蓝队|网络杀伤链模型

声明!
学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!

一、企业网络架构与管理
  1. 企业技术管理架构

    • 高层管理
      • CIO(首席信息官):信息系统战略规划与管理。
      • CTO(首席技术官):技术创新、研发与选型。
    • IT管理
      • 中央系统:集中管理所有IT资源。
      • BYOD策略:对员工自带设备访问网络的安全管控。
      • 影子IT:管理未经授权的设备与小网络。
    • 中央技术团队
      • 客户服务:支持工作站、笔记本维护和服务台。
      • 基础设施团队:负责网络与服务器的规划与维护。
      • 数据库管理:存储、备份与恢复。
      • 技术团队:通常由项目驱动,负责采购系统、维护和建立技术运营团队。根据信息技术基础设施库(ITIL)进行日常操作和管理。
    • 安全部门
      • CISO领导,向CIO、CTO等汇报,负责信息安全策略实施。
  2. 典型网络分区与模糊边界

    • 安全分区
      • DMZ(非军事区):隔离内外部系统,提供安全访问。
      • 蜜罐:诱导并分析入侵行为。
      • 核心网络与安管区:内部高安全性区域。
    • 模糊边界挑战
      • 云服务与SaaS使传统边界逐渐模糊,需加强SSO、身份凭据同步等措施。
企业管理技术
  1. 信息安全管理成熟度模型(ISM3)
    • 定义:ISM3是一个框架,用于评估企业安全运行和管理流程的成熟度等级。
    • 目的:为企业提供了一套指导原则,帮助企业改进信息安全管理。
    • 应用:通过评估和改进,企业可以更好地识别和管理信息安全风险,提高整体的安全管理水平。
  2. 安全职能
    • 范围:涵盖战略、战术和运营安全的所有方面。
    • 管理:由首席信息安全官(CISO)负责管理运营。
    • 目标:确保企业信息安全策略的有效实施和持续改进。
    • 重要性:安全职能的有效执行对企业的信息安全至关重要,它涉及到保护企业资产、数据和业务连续性。
  3. 安全团队成员
    • 了解企业文化:安全团队成员应深入理解企业文化、组织结构和关键人员。
    • 关键流程:了解推动业务成功的关键流程,这对于安全团队在企业内部树立积极形象至关重要。
    • 提高意识:通过了解企业文化和关键流程,安全团队可以更有效地提高信息安全意识和管理水平。
    • 形象塑造:安全团队在企业内部的形象对于推动信息安全管理的接受度和执行力度至关重要。
企业网络分区概述

企业网络分区是一种安全策略,通过将网络划分为不同的安全区域来控制区域间的访问权限,以防御外部和内部攻击。

  1. DMZ(非军事区)

    • 功能:作为内部网络和外部网络之间的缓冲区,隔离内部与外部系统。
    • 用途:提供安全的访问通道,允许外部用户访问特定的内部服务,如Web服务器和邮件服务器,同时保护内部网络不受直接攻击。
  2. 蜜罐

    • 目的:模拟吸引入侵者的目标,以引诱和分析入侵者。
    • 作用:收集攻击信息和行为模式,帮助安全团队了解最新的威胁,并测试和改进安全防御措施。
  3. 代理

    • 服务:对外提供有限的服务,如Web代理和邮件代理。
    • 保护:作为内部网络的屏障,保护内部网络免受外部攻击,减少直接暴露给攻击者的服务和信息。
  4. VPN(虚拟私人网络)

    • 连接:允许员工和合作商通过加密的VPN连接安全地访问内网资源。
    • 安全性:确保远程访问的安全性和保密性,防止数据在传输过程中被截获或篡改。
  5. 核心网络

    • 设计:通常采用物理分离和冗余设计,以确保网络的稳定性和可靠性。
    • 作用:作为企业网络的中心枢纽,处理大量的数据传输和路由,连接到其他网络分区和外部网络。
  6. 内部网络

