HW行动之“防守方”策略
“防守方”依据HW行动时间延展可分为四大阶段:备战阶段、临战阶段、决战阶段、总结阶段。具体策略概述如下:
备战阶段主要是对安全现状排查。目标是通过数据资产梳理、安全风险评估,以及自查自纠、安全培训,建立安全防护体系。
临战阶段主要是按照HW行动整体模式开展资产巡查、渗透测试,制定应急预案、开展实战应急演练,依据内外网检测结果进行系统安全加固及应急处置优化。
决战阶段主要是进行7*24小时现场值守。值守中,要实时监控安全态势,实时应急响应安全事件,确保整个重大活动期间的安全保障。具体任务:依据安全审计告警信息进行实时监控与上报,实时监测重点系统的风险及安全隐患并第一时间应急处置,现场依据策略调整进行突发事件处理,现场针对安全事件进行溯源分析等等。
总结阶段主要是对HW行动的工作及经验不足进行总结,并根据总结结果持续改进、优化网络安全整体建设水平。
0day防护
0day漏洞是一项复杂的任务,因为这些漏洞尚未被公开并且还没有相关的修复补丁,以下是几个明确的步骤来帮助您提高系统的安全性,并降低受到0day漏洞攻击的风险
通过将网络划分为多个隔离的子网,限制内部系统之间的直接通信。这样即使一个系统受到攻击,也可以减少攻击者对其他系统的影响范围。使用网络防火墙和网络访问控制列表(ACL)来监控和限制不同子网之间的流量。此外,实施网络隔离策略,将关键资产放置在单独的受保护区域中,只允许经过严格身份验证的用户访问。
强化主机安全防护:
部分0day利用成功后需要主机读写文件权限,部署终端防护系统,一是监控非白名单地址的运维操作和敏感操作命令,及时发现异常命令执行行为,包括攻击者常用的whoami、id等。二是监控服务器敏感配置文件的读取,例如passwd、shadow、*.conf 文件。三是进制web目录写入脚本文件,防止webshell后门落地执行。
布置蜜罐
一是边界区域部署办公系统蜜罐。二是在核心计算区域布置核心系统和集权系统蜜罐。三是将真实系统的非业务端口访问流量转发至蜜罐,第一时间发现内网扫描行为。
部署高交互、高仿真蜜罐,将vpn、oa系统做蜜罐备份,攻防期间替换掉真实业务域名,混淆攻击者,捕获零日漏洞。同时将下载页面中vpn、oa客户端替换为cs免杀木马,在云服务器部署通过cna脚本进行上线微信提醒,一旦上线即可第一时间反制溯源
0day攻击应急响应流程
情报收集与分析:
收集关于0day漏洞的相关情报,包括CVE编号、受影响系统和软件版本等信息分析漏洞利用的方式和攻击者可能采取的行动,评估威胁程度和潜在风险
确认系统是否受到0day攻击,通过检查异常活动、不寻常的日志记录或其他安全事件的迹象。验证攻击的范围和受影响的系统,确定攻击者获取的权限和可能的损害。
通过防火墙、入侵检测系统(IDS/IPS)或其他安全设备,将受感染的主机或网络隔离起来,以限制攻击扩散。划定边界并构建隔离环境,确保被感染系统无法连接到其他系统或网络
收集与攻击有关的所有证据,包括攻击流量捕获、日志文件、内存快照、恶意代码样本等。确保对证据进行正确的保留和存档。采取紧急措施来阻止攻击,例如禁用受感染的账户、停止受感染的服务或断开受感染系统与网络的连接。如果可行,尝试应用已有的临时修复方案或补丁,并确保它们不会引入其他问题。
对受感染系统进行深度分析,以了解攻击者的行动方式和后门特征。使用专业的安全工具和反恶意软件软件,扫描并清除潜在的恶意代码。进行持久性检查,确保系统没有被重新感染,并通过监控日志和网络活动来发现任何异常行为。
在确认系统已经得到清理并修复后,开始系统恢复过程。确保先进行彻底的测试和验证,以确保系统的安全性和功能性。根据针对0day漏洞的最新信息,升级受影响的系统和软件,并加强防护措施,例如配置审计、访问控制和内网安全策略。
进行事后分析,评估0day攻击的影响和损失,并确定应对措施的有效性和不足之处。撰写一份详细的报告,记录事件的经过、所采取的措施和应对结果。提供有关0day漏洞的信息共享给相关机构或社区完成整个应急流程的闭环
监控设备方法,如果说现在做好的办法那就是封堵ip,每个头部厂商有自己的办法,当然了防守战法有3个方面:
被打穿了怎么办?
提桶跑路
原文始发于微信公众号(Poker安全):Hvv蓝队技战法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论