HVV在即,这是一场考验企业的网络安全防护能力、监测发现能力、应急处置能力及其综合能力的“拉锯战”。在攻防演练开始前期尽可能早地发现存在的短板和薄弱环节,这是悬在参演单位头上的“达摩克利斯之剑”。
安全隐患排查可谓是一个大工程:
1.如何行之有效地搜寻攻方可探查的敏感信息并及时清理?
2.如何进行资产测绘?
...
本期话题讨论将围绕但不限于以上维度进行讨论。
关于HVV,你准备好了吗?如果你还有更多想说的、想吐槽的、想分享的,欢迎在评论区畅所欲言。
我们将为评论区点赞数前三名的小伙伴赠送FreeBuf定制周边礼品~此外,欢迎大家下拉至文末申请加入作者群和甲方群,参与群内讨论噢~
活动时间:即日起至4月9日 18:00
1. 内外两扇门。外部用ARL灯塔监测互联网资产指纹,除443和80端口一律关闭。内部杀毒和补丁全修复,对探明的资产进行加固,未知网络一律封禁。
2. 多找几家安全厂商做资产和漏洞,互为补充,毕竟每家的探测能力和重点都有差异。
3. 以攻为守,故意散播蜜罐信息,反制攻击方。攻击才是最好的防守。
4. 收缩防守面,梳理资产(最最最重要),关掉那些乱七八糟的测试系统,封网一段时间(能禁止发版最好,避免新的漏洞出现)。内部用户端每天邮件、IM、易拉宝各种绝招轰炸。
5. 原始的资产表收集+扫描监控补充。
6. 直接按照红方的攻击手法,搜集信息方法,做一个checklist,然后防守方自己按照checklist检查一遍。如果有条件的,再直接找内部的攻击能力,对内部进行一些攻击尝试,以及来一次多方面的内部钓鱼然后公布结果,这个钓鱼比平时的员工安全意识培训管用。
7. 三个字:堆设备。只要设备堆得多,别人就打不进来。
8. 可以多看看外部那些扫描器爬虫在爬途中安全设备上的记录,可以看见很多连开发都没发现的东西。
9. 从人的角度看,有几类人容易成为钓鱼的重点也是易感人群:
各级领导,特别是大领导:易用特权不受监管。
行政财务人员:意识不够,好奇心重。
网络管理人员,NOC和soc的人:易有艺高人胆大心理,违规时侥幸心理重。
这三类人要重点加强检查排查督查。
1. 资产测绘感觉是平时就该做的,不应该再要HVV了才开始准备,在HVV前顶多是检查和维护一下,看看资产测绘方面的系统能否正常工作。
2. 我们梳理资产的时候,其中一项工作是扒了半年的网络访问日志,资产梳理出多少不说,无效系统访问发现无数,居然还有好多系统在访问机房搬迁前的无效老机房ftp。
3. 我们是简单做了一个分类,把资产定义为三个场景:
第一个场景是办公场景资产,主要是PC机,打印机,办公网络设备,主要靠dis arp命令+上网行为管理+终端管理做的资产合集,拆了域控。方便,但不安全,集权业务还额外扣分。
第二个是互联网业务场景,包含自建数据中心+云端服务器。这个我们有完善登记,责任到人,还请了厂商做Git泄露检测等互联网情报工作。
第三个场景就麻烦了,分子单位场景。分子单位我们不关注他们的办公网,只关注互联网发布业务,开了红头文件,每家按表格上报互联网可访问资产,有条件的统一迁移到自建数据中心,不能迁移的,做好职守工作,我们登记了,就会打他们。
我们目前这么做,还是有疏漏,把资产保送,通报整改纳入了信息化建设考核,希望大家都重视,但是重视有没有落实,我们也很难把握。毕竟没有非常实际的奖惩措施。
4. 资产盘查是点,网络系统架构是面。只有对网络和系统架构弄清楚了,点面联系起来,资产盘缠才有意义。响应的策略部署、监控,部署起来思路才能清晰。
5.尽量发现资产,能够发现一大堆内网漏洞。然后思考怎么能推动规定时间内整改完成?如果整改完不成怎样降低风险?不断迭代...
Q:有人计划把蜜罐做成容器服务吗?用容器调度做出自适应计划,根据攻击频率更改配置疯狂复制起多个蜜罐服务,消耗攻击者排查蜜罐的时间。
A1:现在就有全网蜜罐这种吧。不过现在攻击者主要是挖掘利用失陷服务器的痕迹,点到点攻击,根本不扫描。所以只能考虑在各种服务器上埋伏诱导,让攻击者访问蜜罐。
A2:不能,高仿真才能真消耗时间,每个都是定制,建议多定制,想办法倒流量。
A3:你必须从被攻击点,一点点溯源,把攻击者的路径复原,复原与攻击者真实路径越一致,分数越高,占6个得分点,反制占2个得分点。
扫码填写申请表单,通过审核后即可入群:
扫码添加FB小编加入群聊
回顾往期精彩话题讨论可关注专辑:Let's Talk