蓝队日报&技战法模板之排查敏感信息

已于 2024-01-05 19:43:04 修改
阅读量353 收藏
点赞数
文章标签: 网络 安全 运维 数据库 web安全 服务器 网络安全
于 2023-10-26 10:20:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jennycisp/article/details/134049943
版权
本文探讨了在网络攻击日益严重的情况下,如何通过排查和整改敏感信息泄露,强化网络安全防护,减少对外暴露面,以保护企业和个人隐私。作者分享了全面的网络安全学习资源包,包括学习路线、视频教程、技术文档和工具等内容,帮助读者提升网络安全技能。
摘要由CSDN通过智能技术生成

你好哇!又见面了,这篇也是关于跟踪和溯源网络攻击的技术挑战的文章,希望对大家的技战法写作提供帮助!

敏感信息泄露的危害

敏感信息,它是指由国家权威机构确定的必须受保护的信息。不当使用或未经授权被人接触或修改后,会产生不利于国家和组织的负面影响和巨大利益损失,或不利于个人依法享有的个人隐私的所有信息。敏感信息根据其信息种类的不同,可大致分为个人敏感信息、商业敏感信息、国家的敏感信息。

在当前互联网日益发展的背景下,互联网成为生活中不可或缺的一部分。因此对于国家重要行业领域,互联网资产信息尤为重要,非法攻击者通过对企业进行大面积信息收集,查找企业暴露在互联网中的重要数据信息以及容易突破的互联网缺口,对其进行非法利用,可能对企业带来信息泄漏等重大安全事件。

收敛敏感信息泄露目的

排查现有业务的安全隐患与漏洞,及时清除安全风险;通过严密有序的监控和组织有序的响应,及时发现并封堵安全威胁,保障相关业务安全可信;排查业务网站在公共网络的暴露情况。与此同时保护公司和客户的隐私安全,维护企业声誉和信誉。通过收敛敏感信息泄露面,还有助于遵守相关法律法规和数据保护条例,以及加强客户对公司的信任。

敏感信息排查范围

对外暴露情况排查与整改

对业务网站及系统采用关停并转的方式,进一步减少其在互联网上的暴露面,并通过集中、统一防护的手段,进一步加强网站及系统的网络安全防御能力,降低网站和系统被攻击风险。

各级业务对外暴露情况排查与整改

检查并确认相关的业务系统名称、梳理,对于非必须业务采取关、停、并、转策略,减少对外暴露面。避免因准生产业务版本落后存在漏洞而影响护网成果。

各业务内部暴露情况排查与整改

检查所有相关的业务网站对外暴露情况,包括:网站URL、管理后台、违规发布等,根据前期收集的业务信息,确认网站URL、业务端口、管理后台等情况检查其对外开放情况、安全防护配置等,确保网站应用根据业务需求对外开放相关URL或端口,避免非业务端口以及网站管理后台对外暴露等情况。

业务端口对外暴露情况排查与整改

严格控制各业务系统对外暴露的端口信息,禁止业务间护网关系开放权限过大等情况存在,防止红队拿下某个业务系统中内网横向渗透导致业务大面积暴露的情况发生。

网络接入安全能控制排查与整改

对内网接入权限等入口进行审查,各业务子网ACL策略、子网内各主机安全组策略,将主机管理权限限制到32位掩码IP地址(如:堡垒机、VPN地址),不同主机之间使用不同密码,且符合密码复杂度要求。在护网期间强制对所有用户进行多因子认证方式绑定,避免由于账号信息泄露导致红队直接入侵内网的事件发生。

资源管理权限排查与整改

护网前已对所有拥有资源管理权限的账号进行排查整改,包括登陆账号和管理员账号进行集中排查,对不符合密码管理要求的账号进行通知修改,确保账号信息专人专用,在护网前已对所有相关管理员账号密码下发通知,要求进行统一修改,避免由于人为失误导致的账号信息泄露。

总结

攻击者往往不会正面攻击防护较好的系统,而是找一些边缘资产下手。边缘资产直接暴露在公共网络中,且防护相对薄弱,受到外部攻击者的威胁较大。相对于企业内部资产,所面临的安全风险更高。