    • 接入方式:包括有线、无线和VPN接入方式。
    • 服务:提供全面的网络覆盖和接入服务,确保员工和设备能够方便地连接到网络。
  7. 安管区

    • 管理:负责管理日志、告警和事件。
    • 监控:提供实时的安全监控和响应能力,以便及时发现和响应安全威胁。
模糊的边界:云计算与SaaS服务对企业网络的影响

云计算与SaaS服务的普及带来了企业IT架构的深刻变革。传统的网络边界正在消失,企业需要通过身份同步、数据管理和跨环境的资源整合来应对这些变化。

  1. 云计算与SaaS服务的普及
    • 趋势:传统网络结构逐渐减少,越来越多地在云中部署基础架构或使用SaaS服务。
    • 影响:这种转变导致了企业网络边界的模糊化,需要新的安全策略来适应这种变化。
  2. 身份凭据同步与SSO解决方案
    • 需求:用户从企业工作站登录到云或SaaS服务时,需要企业提供身份凭据同步机制。
    • 解决方案:SSO(单点登录)解决方案可以简化用户认证流程,提高安全性和用户体验。
  3. 云服务与本地硬件的结合
    • 实例:云服务可能涉及在本地运行的硬件,例如Azure AD Connect系统等。
    • 目的:这些系统帮助企业将本地身份与云服务同步,实现无缝的混合云环境。
  4. 数据管理
    • 工具:数据通过内部和外部服务进行管理,例如Oracle数据集成器等。
    • 作用:支持跨不同环境的数据流动和集成,同时确保数据的安全性和一致性。
  5. 跨混合环境的工作负载共享
    • 平台:工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享。
    • 优势:实现资源的灵活配置和优化利用,提高企业的运营效率和灵活性。
外部攻击面管理
1. 开源情报收集
  • 目标:了解企业网络的外部暴露情况,发现潜在风险。
  • 方法
    • 使用开源情报工具(如Shodan、Censys)查找与企业相关的暴露资产。
    • 分析企业域名、IP段、端口和服务开放情况。
  • 结果:绘制出完整的网络范围地图,标记重要节点。关闭无用节点,减少攻击面。
2. 网络扫描
  • 工具与步骤
  • 使用nmap扫描网络内的活跃主机,发现网络中所有在线的设备。:
nmap -Sn <subnet>/24
  • 使用服务探测与版本识别:
nmap -PS -sV <ip-address>
  • 检测目标主机上运行的服务(如SSH、HTTP)及其版本信息。重点关注开启了SSH服务的未加固设备,及时进行加固和修复。
4. 漏洞验证与修复
  • 漏洞扫描
    • 使用Nessus等漏洞扫描工具检查主机和应用程序的配置问题或未修复的漏洞。
    • 定期更新补丁,修复被检测出的高风险漏洞。
  • 漏洞利用验证
  • 使用searchsploit查找已知漏洞的利用脚本:
searchsploit <service name> <version>
  • 例如,验证某台运行Apache 2.4.49的服务器是否存在CVE-2021-41773漏洞。
  • 运行验证脚本确认漏洞的实际影响,并实施修复。
身份管理
1. Windows环境中的身份管理
  • 常见应用与服务
    • Microsoft Exchange:企业邮件服务器,负责邮件收发与存储。
    • SharePoint:文档协作与共享平台。
    • Active Directory(AD):目录服务,用于集中管理用户、设备和权限。
  • 识别方法
  • 使用nmap扫描服务及端口,确认关键应用的运行状态:
nmap -PS -sV somesystem.com
2. Linux环境中的身份管理
  • 常见应用与服务
    • OpenSSH:用于安全远程登录和管理。
    • Samba:提供文件和打印共享服务,支持跨平台访问。
  • 识别方法
  • 使用nmap检测Linux主机上的服务:
sudo nmap -PS -sV <linux_host_ip>
  • 管理措施
    • 确保SSH仅接受密钥认证并限制访问来源IP。
    • 为Samba共享配置强密码策略并限制共享目录访问。
