下载提示
- 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
- 2.下载该文档所得收入归上传者、原创者。
- 3.下载的文档,不会出现我们的网址水印。
文档列表
文档介绍
该【攻防演练中的防守方攻略 】是由【海洋里徜徉知识】上传分享,文档一共【6】页,该文档可以免费在线阅读,需要了解更多关于【攻防演练中的防守方攻略 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。攻防演练中的防守方攻略
近年来,攻防演练已逐渐成为检验网络平安建设效果的重要方式。那么在 网络平安攻防演练中,如何做好防守工作并取得好的成绩呢?今天就一起盘 一盘这份攻防演练中的防守方攻略。
上次的文章中提到了如何提升攻防实战能力(见下面链接),基于大量以 往实战案例分析,从整体理念层面给出了可行的防守解决方案;这次的文章 将聚焦落地,提供干货满满的实操性作战指南。
一、知己知彼:攻击方常见的"套路”
在攻防演练的全过程中,攻击方会利用一切手段来突破防线,从大量的攻防 演练案例来看,攻击方常用战术思路如下:
、Github、求职APP等渠道收集有用信息。
利用网站、邮件系统、JAVA等应用的漏洞翻开入口。
攻击APP、公众号、小程序等移动应用获取权限。
对内部员工发动水坑、钓鱼邮件、QQ聊天等社工或类APT攻击。
迂回攻击下属单位,进入内网后绕道攻击总部目标。
.攻击供应链,挖掘漏洞或者利用已分配权限进入内网。
利用第三方运维人员、内部员工违规外联等方式入侵专网。
攻击第三方供应商、外包团队等,利用第三方接入网络攻击目标单位。
利用弱口令、密码复用等潜在问题获取权限。
、堡垒机、云平台、单点登录等系统以点打面。
搜索多网卡主机、4A系统、网站等资产持续渗透。
攻击内部核心主机获取重要系统权限。
二、前车之鉴:防守方存在的普遍问题
防守方网络平安体系的健壮性决定了攻击方的突破难度,从过去的攻防演练 来看,防守方普遍存在以下问题:
互联网暴露面过多-对外的服务太多,没能有效维护和管理。
弱口令大量存在-除了内网的弱口令问题外,防守方对云平台、大数据、物联 网等弱口令问题重视程度不够。
缺乏纵深防护体系-重视外网边界防护,轻视内网防护。
重要系统防御薄弱-如域控系统、堡垒机等集权系统没有重点加固。
.敏感信息外部散播-网络拓扑、用户信息等泄露在互联网,成为攻击方利用点。
资产管理不到位-老/旧/僵尸系统清理不及时,容易成为攻击者的跳板。
供应链疏于管控-软件外包、外部服务提供商等成为迂回攻击的重要通道。
陈年漏洞长期暴露-早已披露的陈年漏洞未修复,特别是内网的漏洞修复不够 及时。
员工平安意识淡薄-内部员工缺乏平安意识,容易遭受社工攻击。
三、最正确实践:攻防演练防守作战指南
基于对攻击方的作战思路及大量实战案例的分析,某服总结出“三二一"实战防 守思路,帮助用户更有效开展攻防演练备战工作,提升网络平安防御水平。
具体措施如下:
三个重点:风险消减、立体保护、监测响应
-统一互联网出口,或尽量减少不必要的互联网出入口,减
轻防守压力。
压缩对外资产暴露面-如关闭不需要的网站、对外提供服务的业务系统等。
漏洞排查与修复/防护-全面开展主机、网络设备、平安设备、应用系统的漏 洞排查和修复工作,尤其是发布已久的高危漏洞,如核心系统无法修复,那么 部署入侵防御系统进行防护。
弱密码排查与修改-全面排查并修改重要系统、应用的弱密码(如123456、
默认密码等),服务器不应复用相同管理密码。
清理整顿老旧资产-清理不用的老旧资产、僵尸资产等,排查并清除应用的测
试账号,防止成为攻击跳板。
外泄敏感信息-在互联网上(如文库、Github、求职网站等)提前是 否存在被泄露的敏感信息,并做出相应的处置措施。
失陷主机检测处置-对内网所有主机进行排查,检测是否存在已经失陷但未发 现的系统(如已经存在远控木马或后门),并进行处置。
平安设备策略调优-清点优化平安设备策略,清点不合理、重复或失效的策略,
Wi・Fi平安检测加
并对策略进行细化。
-对无线网络平安情况进行梳理,消除弱密码,发现并关
