作。
2. 灵活应变调整防守策略:根据攻防态势变化及时调整防守策略,而不是僵化的预设模式。
3. 系统强化优化:对操作系统和软件进行安全加固,关闭高危端口服务,修复漏洞,使用最新稳定版本
护网前的资产梳理和盘点
护网前期人员可分为漏洞扫描组,安全加固组,巡检组
主要职能是根据关注攻击组各种信息渠道,收集攻击者手段、TTP等信息。分析攻击组背景、资源情况,评估可能的攻击目标和规模。
1.漏洞扫描组:根据防守单位的网络结构做一次全方面深度的漏洞扫描和渗透测试,并提供相对应的危害程度和修复方案。
2.安全加固组:对漏扫组的成员给出的报告进行加固,并在相对应的笔记上上作一下台账记录曾经的历史漏洞,对一些不影响,不必要开启的业务及时关闭,避免被攻击队所利用。
3.巡检组:验证曾经的安全风险是否存在,并利用最新,受害者最广的漏洞进行一波轮回扫描,如有其漏洞存在,安全加固组再次加固。
护网开始的策略
人员可分为:监测组,研判组,应急组,溯源组
防御部署- 实时根据各个大厂的威胁情报,及时补充和优化防护措施,修复系统漏洞。- 重点加固核心系统资产,设置严密的认证和访问控制。- 部署各类安全设备,对自己平台的网络最好形成全流量监测平台,形成纵深防御体系。
1.监测组- 根据网络划分结构,划分多个区域,分别部署相对应的人力来监测其网络安全设备,根据流量大小,数据包攻击特征分别来判断其ip的行为。注:如果业务行为在设备上面误报出来应及时做出相对应的设备策略,以防止因为误报而耽搁发现攻击事件的时间。
2.研判组- 根据监测人员上报上来的攻击数据,对这些数据进行二次研判,确定情报是否有误,真实情报研判组可将这个情报依据其行为进行相对应的处置。如果有主机沦陷或者网站被打进来了那么就应该通知应急组成员。
3.应急组,- 事件的评估和应急分类:对事件进行评估和分析,判断事件级别和影响范围,确定应急响应等级。
- 情报收集和共享:收集事件相关信息,分析攻击手段,并将关键情报快速共享给相关团队。
- 控制管控攻击趋势,恢复正常业务:根据事件情况,制定技术措施进行临时遏制和管控,防止事件进一步扩散,协助业务团队进行系统恢复,补丁修复等技术措施,将影响降到最低
- 后期复查和总结:对事件进行全面的复查分析,找出根本原因,提出补救措施。完成应急处置后,总结经验教训,提高应急响应能力。
4.溯源组- 设立诱饵系统,迷惑对手浪费时间。- 散布虚假情报,对攻击者实施迷惑。
当⼀个事件产⽣,从蓝队的⼤流程中过来,经过了监控、分析、研判、应急等流程,作为反制,我们的目的是 为了获取红队相关基础设施的权限、以及进⼀步反制溯源到⼈员。
反制的人员组成
渗透⼈员⾄少1名:主要对需要反制的⽬标进⾏反渗透;
内⽹成员1名:需要擅⻓内⽹、钓⻥、cs/msf 、免杀 等红队技能点;
情报/社⼯反制⼈员⾄少1名:对拿到的ioc 、id等进⾏分析及社⼯反制相关⼈员;
逆向分析成员:分析获取到的相关样本,提取关键有⽤信息,分析红队⼈员后⻔;
漏洞分析成员:需要熟悉主流web漏洞、浏览器及2进制漏洞,能够快速制作相关反制的paylaod;
从日志方面信息ip或者带有其详细特征id等进行分析溯源,红队使用工具如sqlmap,goby,msf等等工具反制,内网蜜罐反制
护网实时做到的协同工作
1.联合协作- 与其他蓝队成员通力合作,优势互补。- 工作沟通顺畅,资源和情报共享。
2.不断总结提高- 演练实时总结经验教训,完善防守规划。- 提升监测、分析、响应的能力。
总结来讲
1.安全监测系统- 构建网络流量、主机资产、日志等的全方位监测系统,实现对网络运行状态的实时掌握。
2.威胁情报系统- 收集处置各类威胁情报,构建起本地化的威胁情报库,让监测和防御系统能够快速应对已知威胁。
3.安全警报和响应机制- 设置多级安全告警阈值,发现异常或攻击能够快速响应,启动应急预案。
4.安全防护体系- 运用防火墙、IPS、代理、WAF等设备和软件构建深度防御的安全防护体系。
5.安全巡检和漏洞管理- 定期对网络Assets进行安全评估和漏洞扫描,修补漏洞。
6.安全运营平台- 集中展示网络风险状态,支持安全设备统一管理、业务集中管控。
7.安全应急准备和演练- 制定完善的应急预案,并组织定期的应急演练,提高应急响应能力。
8.安全团队协作- 运维、应急、监测等团队之间信息共享和工作配合,提高协同效率。
网络安全部署位置
- 防火墙(Firewall):部署在网络边界,进行访问控制和流量过滤。
- 入侵防护系统(IPS):部署在防火墙后面,深度防护网络威胁和攻击。
