网络七层杀伤链

声明！

学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

一、企业技术和信息团队管理架构

1. 高层管理
   • CIO（首席信息官）：主导企业信息系统战略规划、管理与优化，保障信息技术与企业战略契合。
   • CTO（首席技术官）：把控运营技术整体方向，涵盖技术创新、研发及选型等事务。
2. IT 管理
   • 中央系统：集中管控企业内软件、硬件及数据等 IT 资源。
   • 自带设备（BYOD）：员工自带移动设备接入企业网络时，需制定对应安全策略与管理规定。
   • 影子 IT：员工私自搭建小网络或使用未经授权的 IT 设备和软件，会增加企业安全风险，需加以管控。
3. 中央技术团队
   • 客户服务团队：负责提供工作站、笔记本维护及服务台支持等技术服务。
   • 基础设施团队：承担网络、服务器机群的规划、部署与维护工作。
   • 数据库管理团队：专注数据库存储、备份恢复，确保数据完整性与安全性。
   • 技术团队：受项目驱动，负责采购系统、维护及依据信息技术基础设施库（ITIL）开展日常操作管理、建立运营团队。
4. 安全部门：由 CISO（首席信息安全官）领导，负责企业整体信息安全策略、规划与管理，需向 CIO、CTO、CFO（首席财务官）和 CRO（首席风险官）汇报，保障信息安全与企业多方面战略协调一致。

二、典型企业网络分区及相关要点

1. 网络分区
   • DMZ（非军事区）：起到隔离内外部系统作用，为内外交互提供安全访问通道。
   • 蜜罐：用于引诱和分析入侵者，收集攻击信息及行为模式。
   • 代理：对外提供有限服务，防护内部网络免遭外部攻击。
   • VPN：保障员工与合作商远程访问内网的安全性与保密性。
   • 核心网络：通常采用物理分离与冗余设计，确保网络稳定可靠。
   • 内部网络：涵盖有线、无线及 VPN 接入方式，实现全面网络覆盖与接入服务。
   • 安管区：负责管理日志、告警及事件，实时监控安全状况并及时响应。
2. 边界变化情况：随着云计算和 SaaS 服务普及，传统网络结构改变，在云部署基础架构或使用 SaaS 服务增多，涉及身份凭据同步、SSO（单点登录）等需求，且部分云服务会关联本地硬件，数据管理也跨内部和外部服务，工作负载可跨混合环境共享以优化资源配置。

三、外部攻击面相关应对措施

1. 节点管理：收集开源情报后绘制网络节点图，关闭无用节点以缩小攻击面。
2. 网络扫描与探测
   • 运用 nmap 等工具进行网络扫描，如 “nmap -Sn<subnet>/24” 可发现活跃主机，“nmap -PS -sV ip-address” 能探测目标主机开放服务及版本信息。
   • 关注开启 SSH 服务的未加固设备并及时加固修复。
3. 漏洞检测与应对
   • 使用漏扫软件（如 Nessus 等）验证漏洞存在情况并修复。
   • 借助 searchsploit 等工具搜索对应漏洞利用脚本，助力安全团队掌握潜在威胁并应对。

四、身份管理相关内容

1. 识别不同环境典型应用
   • Windows 环境：常见应用如 Microsoft Exchange、SharePoint、Active Directory，可用网络扫描工具（如 “sudo nmap -PS -sV somesystem.com”）探测开放服务与端口来识别。
   • Linux 环境：OpenSSH 用于远程登录管理，Samba 用于文件和打印共享，同样可借助网络扫描工具识别。
   • WEB 服务：可用 whatweb 等工具识别其类型、版本及配置信息。
   • 客户端设备：内网中客户端设备身份管理重要，需定期扫描识别，确保符合安全策略。
2. 身份和访问管理要点：基本工作站和服务器维护自身身份存储，普通用户执行系统级配置管理命令需 sudo 权限或管理员身份，保障系统安全性。
3. 目录服务：LDAP（轻量级目录访问协议）广泛应用于 AD（Active Directory）和 OpenLDAP 等目录服务，通过域集中管理实现资源集中存储与管理以及组策略应用更新。

五、企业数据存储相关内容

1. 常见存储方案
   • SAN（存储区域网络）：由高速网络连接多个存储设备，提供高性能数据存储与访问能力。
   • NAS（网络附加存储）：单个设备含大量存储，通过本地网络供服务器和工作站访问。
   • 还可使用串行局域网（SoL）协议基于 HTTPS 传输串行数据，提升传输安全性与可靠性。
2. 虚拟化平台：如 VMware 的 vSphere 和 vCenter、Proxmox 等，可实现资源动态分配与优化利用，增强系统灵活性与可扩展性。
3. 数据湖相关
   • 常见解决方案：包括 Hadoop 等本地方案，以及 Cloudera、Google BigQuery 等基于云的大数据解决方案，围绕其有完整技术生态提供数据摄取和分析服务，但存在如 Hadoop 的 YARN 服务配置错误等安全风险，需加强安全管理与监控。
4. 企业数据库：涵盖常见 SQL 数据库（如 Oracle SQL、Microsoft SQL Server、MySQL 等）、嵌入式 SQL 数据库（如 Mar iaDB、PostgreSQL、SQLite 等）以及非 SQL 数据库（如 MongoDB、Redis、Azure CosmosDB、AWS DynamoDB 等），满足多样化数据存储与查询需求。
5. 传统存储形式：共享驱动器可通过网络协议（如 SMB/CIFS）实现资源共享，可用 smbclient 命令行工具操作，如列出共享资源、下载文件等，Windows 系统还有默认共享资源用于系统管理维护。

六、SOC 管理流程相关内容

1. 相关标准与框架：ISO27001 标准提供审计认证框架，NIST 网络安全框架侧重预防应对网络攻击，信息安全生命周期含不同阶段（如戴明环的计划、做、检查、行动，SABSA 框架的战略规划、设计、实施、管理测量等），各企业建立 SOC 的组织方法因情况而异。
2. SOC 层级及任务
   • L1：负责监视告警、分类及解决小问题。
   • L2：承担日常事件分析、遏制与解决工作。
   • L3：聚焦损失控制、深入调查及取证分析等事件响应事务。
   • L4：负责日常非事件相关程序，如账户开设、访问授权审查、定期安全报告等主动安全程序。

七、网络杀伤链模型

描述网络攻击的七个阶段，依次为侦察（收集目标相关信息）、武器化（将恶意软件制作为可利用漏洞的 “武器”）、投送（将恶意软件投送至目标）、利用（利用漏洞获取目标初步访问控制权）、安装（在目标安装更多恶意组件）、指挥与控制（建立远程操控连接）、行动（执行恶意活动达成攻击目的）。

八、日志收集与分析相关内容

1. 日志收集：关键日志来源众多，涵盖各类服务器、网络设备及应用程序服务器等，Windows 系统用事件日志机制收集转发，Linux 系统常用 syslog 收集聚合并转发到日志收集器，且随着物联网发展，楼宇管理和工控网络日志也成为重要来源。
2. 日志搜索与分析：利用 Splunk 等日志管理工具及 SIEM 系统，实现日志收集、存储、搜索、分析及可视化，关联日志与活动来识别可疑内容，及时发现安全威胁。

九、监控告警

通常是深信服，奇安信，360等产品进行（具体信息参考各大厂商，可推测其与基于上述收集分析的日志等信息，对网络安全状况进行实时监控，在发现异常时发出告警相关，以保障企业网络安全环境）。