经过对外暴露情况排查与整改,帮助企业充分了解了自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息,梳理了对外的业务资产,加强了相关业务防护策略,完成了对外暴露攻击面的收敛工作。

小结

以上就是我自己在hvv期间总结的技战法模块,希望对大家的技战法编写提供思路和闪光点,通过抛砖引玉让大家伙的技战法写的越来越好。如果能获得大家的认可和喜爱,不胜感激!!(希望大家,点赞支持一波)

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全技术库
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
HVV(护网)蓝队视角的战法分析_护网战法报告,一个网络安全程序员的腾讯面试心得
m0_61549591的博客
04-03 1557
发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
[HW必备]|蓝队防守必须排查的57个安全漏洞与解决方案
03-18 5244
一、OA系统 二、E-mail 三、Web中间件 四、源代码管理 五、项目管理系统 六、开源运维监控 七、堡垒机
护网防守思路(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-17 411
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
HVV蓝队必备入侵排查实用能,超实用,用了都说好!
qq_52246953的博客
08-17 205
使用ps -ef和top命令查看是否有异常进程,确认该进程为恶意进程后,可以使用kill -9 进程ID或者pkill -9 进程名命令结束进程,或使用防火墙限制进程外联,限制远程登录的 IP,编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制 IP。查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。
日志里的敏感信息还在打明文?3 种日志脱敏方案任你选
热门推荐
JiuQianWan的博客
09-23 1万+
背景我们打的日志中经常包含姓名、手机号、银行卡号等敏感信息,如果不做任何处理,就会以明文的形式展示在日志中,存在安全风险。像下面这样:我们需要一种能自动帮我们脱敏的工具,效果如下:方案1 - 基于 logback我们得先搞清楚消息内容是在哪里处理的,也就是配置文件中这个占位符的内容:对应到源码是这里 ch.qos.logback.classic.PatternLayout :这里可以看出来都是通...
生产日志敏感信息处理实践
xiexiaojing的博客
07-01 270
咱们常见的日志主要有两种:一种是路由层日志,一种是应用日志。路由层日志路由层日志因为主要作用是监控某一个地址有没有正确被转发到对应应用,以及通过状态码来监控应用有没有正确被处理。所以日志也主要包含这两个内容:请求路径+状态码。遇到由于配置日志的信息打印过多:打印了请求路径+请求参数,因为参数中存在敏感信息,造成风险。咱们使用k8s的ingress来实现域名访问时,ingress本质还是nginx+...
Log文件显示敏感信息的问题
ghost138
12-14 1056
今天客户提出一个log里面显示了用户登录是显示了密码明文的问题,这些东西非常危险,恶意的人总是能想办法(这个办法很多,比如旁注等)拿到你的日志文件,而这个日志文件比起加密的数据库文件还要危险。 复制下面这行代码到ApplicaitonController Class中 filter_parameter_logging "password" 问题就解决了,log中显示为: Pr...
威胁情报战法总结 红队利用企业泄露的敏感信息或暴露的资产进行攻击,蓝队利用情报收缩攻击面 红队利用钓鱼邮件感染控制内部主机
09-28
红队,模拟攻击者,利用企业敏感信息的泄露和暴露的资产发起攻击,而蓝队则通过情报分析来收缩攻击面,增强防御。这种对抗体现在以下几个方面: 1. **红队利用企业泄露的敏感信息或暴露的资产攻击** - 红队通过...
HW蓝队防守思路 .pdf
04-17
HW蓝队防守思路 HW蓝队防守思路是指蓝队网络安全防守中采取的一系列策略和措施,以保护目标系统免受攻击和威胁。该防守思路涵盖了从准备阶段到正式演习阶段的所有步骤,旨在确保目标系统的安全和稳定。 准备阶段...
HVV(护网)蓝队视角的战法分析_护网战法报告,美团网络安全面试
m0_61331573的博客
04-05 1144
HVV行动是国家应对网络安全问题所做的重要布局之一。从2016年开始,随着我国对网络安全的重视,演习规模不断扩大,越来越多的单位都加入到HVV行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需,而2023年的国家HVV目前已经结束。HVV一般分为红蓝两队,也称为红蓝对抗,红队为攻击队,蓝队为防守队。刚开始,蓝队会有初始分值,一旦被攻击成功就会扣除相应的分。而每年对于蓝队的要求都逐渐严格起来,2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来。
网络安全防护战法报告.docx
06-10
网络安全防护战法报告 一、防守战法概述 为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。 为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线: 第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。 第二道防线:广域网边界防护、DMZ区边界防护。 第三道防线:目标系统安全域边界防护、VPN。 根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外发布的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。 结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。 二、 防守战法详情 2.1 第一道防线--互联网边界及二级单位防护战法 2.1.1 安全感知防御、检测及响应 构建从"云端、边界、端点"+"安全感知"的防御机制。相关防护思路如下: 防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。 