- Web应用防火墙(WAF):部署在企业内网,保护Web应用程序,也可以部署在Web服务器前端,过滤对服务器的直接访问流量。
- VPN集中器:部署在企业互联网络边缘,负责远程VPN访问。
- 沙箱(Sandbox):部署在网络较深处,执行和分析可疑文件。
- 蜜罐(Honeypot):部署在企业外围,诱导和引导攻击行为。
- 数据包捕获设备:部署在网络关键节点,复制和收集流量。
- 负载均衡(Load Balancer):部署在服务器集群前端,分发流量。
- 下一代防火墙(NGFW):结合了多种功能于一身,部署在关键网络位置。
- 安全信息与事件管理系统(SIEM):收集和关联分析各设备日志。
态势感知- 部署在网络核心区域,通过镜像网络流量进行监控分析。- 连接在防火墙内外的SPAN端口进行流量复制。
EDR- 直接部署在需要保护的重要服务器、工作站等终端上。- 通过客户端软件植入的方式进行安装。
具体实现多层次防护
1.云上纵深防护- 强化访问控制,对不同业务设置ACL策略- 部署WAF、CDN实现Web业务防护- 云安全组设置严格的端口和协议访问策略- 启用DDoS高防和CC攻击防护- 云应用程序加固,定期漏洞扫描- 启用云的日志审计、风险检测功能
2.内网零信任网络 - 内网区分不同安全域,设置ACL进行分段- 对特权用户实施严格的认证和授权管控- 部署内网WAF,对东西向流量进行监控- 开启服务器、终端的日志审计,检测异常- 对内网资产进行风险评估和安全加固
3.前后端分离架构- Vue前端与Java后端分离部署- 通过API进行数据交互,前端无法直接访问后端数据库- 对API访问进行防护,认证授权、频率限制等- 禁止非法跨域访问API接口
4.数据库独立部署- 数据库运行在内网的独立服务器- 仅允许应用后端通过连接字符串访问- 对数据库连接进行加密,防止窃取- 启用数据库审计,检测敏感操作
环境隔离
1.防⽕墙策略:虽然安全组也可以做,但是内⽹业务层⾯还需要在防⽕墙上做策略。
2.堡垒机:使用堡垒机是为了保证运维安全,同时保障重要系统及靶标隔离。堡垒机的登录也是有访问控制的,只允许白名单 IP 访问,同时堡垒机使用强口令 + 随机 KEY 登录。双因子认证:重要系统 (控制台,总控系统,运维系统等) 有必要的均采用堡垒机登录,使用白名单 IP + 强口令策略 + 随机验证码 组合策略。
运维相关的方案
1、测试、开发服务器全部关停
2、敏感端⼝安全组隔离
3、使⽤堡垒机、跳板机运维
4、⽤户、权限隔离
这⾥特别说明下,⽐如:MySQL 不使⽤默认 root ⽤户,使⽤业务 / 项⽬名中间⽤下划线连
接的⽅式,因为爆破都是默认⽤户的,这样即使存在弱⼝令,也将安全性提升⼀⼤截
5、认证策略:密钥、双因⼦认证
6、最⼩化权限原则
7、打上安全风险的补丁
护网前的资产梳理和盘点
互联网开端口梳理: 通过查看出口防火墙/路由器配置
内网资产梳理: 通过各业务部门报告和内网资产扫描
网络架构梳理:目标系统网络连接情况梳理,避免双网卡连接互联网和内网环境
业务系统梳理:
1.开放端口: ssh/rdp/redis/ftp/mysql/oracle/mssql等要做访问限制
2.开发框架:要由各系统开发人员汇报(例: 使用weblogic/shiro/st2等要提前更新)
安全防护梳理:
1.确定安全设备登录IP地址,谁管理负责
2.确定目前安全策略是否有效实施
护网的业务收束方案
1.一般业务系统
- 对核心业务服务器、数据库实施严格的访问控制策略,只开放必要端口。
- 在服务器上部署防病毒软件、主机入侵检测系统,保障终端安全。
- 在业务系统与外界交互的边界部署防火墙、应用交付控制器等设备进行流量控制。
- 对互联网入口部署Web应用防火墙,过滤SQL注入、XSS等Web攻击。
- 开启各类安全设备的日志审计功能,收集并关联分析日志,发现异常。
2.交易系统
- 资产管理,识别核心服务器、数据库、缓存等资产。
- 对互联网仅开放Web服务器端口80和443。内网数据库不对外开放。
- Web应用进行代码安全review,修复可能的漏洞。
- 使用CDN服务保护源站,配置WAF进行SQL注入等攻击防范。
- 对交易数据进行加密,防止窃取;对日志开启审计,数据备份。
3. 机密业务系统
- 建立完善的政务资产管理体系,评估资产重要性。
- 根据保密等级落实物理隔离区网络控制,部署多级防火墙。
- 核心数据库实施内部用户权限管控和数据库活动监控。
- Web应用代码安全检查,修补漏洞,使用数据库防火墙过滤SQL注入。
- 异常登录失败监控,对关键数据访问日志审计。