3. Web服务中的身份管理
  • 重要性
    • Web服务(如企业门户、边界设备的管理界面)通常是外部用户的入口,易成为攻击目标。
  • 识别方法
    • 使用whatweb工具识别Web服务的类型、版本和配置:
whatweb http://someweb.org
  • 管理措施
    • 禁用默认管理员账户,启用多因子认证(MFA)。
    • 定期检查服务配置并更新至最新版本。
4. 客户端设备中的身份管理
  • 重要性
    • 内网客户端设备(如员工PC、移动设备)若配置不当,可能暴露于攻击者,成为安全薄弱点。
  • 识别方法
    • 使用网络扫描工具(如nmap)定期扫描内网,识别活跃设备:
nmap -sP 192.168.1.0/24
  • 管理措施
    • 实施设备入网前的合规性检查(如启用补丁管理、安装杀毒软件)。
    • 使用NAC(网络访问控制)技术限制未授权设备访问内网。
身份和访问管理:企业安全的核心
1. 身份和特权管理
  1. 基本工作站和服务器的身份存储
    • 每个系统通常拥有自己的用户账号和服务账号数据库。
    • 普通用户无法直接执行系统级配置管理命令,必须通过sudo或管理员权限提升来完成高权限任务。
    • 最佳实践
      • 限制普通用户的权限,只授予完成工作所需的最低权限(Least Privilege)。
      • 定期审计系统账号和权限设置。
  2. 特权管理
    • PAM系统:允许管理员为普通用户临时授予特权,防止滥用权限。
      • 示例:运维人员请求对特定服务器进行5分钟的root权限操作,任务完成后权限自动回收。
2. 目录服务
  1. LDAP(轻量级目录访问协议)
    • 被广泛应用于集中管理用户、设备和服务的身份认证。
    • Active Directory(AD):微软的目录服务,提供集中认证、组策略管理和资源分配。
    • OpenLDAP:开源实现,用于非Windows环境下的身份和资源管理。
  2. 域集中管理
    • 通过域控制器集中存储和管理用户和设备的身份信息,实现资源的一致性配置。
    • 组策略(GPO):用于批量更新和应用策略,例如密码强度要求和屏幕锁定时间。
3. 企业数据存储
  1. SAN(存储区域网络)
    • 使用高速网络连接多个存储设备,提供高性能和低延迟的数据访问。
    • 应用场景:需要快速存取数据的数据库服务器或虚拟化环境。
  2. NAS(网络附加存储)
    • 独立存储设备通过本地网络共享文件和数据,支持多用户并发访问。
    • 应用场景:文件共享、备份和归档。
  3. 串行局域网(SoL)协议
    • 通过HTTPS传输串行数据,提高数据传输的安全性和可靠性。
4. 企业虚拟化平台
  1. 常见虚拟化平台
    • VMware vSphere/vCenter:企业级虚拟化平台,支持大规模部署和管理。
    • Proxmox:开源虚拟化解决方案,适用于中小型企业。
  2. 功能
    • 实现资源的动态分配和优化利用,提高灵活性和扩展能力。
    • 支持多租户环境下的隔离和安全管理。
5. 数据湖
  1. 概念
    • 数据湖是一种用于存储海量结构化和非结构化数据的架构,可以整合来自不同源的数据以支持分析和挖掘。
  2. 常见解决方案
    • 本地方案:Hadoop、DataBricks。
    • 云方案:Cloudera、Google BigQuery、Oracle BigData、Azure Data Lake Storage。
  3. 安全风险
    • 配置错误的Hadoop YARN服务可能被利用执行恶意HTTP请求,进而获取系统命令行shell。
  4. 管理与防护
    • 确保数据湖服务的访问权限设置正确。
    • 定期审计配置,使用日志分析工具监控异常活动。
6. 企业数据库
  1. SQL数据库

    • 常见系统:Oracle SQL、Microsoft SQL Server、MySQL。
    • 功能:支持事务管理、复杂查询和数据持久化。
  2. 嵌入式SQL数据库

