本文阐述了企业安全的关键要素,包括备份、监控、访问控制、安全防御系统的部署、定期评估和漏洞管理。强调了安全意识、策略制定、技术与业务结合的重要性,以及DevSecOps和零信任模型在现代安全管理中的角色。
- 做备份,随时可更换系统和服务器。这是安全给运维提的需求。
- 网路哦监控、系统监控、应用监控、三合一入侵监控,也就是SIEM。不然入侵来的时候的时候反应不过来。
- 访问频率限制。这也是最小化原则里的一种;
- 信息防泄密;
- 主动渗透测试、反复确定安全配置,不要让技术没按照安全提的策略少配置了。还要经常查找日志里的入侵痕迹;
- 紧急应急、24小时立刻要做。
- 木马后门扫描,这个要周期性做;
- 访问凭据的保护,防中间人;
- 防互联网随意扫描。这个要用策略防住;
- 安全防御就是“靠策略、补丁管理、安全系统、紧急应急”组成的;
- 始终有一个心态“内网有一个肉机”。始终要有一个心态“有一个漏洞”。
- 始终有内鬼心态,包括远程办公人员;
- 限制访问路径,不能直接就访问了。
- 被远控了。一定要第一时间发现,这个是必须的。
- 内网渗透,一定要发现;
- 使用软件要官网的,包括开发库;
- 找程序的业务逻辑漏洞;
- 不准乱用软件,要有应用白名单。禁止敏感信息外发网盘,gitlab等。有的软件上传敏感信息;
- 结合行业的安全守则和规范来做安全。
- 发现异常就要联系安全,有的异常就是安全引起的,比如cpu飙高。比如网页被挂马,网络有flash更新提示。日志有异常日志
- 不合法内容不要点,这是基本的安全意识;
- 一定要找出最薄弱点,那个点没做安全的,忽略的,才是重点。安全就是要全面,木桶原理,取决于最薄弱环节;
- 多看安全新闻,掌握最新威胁情报;
- 一旦被攻击或爆漏洞,一定要紧急处理;
- 多看应用的日志;
- 遵循安全行业规范,比如picc比如等保。
- 到市场上看有没有自己的敏感信息在卖。比如暗网,比如telegram等。如果有就是被入侵或内鬼了。需要重视。
- 分权管理,所有权限或敏感信息不要放在同一个人手上。要分摊到两个人一起做才可以。这就防止一个人独大了。
- 要部署一套全面的安全系统,并且统一管理;
- 充分熟悉业务和开发运维网络dba的技术。才能做好安全;
- 安全无小事,宁可错杀一百,也不放过一个。因为一出事就是大事,损失金钱和数据。甚至用户;
- 安全要从上往下执行,让领导和老板来推。小公司不会有安全,因为就算不做,也不会损失惨重,就不花这个钱了。技术能做多少就多少。
- 安全要和业务在一起工作。平时他们操作访问的应用和操作习惯,用的软件等,安全要做到心中有数。这样有帮助于找弱点和漏洞;
- 安全必须建立在业务稳定基础上,领导重视的基础上;
- 日志要全面,5W1H原则。时间地点谁,怎么干的,干了什么,导致什么影响。
- 安全重要是防止重大丢钱时间,重大损失,和小概率事件的。不是没事和大家找事的。
- 对常见攻击要有防御方案和应急方案。并且部署完整,和经常做红蓝对抗。平时重点关注新的攻击和异常。还有新闻;
- 安全处理要彻底不要有残留,不要心慈手软怕得罪别人。
- 安全要对所有技术都熟悉,才能渗入到每个环节,因为每个环节都要做安全;
- 纵深防御。每个环节都要防御,网络架构的每个点、运维架构的每个点、应用程序的每个方法、系统和安全软件。还有内核。每层都要做安全防御,这就是纵深防御。不是说,内部就安全了,不用防御的,旨在外壳做一点。那就是传统对安全错误的理解。
- 技术人员的安全意识培训很重要。但前提就是他们得有时间,不能业务都没做好就做安全。
- 对所有异常情况都判断一下,是不是安全事故。
- 要能做木马分析。
- 要对安全系统优化,提升漏报、误报、迟报;
- 做产品选型和架构设计时,就要考虑安全。不然有的产品本身就有安全问题,后期不好改。
- 每台server和服务都要有台历。并且周期性做手动检测也记录到台历里面。这样一出问题能很熟悉这台服务器的情况。
- 注意团队的敏感信息处理和离职人员安全处理,还有竞争对手。
- 安全处理要彻底,不要心软,不要怕麻烦;
- 安全人员要有基本自我修养或工作素质,才能做好安全,如责任心,爱学习和兴趣;
- 安全事件处理要深入业务,找到入侵原因(溯源和漏洞复现),彻底解决类似安全事故以及应用到其他项目中去;
- 安全和业务技术要很好的沟通;
- 熟悉安全产品和功能,还有看安全新闻;
- 防止社工
- 经常找黑客团队做渗透测试,也要内部做白盒渗透测试;
- 信息安全标准学习 27000
- 最好做到每个文件怎么来的,每个进程外联的IP,及历史都有记录,不然出故障很难溯源;
- 重点系统做重点防御,不是所有都一样的,比如Jenkins,比如harbor;
- 重点网络区域也要单独一个防御策略,比如DB的,比如重要服务器区域;直接单独防火墙;
- 要注意默认安全,该端口,该默认账号,默认访问路径等;
- 安全要能把常见弱点和漏洞找出来,让技术去修改就行。找的漏洞点越多越好;
