Hvv蓝队技战法

784 篇文章 31 订阅
387 篇文章 12 订阅

****HW行动之“防守方”策略


“防守方”依据HW行动时间延展可分为四大阶段:备战阶段、临战阶段、决战阶段、总结阶段。具体策略概述如下:

备战阶段主要是对安全现状排查。目标是通过数据资产梳理、安全风险评估,以及自查自纠、安全培训,建立安全防护体系。

临战阶段主要是按照HW行动整体模式开展资产巡查、渗透测试,制定应急预案、开展实战应急演练,依据内外网检测结果进行系统安全加固及应急处置优化。

决战阶段主要是进行7*24小时现场值守。值守中,要实时监控安全态势,实时应急响应安全事件,确保整个重大活动期间的安全保障。具体任务:依据安全审计告警信息进行实时监控与上报,实时监测重点系统的风险及安全隐患并第一时间应急处置,现场依据策略调整进行突发事件处理,现场针对安全事件进行溯源分析等等。

总结阶段主要是对HW行动的工作及经验不足进行总结,并根据总结结果持续改进、优化网络安全整体建设水平。

0day防护


0day漏洞是一项复杂的任务,因为这些漏洞尚未被公开并且还没有相关的修复补丁,以下是几个明确的步骤来帮助您提高系统的安全性,并降低受到0day漏洞攻击的风险

漏洞情报:

订阅多个安全厂商、漏洞信息共享平台和邮件列表,以获取最新的漏洞情报。这些渠道提供了有关新发现漏洞的详细信息、影响范围和可能的解决方案。定期查看更新,并确保将关键漏洞信息传达给您的安全团队,以便他们能够做出相应的补救措施。

威胁建模:

分析您的系统和网络拓扑,包括服务器、网络设备、数据库等,并制定威胁模型。通过评估攻击者可能采取的威胁行为和路径,您可以确定最重要的资产和潜在攻击点。根据威胁模型的结果,实施相应的保护措施,加强这些关键组件的安全性。

补丁管理:

建立一个完善的补丁管理流程,并采用自动化工具来跟踪和应用操作系统、应用程序和设备的安全更新和修复补丁。确保您的系统和软件始终保持最新的状态,以及时修复已知漏洞。创建一个测试环境,先在其中进行补丁测试,然后再将其应用到生产环境中,以确保补丁不会引入新的问题。

漏洞扫描和渗透测试:

定期进行漏洞扫描和渗透测试,以发现系统中存在的漏洞,并评估潜在的威胁。使用专业的漏洞扫描工具对网络设备、服务器和应用程序进行全面扫描,检测已知的漏洞并生成报告。同时进行渗透测试来模拟真实攻击场景,评估系统的弱点和潜在风险。根据测试结果,制定修复计划并追踪漏洞修复进度。

应用白名单和沙箱环境:

使用应用白名单技术限制只允许运行授权的可信软件。将应用白名单策略应用到操作系统和应用程序层面上。这样可以有效防止恶意软件和未经授权的应用程序运行。此外,在沙箱环境中运行潜在有风险的应用程序,以便检测和拦截可能的恶意行为。沙箱环境提供了一个隔离的环境,确保潜在的恶意软件不会对实际系统造成伤害。

网络分段:

通过将网络划分为多个隔离的子网,限制内部系统之间的直接通信。这样即使一个系统受到攻击,也可以减少攻击者对其他系统的影响范围。使用网络防火墙和网络访问控制列表(ACL)来监控和限制不同子网之间的流量。此外,实施网络隔离策略,将关键资产放置在单独的受保护区域中,只允许经过严格身份验证的用户访问。

强化主机安全防护:

部分0day利用成功后需要主机读写文件权限,部署终端防护系统,一是监控非白名单地址的运维操作和敏感操作命令,及时发现异常命令执行行为,包括攻击者常用的whoami、id等。二是监控服务器敏感配置文件的读取,例如passwd、shadow、*.conf 文件。三是禁止web目录写入脚本文件,防止webshell后门落地执行。

布置蜜罐

一是边界区域部署办公系统蜜罐。二是在核心计算区域布置核心系统和集权系统蜜罐。三是将真实系统的非业务端口访问流量转发至蜜罐,第一时间发现内网扫描行为。

部署高交互、高仿真蜜罐,将vpn、oa系统做蜜罐备份,攻防期间替换掉真实业务域名,混淆攻击者,捕获零日漏洞。同时将下载页面中vpn、oa客户端替换为cs免杀木马,在云服务器部署通过cna脚本进行上线微信提醒,一旦上线即可第一时间反制溯源