    • 系统:MariaDB、PostgreSQL、SQLite。
    • 功能:适用于轻量级、分布式场景。
  3. 非SQL数据库

    • 系统:MongoDB、Redis、Azure CosmosDB、AWS DynamoDB。
    • 功能:支持灵活的文档存储和高速缓存。
7. 传统存储形式
  1. 共享驱动器

    • 用户通过SMB/CIFS协议访问远程服务器上的文件夹和文件。
    • 工具
      • 列出共享资源:

        smbclient -L <server> -U <user>
        
      • 连接并下载文件:

        smbclient \\\\someserver\\test -U user
        get <filename>
        
  2. Windows默认共享资源

    • C$:系统盘符的默认管理共享。
    • ADMIN$:用于远程管理。
    • IPC$:用于计算机间的特殊通信。
SOC管理流程与关键技术
1.1 SOC的功能
  • 监控:全天候监控网络活动,发现异常行为。
  • 分析:对安全事件进行深入分析,区分误报与真实威胁。
  • 响应:针对已确认的安全事件采取快速和有效的处理措施。
1.2 SOC在企业信息安全体系中的位置
  • SOC需要适应信息安全管理体系(ISMS)的框架,例如ISO27001标准和NIST网络安全框架:
    • ISO27001:提供基于控制的方法进行审计和认证。
    • NIST网络安全框架:包括识别、保护、检测、响应和恢复五个阶段,但未强制要求SOC的建立。
1.3 信息安全生命周期
  • 信息安全生命周期通常包括:

    1. 安全策略:制定战略目标和方向。
    2. 能力设计:设计安全架构和流程。
    3. 实施:部署技术工具与解决方案。
    4. 运营:持续运行和改进。
  • 使用模型:

    • PDCA(计划-执行-检查-行动):ISO标准推荐的循环改进模型。
    • SABSA框架:扩展了PDCA模型,强调战略规划与管理测量。
1.4 SOC层级划分

SOC通常分为以下层级,每层级对应不同任务:

  • L1:初步监控和告警分类,处理低级别问题。
  • L2:分析和解决日常事件,遏制威胁。
  • L3:处理重大事件,包括损失控制和取证分析。
  • L4:安全管理,包括账户管理、安全报告和策略审查。
2. 网络杀伤链模型

网络杀伤链是描述网络攻击的完整流程,用于帮助防御者理解攻击者的策略并制定应对措施。

2.1 七个阶段
  1. 侦察(Reconnaissance):攻击者收集目标信息,例如网络架构、潜在漏洞等。
    • 防御措施:通过监控和访问控制限制外部扫描。
  2. 武器化(Weaponization):定制和包装恶意工具。
    • 防御措施:加强安全开发生命周期,减少漏洞。
  3. 投送(Delivery):通过电子邮件附件、恶意链接等方式将攻击工具传递到目标。
    • 防御措施:部署邮件过滤、防病毒和沙盒。
  4. 利用(Exploitation):恶意代码利用目标系统漏洞,获取初始访问。
    • 防御措施:定期更新补丁,使用入侵检测系统(IDS)。
  5. 安装(Installation):安装后门或恶意软件,维持持久访问。
    • 防御措施:启用端点防护工具。
  6. 指挥与控制(C2):与攻击者的外部服务器建立连接,接收指令。
    • 防御措施:监控DNS和网络流量,检测异常行为。
  7. 行动(Action):执行最终目的,如数据窃取或破坏。
    • 防御措施:定期备份并隔离关键数据。
3. 日志收集与分析
3.1 日志来源
  • 代理服务器、Web服务器、邮件服务器、防火墙、路由器、交换机、工作站等。
3.2 收集工具
  • Windows:使用事件日志转发机制。
  • Linux:通过syslog收集和聚合日志。
  • 物联网与工控设备日志也是重要来源。
3.3 分析工具
  • 使用SIEM(安全信息和事件管理)系统,如Splunk:
    • 提供日志存储、关联分析和可视化功能。
    • 自动识别异常活动并触发告警。
4. 监控与事件响应
4.1 监控告警
  • 实时告警:通过IDS、AIDE等工具检测文件修改或异常流量。
  • 事后告警:对事件日志和用户报告进行响应。
4.2 事件响应流程
  • L1分析员:初步分类和告警筛选。
  • L2分析员:执行遏制措施和详细分析。
  • L3分析员:开展数字取证和高级调查。
Cyber Hunting(网络狩猎)
1. 网络狩猎的概念与目标
  • 假设网络已经被渗透,主动寻找潜在威胁与恶意活动。
  • 目标是尽早发现攻击痕迹,避免造成实质性损害。
  • 重点:还原攻击者的时间线,通过分析流量和日志揭示入侵者行为。
2. 核心资源与工具
  1. **MITRE ATT&CK框架