停内部用户私接Wi-Fi网络。
供应链梳理-加强对外包人员、外部供应商的监督和管理,对外包维护的信息
系统进行风险排查和加固。
加强员工平安意识-可对内部员工进行平安意识培训,减少被钓鱼邮件、社工 等方式突破的风险。
平安加
效果验证-对加固完的网络防御能力进行评估,如渗透测试等,找至I」
潜在风险点进行修复。
.-建立南北向网络平安纵深防护体系,防止一道防线被突破
满盘皆输。使用如下一代防火墙、WAF、API网关、HIDS等建立多层防御体
系,增加攻击者边界突破的难度。
•内部
络分区分域-不同业务类型与平安等级的网络区域尽量划分为不同的
网络平安区域,如划分为办公区、互联网区、内网应用区等。
・域间平安隔离防护-在分区分域的基础上,针对各个区域边界建立不同的平安
防护措施,加大攻击方横向渗透的难度。
.监测响应指南内网攻击行为监测-部署内网平安检测设备,防止攻击者进入内网持续突破无
感知,目前业界较主流技术包括全流量监测分析系统、恶意文件检测沙箱系 统等。
终端异常行为监测-在终端系统上部署如EDR等平安软件,对终端行为进行 监测,同时对终端平安日志进行统一收集、分析。
反向溯源与取证-对于更高的溯源与反向打击要求,在内网建立蜜罐诱捕系统, 对攻击方进行完整的取证和溯源。
二项加强:强化关键系统防护、强化关键路径防护
.强化关键系统防护措施集权系统强化防护-对内部的核心业务系统、关键集权系统(如域控、堡垒机) 等进行漏洞检测和修复,并对其平安加固。
对外应用强化防护-加强互联网相关应用的防护,如WEB网站、APP应用等 的平安防护。
工控系统强化防护-加强工控网络边界平安防护,并对工控网络隔离情况进行 排查,看是否存在非法访问路径。
.强化关键路径防护措施・梳理关键路径信息-对到达关键系统的路径进行梳理,关闭不必要的连通路径,
并对相应的用户进行权限最小化的管控措施。
・关犍路径强化防护-对能够到达关键系统的相关路径,强化平安防护措施,如 部署多套异构的平安设备在关键路径上,以加强平安防护。
一个中心:平安运营中心・ 建立平安运营中心-平安运营中心作为防守方的平安大脑,对所有网络流量、 日志等进行关联分析、处置。在平安运营中心上建立工单系统及事件处置流 程,利用SOAR或其它自动化的流程对平安事件进行告警、响应和处置。
近年来,攻防演练已逐渐成为检验网络平安建设效果的重要方式。那么在 网络平安攻防演练中,如何做好防守工作并取得好的成绩呢?今天就一起盘 一盘这份攻防演练中的防守方攻略。
上次的文章中提到了如何提升攻防实战能力(见下面链接),基于大量以 往实战案例分析,从整体理念层面给出了可行的防守解决方案;这次的文章 将聚焦落地,提供干货满满的实操性作战指南。
一、知己知彼:攻击方常见的"套路”
在攻防演练的全过程中,攻击方会利用一切手段来突破防线,从大量的攻防 演练案例来看,攻击方常用战术思路如下:
、Github、求职APP等渠道收集有用信息。
利用网站、邮件系统、JAVA等应用的漏洞翻开入口。
攻击APP、公众号、小程序等移动应用获取权限。
对内部员工发动水坑、钓鱼邮件、QQ聊天等社工或类APT攻击。
迂回攻击下属单位,进入内网后绕道攻击总部目标。
.攻击供应链,挖掘漏洞或者利用已分配权限进入内网。
利用第三方运维人员、内部员工违规外联等方式入侵专网。
攻击第三方供应商、外包团队等,利用第三方接入网络攻击目标单位。
利用弱口令、密码复用等潜在问题获取权限。
、堡垒机、云平台、单点登录等系统以点打面。
搜索多网卡主机、4A系统、网站等资产持续渗透。
攻击内部核心主机获取重要系统权限。
二、前车之鉴:防守方存在的普遍问题
防守方网络平安体系的健壮性决定了攻击方的突破难度,从过去的攻防演练 来看,防守方普遍存在以下问题:
互联网暴露面过多-对外的服务太多,没能有效维护和管理。
弱口令大量存在-除了内网的弱口令问题外,防守方对云平台、大数据、物联 网等弱口令问题重视程度不够。
缺乏纵深防护体系-重视外网边界防护,轻视内网防护。
重要系统防御薄弱-如域控系统、堡垒机等集权系统没有重点加固。
.敏感信息外部散播-网络拓扑、用户信息等泄露在互联网,成为攻击方利用点。