- K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全,一个都不能有遗漏;哪套漏了就会被入侵;
- 基线检测要重视紧急修复,重大高危补丁也要紧急修复,一刻都不能等;
- 安全问题第一时间就是关机,反正要屏蔽远控为第一要务;
- 所有人要有一个好的安全习惯,不要为了方便和效率,关电脑锁屏;
- 安全防御就是靠安全系统(产品)和经验;
- 安全是从上往下推的,必须要有领导支持,要给权力,而且一切都基于日常的业务稳定。只要不忙才能更好的做安全;
- 安全需要彻底执行,说不能上网就不能上网,不要觉得无所谓就开放一下;
- 安全没有百分百,就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。
- 定期做安全培训和规范编制;
- 供应链和社工是黑客的未来。
- 安全要做DevSecOps;
- 安全师零信任的,不要相信任何人给你的文件或程序或任何信息;
- 要做代码审计;
- 安全要求业务,随时可以关机,替换。比如IP、sever、Docker应用等;
- 安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。
- 要做访问控制:认证、授权、白名单IP等
- 多做预案;
- 一切操作和工作都落实到文件,要有记录,以后出事随时可以拿出来参考。这个很重要
- 一切都落地到文件(所有操作全部由表格记录)(指定到个人和时间),要有计划方案,实施方案,进度详情,事故报告,漏洞统计,每日扫描记录,每日巡检记录。
- 多做威胁模型:网络安全模型:ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(零信任模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。
- 做一个限制或策略,绝对不是在只在一个点能做,要思维打开,在每一个点都有可能做,要相信会有更好的。比如限制出网白名单,在iptables上能做,在网络防火墙上也能做,在上网代理服务器上也能做。做安全思路一定要打开
- 安全不是做某一个部分的安全,比如运维,要做运维所有事都息息相关的安全,从办公电脑到服务器全部做。取决于最弱的一环;
- 安全要优先处理原则,开发运维要对安全信息透明;
- 任何安全机制,可以先用非强制模式,permissive ,跑出来日志了,二周左右,把正常合法操作都开启允许,其他的都黑名单就行了。
- 安全一定要有预案,webshell怎么处理,木马怎么处理,confluence被入侵怎么处理等等;
- 协助运维判断是否是安全导致的故障,比如cpu暴增,服务器重启,内网无缘无故有个ping命令。安全要24小时紧急应急;101 还要注意安全事故处理要有临时解决方案,一定要影响小还能解决问题;
做安全又一大原则:强硬原则,强烈要求原则。有的意见提了,运维不做,那就强硬提出,并且说清楚利弊。强烈要求一定要做;
安全一大原则:不要想当然原则。有的事,你觉得不可能,实际就是可能的,还得和技术去确认。比如10.0.0.8网段的机器,根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的,误报。实际,确实如此,网络就这么做的。
安全一大原则:不要怕麻烦原则 有的事就怕麻烦别人,或者自己麻烦,没有去仔细判断,结果导致重要线索浪费了。就像找特征码的时候,没有反复让运维查服务器,特征码没找到准确的。
安全一大重要工作:通过木马分析找特征码,进行所有服务器扫描。
安全一大原则:提出的需求就反复追问,必须要完成原则,不要因为怕麻烦别人就不做了,就忘记了;
被动攻击总结 常规和非常规漏洞点:
- 常规软件漏洞;
- 爆破
- 木马文件执行;
- 身份欺骗
- 数据篡改;
- 信息泄露;
- 提权;
- 可否人性;
- 拒绝服务;
- 人为泄露信息(内应)
- 社工库爆破
- 运营商劫持;
- 水坑攻击;
- 供应链攻击;
- 社会工程学
- 业务逻辑漏洞
- 故人干私活,从而把员工电脑给黑了,也就黑了他的公司资料;
- 获取网盘等信息;
- 植入前端广告,入flash下载;
- 网站挂马
- 发送垃圾邮件、短信等;
- 入侵路由器,默认安全;
- 全网批量扫漏洞;24 被动入侵手法:
- 获得密码后,直接连服务器
- 遗留木马,自己触发了
- 登陆云平台,操作了服务器
- 内网中间人信息收集,登录了虚拟化平台,操作服务器
- 运维电脑被黑,远控服务器
- 使用有木马的应用程序
- 中间人劫持
- 黑客做完免杀,做进程注入,在做端口复用,完全没有痕迹
- 运维管理服务器被黑后,从而操作其他技术,比如杀软远程安装,Jenkins 远程执行命令
- 劫持 黑客攻击途径:
- URL网址直接渗透,或旁站渗透;
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