    • 描述攻击者技术、战术和流程(TTPs)。
    • 提供分析威胁行为、技术和工具的全面信息库。
    • 示例:通过ATT&CK识别网络钓鱼和后门安装的活动链。
  2. 日志与流量数据

    • 采集和分析网络流量、系统日志、用户行为记录等。
    • 比较正常行为和异常模式,发现潜在威胁。
  3. 狩猎工具

    • 流量分析工具:如Zeek,用于实时捕获和分析网络流量。
    • 日志分析工具:如Splunk,用于提取日志中的异常行为。
3. 网络狩猎的工作流程
  1. 狩猎目标定义
    • 明确威胁类型,例如隐藏的恶意软件或特定攻击行为。
  2. 数据收集与预处理
    • 整合网络流量、系统日志等多源数据。
  3. 识别与分析异常
    • 结合IOC(妥协指标),查找文件哈希值、恶意IP地址、域名等。
    • 对比正常状态行为,发现异常模式。
  4. 采取行动
    • 针对发现的威胁开展深入调查,并根据结果制定缓解措施。
  5. 知识库更新
    • 将新发现的IOC或攻击模式录入威胁情报库,提高未来防御能力。
威胁情报
1. 威胁情报的定义
  • 提供关于攻击者行为、技术、目标及工具的分析信息。
  • 通过妥协指标(IOC)帮助识别恶意活动。
2. 自动化威胁管理
  1. STIX与TAXII协议
    • STIX:标准化的威胁信息表达格式,便于共享和分析。
    • TAXII:用于安全地传输威胁情报,支持近实时更新。
  2. 情报集成
    • 将情报直接输入IDS、SIEM等安全工具,实现动态防御。
  3. 工具
    • AlienVault OTX:提供威胁情报共享平台,便于快速查询威胁信息。
安全管理
1. 核心管理领域
  1. 身份与访问管理(IAM)
    • 验证用户和服务身份,确保访问控制严格执行。
  2. 特权管理(PAM)
    • 管控高权限账户的使用,防止滥用或被攻击利用。
  3. 媒体清理与数据销毁
    • 对敏感数据和设备在报废时进行彻底清理与销毁。
  4. 远程访问
    • 加强VPN等远程访问工具的安全性,防范后门攻击。
零信任网络
1. 零信任的核心特征
  1. 即时访问(JITA)
    • 权限在任务完成或到期后自动收回,防止权限滥用。
  2. 最小权限访问(LPA)
    • 限制用户权限至完成任务的最低需求,减少潜在攻击面。
  3. 动态访问策略
    • 根据设备状态、位置、时间等动态调整访问权限。
  4. 微观分割
    • 将网络划分为多个隔离的小区域,限制横向移动。
事件响应与应急准备
1. 应急响应准备
  1. 风险评估与威胁分析
    • 分析技术资产和潜在威胁,明确关键保护对象。
  2. 流程与工具
    • 制定标准操作流程(SOP)并配置日志分析、扫描工具等。
  3. 演练
    • 定期通过红蓝对抗演练提高应急响应效率。
2. 事件管理生命周期
  1. 准备:规划与培训。
  2. 响应:识别并控制事件。
  3. 后续:事件报告与总结,优化流程。
3. 事件检测与防御
  1. Snort规则配置
    • 自定义规则示例
      alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)
      
    • 定义触发条件,例如监控失败的登录尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值