资产管理不到位-老/旧/僵尸系统清理不及时,容易成为攻击者的跳板。
供应链疏于管控-软件外包、外部服务提供商等成为迂回攻击的重要通道。
陈年漏洞长期暴露-早已披露的陈年漏洞未修复,特别是内网的漏洞修复不够 及时。
员工平安意识淡薄-内部员工缺乏平安意识,容易遭受社工攻击。
三、最正确实践:攻防演练防守作战指南
基于对攻击方的作战思路及大量实战案例的分析,某服总结出“三二一"实战防 守思路,帮助用户更有效开展攻防演练备战工作,提升网络平安防御水平。
具体措施如下:
三个重点:风险消减、立体保护、监测响应
-统一互联网出口,或尽量减少不必要的互联网出入口,减
轻防守压力。
压缩对外资产暴露面-如关闭不需要的网站、对外提供服务的业务系统等。
漏洞排查与修复/防护-全面开展主机、网络设备、平安设备、应用系统的漏 洞排查和修复工作,尤其是发布已久的高危漏洞,如核心系统无法修复,那么 部署入侵防御系统进行防护。
弱密码排查与修改-全面排查并修改重要系统、应用的弱密码(如123456、
默认密码等),服务器不应复用相同管理密码。
清理整顿老旧资产-清理不用的老旧资产、僵尸资产等,排查并清除应用的测
试账号,防止成为攻击跳板。
外泄敏感信息-在互联网上(如文库、Github、求职网站等)提前是 否存在被泄露的敏感信息,并做出相应的处置措施。
失陷主机检测处置-对内网所有主机进行排查,检测是否存在已经失陷但未发 现的系统(如已经存在远控木马或后门),并进行处置。
平安设备策略调优-清点优化平安设备策略,清点不合理、重复或失效的策略,
Wi・Fi平安检测加
并对策略进行细化。
-对无线网络平安情况进行梳理,消除弱密码,发现并关
停内部用户私接Wi-Fi网络。
供应链梳理-加强对外包人员、外部供应商的监督和管理,对外包维护的信息
系统进行风险排查和加固。
加强员工平安意识-可对内部员工进行平安意识培训,减少被钓鱼邮件、社工 等方式突破的风险。
平安加
效果验证-对加固完的网络防御能力进行评估,如渗透测试等,找至I」
潜在风险点进行修复。
.-建立南北向网络平安纵深防护体系,防止一道防线被突破
满盘皆输。使用如下一代防火墙、WAF、API网关、HIDS等建立多层防御体
系,增加攻击者边界突破的难度。
•内部
络分区分域-不同业务类型与平安等级的网络区域尽量划分为不同的
网络平安区域,如划分为办公区、互联网区、内网应用区等。
・域间平安隔离防护-在分区分域的基础上,针对各个区域边界建立不同的平安
防护措施,加大攻击方横向渗透的难度。
.监测响应指南内网攻击行为监测-部署内网平安检测设备,防止攻击者进入内网持续突破无
感知,目前业界较主流技术包括全流量监测分析系统、恶意文件检测沙箱系 统等。
终端异常行为监测-在终端系统上部署如EDR等平安软件,对终端行为进行 监测,同时对终端平安日志进行统一收集、分析。
反向溯源与取证-对于更高的溯源与反向打击要求,在内网建立蜜罐诱捕系统, 对攻击方进行完整的取证和溯源。
二项加强:强化关键系统防护、强化关键路径防护
.强化关键系统防护措施集权系统强化防护-对内部的核心业务系统、关键集权系统(如域控、堡垒机) 等进行漏洞检测和修复,并对其平安加固。
对外应用强化防护-加强互联网相关应用的防护,如WEB网站、APP应用等 的平安防护。
工控系统强化防护-加强工控网络边界平安防护,并对工控网络隔离情况进行 排查,看是否存在非法访问路径。
.强化关键路径防护措施・梳理关键路径信息-对到达关键系统的路径进行梳理,关闭不必要的连通路径,
并对相应的用户进行权限最小化的管控措施。
・关犍路径强化防护-对能够到达关键系统的相关路径,强化平安防护措施,如 部署多套异构的平安设备在关键路径上,以加强平安防护。
一个中心:平安运营中心・ 建立平安运营中心-平安运营中心作为防守方的平安大脑,对所有网络流量、 日志等进行关联分析、处置。在平安运营中心上建立工单系统及事件处置流 程,利用SOAR或其它自动化的流程对平安事件进行告警、响应和处置。
攻防演练中的防守方攻略 来自淘豆网www.taodocs.com转载请标明出处.