0day攻击应急响应流程

情报收集与分析:

收集关于0day漏洞的相关情报,包括CVE编号、受影响系统和软件版本等信息``分析漏洞利用的方式和攻击者可能采取的行动,评估威胁程度和潜在风险

验证与确认:

确认系统是否受到0day攻击,通过检查异常活动、不寻常的日志记录或其他安全事件的迹象。``验证攻击的范围和受影响的系统,确定攻击者获取的权限和可能的损害。

划定边界与隔离:

通过防火墙、入侵检测系统(IDS/IPS)或其他安全设备,将受感染的主机或网络隔离起来,以限制攻击扩散。``划定边界并构建隔离环境,确保被感染系统无法连接到其他系统或网络

收集证据:

收集与攻击有关的所有证据,包括攻击流量捕获、日志文件、内存快照、恶意代码样本等。确保对证据进行正确的保留和存档。

应急修复与缓解措施:

采取紧急措施来阻止攻击,例如禁用受感染的账户、停止受感染的服务或断开受感染系统与网络的连接。``如果可行,尝试应用已有的临时修复方案或补丁,并确保它们不会引入其他问题。

深度分析与恶意代码清除:

对受感染系统进行深度分析,以了解攻击者的行动方式和后门特征。使用专业的安全工具和反恶意软件软件,扫描并清除潜在的恶意代码。``进行持久性检查,确保系统没有被重新感染,并通过监控日志和网络活动来发现任何异常行为。

系统恢复与完善防护:

在确认系统已经得到清理并修复后,开始系统恢复过程。确保先进行彻底的测试和验证,以确保系统的安全性和功能性。``根据针对0day漏洞的最新信息,升级受影响的系统和软件,并加强防护措施,例如配置审计、访问控制和内网安全策略。

事后分析与总结:

进行事后分析,评估0day攻击的影响和损失,并确定应对措施的有效性和不足之处。``撰写一份详细的报告,记录事件的经过、所采取的措施和应对结果。``提供有关0day漏洞的信息共享给相关机构或社区完成整个应急流程的闭环

****实战阶段防守技战法


监控设备方法,如果说现在做好的办法那就是封堵ip,每个头部厂商有自己的办法,当然了防守战法有3个方面:

日志设备监测:

日志检测可以 监控监测各设备的登录日志,重点关注管理员权限账号的登录和使用情况。通过分析登录日志发现如密码暴力破解和非法用户登录行为。这些是重点中重点。

网络流量监测:

通过日志异常请求,抓取网络的网络包回溯,前提在黄金5分钟搞定。可以离线下载分析cap包。使用wireshark即可。建议产品使用比较靠谱的一系列产品,比如流量回溯系统,WAF。

内网访问关系监测:

重点关注内网扫描探测,异常网络连接,非法外联等事件。如果是已经突破边界,进入内网扫描,或者非法连接,这个事情可以进一步证实前面判断。通过前2步的做法确认结果。

******被打穿了怎么办?


`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全防护战法报告 一、防守战法概述 为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。 为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线: 第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。 第二道防线:广域网边界防护、DMZ区边界防护。 第三道防线:目标系统安全域边界防护、VPN。 根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外发布的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。 结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。 二、 防守战法详情 2.1 第一道防线--互联网边界及二级单位防护战法 2.1.1 安全感知防御、检测及响应 构建从"云端、边界、端点"+"安全感知"的防御机制。相关防护思路如下: 防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。 网络安全防护战法报告全文共9页,当前为第1页。检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的"停摆时间"以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。 网络安全防护战法报告全文共9页,当前为第1页。 响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事 处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。 2.1.2 安全可视及治理 l 全网安全可视 结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。 l 动态感知 采用大数据、人工智能安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据术感知数据来发现主动发现威胁。 2.1.3 互联网及二级单位的区域隔离 在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。 在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。 办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。 服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。 在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。 2.1.3.1 互联网出口处安全加固 网络安全防护战法报告全文共9页,当前为第2页。互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。 网络安全防护战法报告全文共9页,当前为第2页。 对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。 开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。 对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。 通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。 护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。 攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值