【2024HW】|5-蓝队防守要点分享

No.1 安全防护设备

1、对于核心用户攻防演练初期的值守，安全防护设备（APT、AILPHA数据管理平台等）最好是能提早一星期落实到位，主要是能够提早用于检测用户的网址发生的弱口令漏洞、Shiro反序列化漏洞这种，告知用户开展马上的整改落实。如下图所显示：

2、攻防演练初期一定要确定安装的安全防护设备有网络访问数据流量通过，要是没有则要马上开展整改落实，不必发生被攻击了机器设备上都还没数据流量的状况。WAF等安全防护设备的管理策略一定要调到最高的，发觉攻击性行为马上把攻击者的数据流量给拦截了而且封相匹配的网络ip。

No.2 网络操作系统

1、攻防演练初期重心点一定要放进靶点操作系统及其局域网的集权操作系统（安全审计系统、360天擎这种）机器设备上，只需可以把大头保留住攻防演练值守最终还是能拿下来的。最终提议用户不必把oa办公系统交给公安当靶点操作系统（oa办公系统非常容易爆0day漏洞）。

2、用户的网络资产整理：

·最先咨询用户要1份用户分类整理的网络资产表，把某些能关掉的帐外资产都关掉，渗透测试主要是聚集在不能关掉的网络操作系统上。

·比较常见漏洞的整理（SQL注入漏洞这种）。

·该打的补丁包都需要打上，避免攻击者开展提权，局域网纵向渗透，权限管理也一定要搞好。

·降低网络操作系统曝露面，避免被攻击者攻击。

·提议不必把oa办公系统交给公安作为靶点操作系统（非常容易报0day漏洞出来）。

3、依据每个地址不一样的攻防演练标准制订相对应的防守管理策略，要灵巧深入分析出攻击者的1个时间点，为自己的防守降低劳动量。

4、关掉曝露在网络上的我国大中型软件开发平台，金融公司选用的自个的软件开发。

5、做信息收集的情况下不必只限制于用户提供的资产，尤其是某些大中型厂商很有可能连他们自己都是有许多资产不清楚，能够运用红队渗透网络平台GreatAttack/greatattack来做信息收集，看是不是有漏写某些操作系统做信息收集，保证 在攻防演练期内不被攻击者给发觉。

No.3局域网操作系统

1、用户局域网资产整理：

·比较常见漏洞的整理（数据库弱口令、RDP弱口令、MS17-010这种），保证这种非常容易运用的漏洞不会有。能够运用超级弱口令软件来开展扫描。

·能够使用goby对内网网段开展扫描，看一下是不是发生非常容易被运用的漏洞点。发觉了马上对其开展修复。

2、搞清楚企业的组织结构、网络结构、细致华操纵（寻找用户的清单，开展排序，尤其是公开在外网上的）拓扑结构图。

3、关掉企业内部不使用的wifi，并对开发的wifi开展监控。

引文来源：https://www.sinesafe.com/article/20210623/2008.html

原文始发于微信公众号（Hacking黑白红）：【2024HW】|5-蓝队防守要点分享