本文从蓝队视角出发,探讨了网络安全防护的策略,包括防守筹备、检测响应和溯源反制。重点讲述了如何通过云上东西向感知、全流量威胁情报监控和高风险业务系统收敛来构建防御体系。同时,强调了钓鱼攻击防范、员工安全意识培训和溯源反制技术的重要性。此外,还分享了网络安全学习资源,旨在帮助网络安全工程师系统化提升技能。
(1) 公网资产存在漏洞,对外开放非必要的调试环境、测试环境与API接口,缺少定时进行产品升级,没有时刻关注企业所使用到的相关开源组件、商用软件安全性;
(2) 公网业务系统缺乏全面渗透测试,业务变更和新业务上线前没有进行深入的渗透测试;
(3) 内网资产的历史高危漏洞未及时进行修复,若攻击者突破边界即可任意进行横向移动,对于云上内网安全的脆弱性,没有建立严格的安全管理制度及审批流程;
(4) 将“第三方、子公司、分支机构”直接视为可信实体,缺乏对交互流量的监控;
(5) 缺乏合理的安全设备部署,比如WAF、网页防篡改、邮件网关、APT、HIDS、EDR等,没有或很少对安全规则优化,消除误报,贴合业务;
(6) 缺乏提升数据、代码泄漏管控和检测的能力(如Github、Gitlab、Gitee等平台代码、数据泄漏检测);
(7) 离职人员权限及账号回收机制存在问题,交接材料通过外部网盘进行传输,账号权限回收不彻底,比如云服务器和OSS的AKSK权限未能删除;
(8) 没有或缺乏办公网南北向流量安全审计,以及东西向网络阻断设备,安全部门应急响应不能马上联系到责任人进行止损;
(9) 没有统一使用内部办公软件进行协同,而大规模使用有道云笔记、百度云盘、向日葵、飞书、钉钉、企业微信、QQ等可能导致数据泄露的平台。
二、蓝队视角技战法
1.防守筹备
安全团队应根据HVV攻击的活动特点,针对甲方相关业务系统面临的关键风险,制定有效的技术防护及检测方案,包含以云上东西向感知、办公网南北向全流量威胁情报监
最低0.47元/天 解锁文章
3852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