网络安全防护战法报告全文共9页,当前为第1页。检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的"停摆时间"以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。 网络安全防护战法报告全文共9页,当前为第1页。 响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事 处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。 2.1.2 安全可视及治理 l 全网安全可视 结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。 l 动态感知 采用大数据、人工智能安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据术感知数据来发现主动发现威胁。 2.1.3 互联网及二级单位的区域隔离 在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。 在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。 办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。 服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。 在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。 2.1.3.1 互联网出口处安全加固 网络安全防护战法报告全文共9页,当前为第2页。互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。 网络安全防护战法报告全文共9页,当前为第2页。 对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。 开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。 对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。 通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。 护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。 攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略
HW蓝队总结模板.docx
08-23
【HW蓝队总结模板.docx】是一份关于护网行动(即网络安全攻防演练)的工作总结报告,适用于HW工作中的防守方。以下是该报告的主要内容和相关知识点的详细解析: 一、工作概述 报告首先对整个护网行动进行了简要介绍...
HVV(护网)蓝队视角的战法分析
HUANGXIN9898的博客
10-23 2046
智能新型术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新术、新方法,从体系化的规划和建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。从应对实战角度出发,对甲方现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合和结构性设计,建立起能够具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
什么是护网(HVV?需要什么能?
2302_76827504的博客
05-06 4740
护网的定义是以国家组织组织事业单位、国企单位、民企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对网络安全问题所做的重要布局之一。护网随着中国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“护网”中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
网络安全日报(8月16日)
Galaxy_0的博客
08-16 179
其中包括:ws-paso-jssdk、pingan-vue-floating、srm-front-util、cloud-room-video、progress-player 、ynf-core-loader、ynf-core-renderer、ynf-dx-scripts 和 ynf-dx-webpack-plugins。研究人员发现该恶意软件一旦安装在受害者的 Windows 平台计算机上,就会收集敏感数据,然后将其发送到攻击者的 Telegram 机器人,从而使他们能够未经授权访问受害者的敏感信息
红蓝对抗(必看)|常见战法总结(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-09 2132
***伪装 、异构、阻断、拦截、诱捕、排查 6步法1、伪装关键应用指纹伪装常用中间件、更改http协议header头的server字段。可将linux改为IIS6.0。修改中间件配置文件,将移动通讯app的web服务页面配置成“错误”页面返回信息。修改网关系统配置指纹,将邮件系统指纹改为“Moresec HoneyPot”,转移攻击者注意力。
hw战法整理参考
战神/calmness的博客
07-29 5689
首先通过安全设备的报警,如态势感知等系统进行判断,将扫描IP、木马、威胁阻断、入侵等事件的攻击IP获取出来,通过对日志流量分析,异常的通讯流量和攻击源目标进行筛选,对钓鱼右键,钓鱼网站URL进行分析,提取敏感IP,通过蜜罐捕获,获取攻击方IP。对于系统一些敏感、高危操作的功能,通过埋点,对涉及业务系统账号的操作行为纳入监控,可精准追踪各业务系统账号登录后的相关操作行为,可知谁在什么时间段做了什么操作,接入风控平台实时监控,一旦发现反常规操作,立即响应确认,封禁账号,查看日志记录,排查系统问题。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 681
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全技术库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值