护网的框架层防守
1. 收集内外网应用使用的框架信息
- 通过代码审计、组件扫描等方式收集应用使用的框架信息,如Spring MVC、Struts2、Hibernate等。
- 记录框架的名称、版本号等详细信息,如Spring MVC 3.2.5。
- 同时收集相关组件和jar包信息,如shiro-1.2.3.jar、fastjson-1.2.58.jar。
2. 框架漏洞管理
- 检查已收集的框架是否存在公开的漏洞,并评估风险级别。
- 重点关注风险较高的框架进行修复,如升级fastjson版本避免远程代码执行漏洞。
- 对无法快速修复的漏洞,采取访问控制、WAF等措施进行缓解。
3. 监控攻击行为
- 收集相关框架漏洞攻击的特征指标,部署IDS/IPS等进行检测。
- 分析Web日志找出针对框架漏洞的攻击痕迹。
- 关联分析各种日志,发现漏洞被利用的迹象。
4. 加强安全开发
- 提供开发人员安全的框架和组件清单,避免使用风险组件。
- 在开发规范中增加对漏洞框架的替换等要求。
5强应用自身安全机制
- 不完全依赖框架本身安全机制,在应用层增加身份验证、授权校验。
- 输入输出数据进行校验、过滤、编码,防止注入、XSS等漏洞。
- 启用WAF等设备检测异常访问行为。
6 应急预案和演练- 制定框架漏洞应急方案,演练响应流程。
- 沙箱环境可用于对疑似0day漏洞进行复现和分析。
- 业务连续性计划,降级服务、流量切换等备选方案。
对护网期间出现的0day漏洞,可以考虑采取以下解决方案
1. 打补丁修复
- 对已知的0day漏洞,第一时间获取安全厂商提供的补丁并应用,进行修复。
2. 非法流量过滤
- 根据0day漏洞攻击的特征,在边界处部署WAF等设备检测过滤异常流量。
3. 沙箱分析复现
- 使用沙箱环境复现0day漏洞,分析攻击载荷,提取检测特征。
4. 加固和隔离
- 对重要系统进行加固,关闭相关服务,限制某种类型的访问请求。
- 将受影响系统临时进行网络隔离,直到漏洞修复。
5. 切换备份系统
- 对核心业务系统实施冗余机制,出现漏洞时可以快速切换到备用系统。
6. 业务调整
- 根据风险评估,暂时调整相关业务操作流程,避免触发漏洞点。
7. 加强监控
- 分析各类日志关联,检查是否有漏洞被利用的迹象。
综合利用各种手段,可以最大程度降低未知0day漏洞的影响。
护网期间可以建立如下协同联动机制:
1. 建立安全运营协调小组
- 由网络安全、业务运维、应急响应等部门组成。
- 制定联动工作流程,确定事故识别、通报、处理的机制。
2. 完善监控预警系统
- 对业务流量、网络行为、终端日志等进行监控。
- 设置明确的预警指标和阈值,一旦触发及时报警。
3. 构建自动化响应平台
- 根据不同级别的安全事件,触发自动化的应急响应措施。
- 如自动隔离攻击源、利用IPS过滤攻击流量等。
4. 搭建信息共享平台
- 各部门将安全事件、处理措施等信息进行共享。
- 形成关于新出现威胁的快速 分析和应对方案。
5. 组织联合应急演练
- 模拟真实的护网场景,组织网络安全部门和业务部门联合进行演练。
- 检验协同工作机制,提高联动效率。
护网期间的反钓鱼溯源和攻击诱捕的具体实施方案
1. 部署钓鱼网站诱捕平台
- 搭建逻辑上与真实网站类似的钓鱼网站。
- 监控钓鱼网站访问,获取攻击源IP等信息。
2. 植入钓鱼漏洞诱导攻击
- 在非关键系统的Web页面植入诱导钓鱼攻击的漏洞链接或代码。
- 通过监控访问识别攻击行为。
3. 发送诱饵邮件引诱点击
- 向疑似攻击者发送含有诱饵链接的邮件。
- 链接指向诱捕平台,记录访问IP等信息。
4. 攻击源溯源和影响分析
- 对捕获的攻击源IP进行BGP路由溯源,确定真实源。
- 分析对系统的影响,确定攻击意图和目的。
5. 利用蜜罐引导进一步攻击
- 在蜜罐环境释放诱饵信息。
- 进一步引导攻击行为,获取更多threat情报。
6. 攻击预警和防御加固
- 根据捕获情报,针对性加强相关业务的监控和防御。
- 提高网络节点对类似攻击的过滤能力。
综合运用各种手段进行主动诱捕,可以实现对钓鱼、网络攻击的溯源和应对。
本文由月落星沉团队编写,欢迎各位网安工程师加入月落安全研究实验室,一起学习交流讨论!群聊已满的添加Vx:linjialelovejesus,备注进群。(已加入一二三四五六群的无需重复加群)
原文始发于微信公众号(月落安全):针对安全设备纵深防御与安全运营思路(每周更新ing)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论