蓝队防守技术-1-安全设备介绍

笔记是根据马士兵教育2024HVV专题编写，作为学习记录来分享，如有错误的地方请指正，谢谢

免责声明
本文仅限于学习讨论与技术知识的分享，不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本文作者不为此承担任何责任，一旦造成后果请自行承担！

1、安全设备介绍

网络安全设备是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，针对不同的应用场景有不同的作用，常见的安全设备有防火墙，态势感知，IDS,IPS,全流量分析，漏洞扫描，蜜罐 ，安全邮件，EDR 等等

1.1、部分网络安全公司

奇安信、绿盟科技、启明星辰、安恒信息、天融信、深信服科技、亚信安全

1.2、常见设备介绍

1. ips入侵防御系统
   对该设备的网络流量进行分析监控，发现攻击后就会进行拦截。IPS是防火墙的重要补充，如果是防火墙是第一道防线，IPS就是第二道防线
2. ids入侵检测系统
   监视记录网络中的各种攻击企图，特点就是记录，不会对攻击行为进行拦截，只能事中检测
   蜜罐部署一些作为诱饵的主机，诱使攻击方对蜜罐进行攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强真实系统的安全防护能力
3. waf web应用防火墙
   专门针对于HTTP和HTTPS请求，对客户端的请求内容进行检测，确保其合法性和安全性，还对非法的请求进行及时阻断

2、态势感知

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地

2.1、态势感知视图

这个一般是投放在大屏，提供给领导更清晰的知道攻击情况

2.2、态势感知研判

这里是使用者看的，进行研判，部分要看报文详情。然后根据公司要求，不同公司可能要求不同，被漏扫太多需要上报（看情况），然后被攻击成功的要上报。

3、蜜罐

从被动防御到主动防御

一直以来，被动防御是通过面向已知特征的威胁，基于特征库精确匹配来发现可疑行为，将目标程序与特征库进行逐一比对，实现对异常行为进行监控和阻断，这些特征库是建立在已经发生的基础之上，这就很好的解释了为什么被动防御是一种“事后”的行为。典型的技术有防火墙、入侵检测等。但是对于未知的攻击如0day，依赖于特征库匹配的防御是无法有效应对的，为了应对这种攻防不对等的格局，主动防御技术出现了，典型的技术有网络空间拟态防御等。

3.1、蜜罐介绍

蜜罐这个词，最早是被猎人使用的，对，就是进山打猎的人。猎人把罐子装上蜂蜜，然后放个陷阱，专门用来捕捉喜欢甜食的熊。后来在网络安全领域里，人们就把欺骗攻击者的诱饵称为"蜜罐"
蜜罐技术起源于20世纪90年代，它通过部署一套模拟真实的网络系统来引诱攻击者攻击，进而在预设的环境中对入侵行为进行检测、分析，还原攻击者的攻击途径、方法、过程等，并将获取的信息用于保护真实的系统。广泛应用于恶意代码检测与样本捕获、入侵检测与攻击特征提取、网络攻击取证、僵尸网络追踪等。

蜜罐之所以称为蜜罐，是因为设计之初就是为了攻击者量身定做包含大量漏洞的系统，是用于诱捕攻击者的一个陷阱，本质上一种对攻击者的一种欺骗技术，只有蜜罐在处于不断被扫描、攻击甚至被攻破的时候，才能体现蜜罐的价值。蜜罐实际不包含任何敏感数据。可以这么说，能够访问蜜罐的，都是可疑行为，都可以确认为黑客，从而采取下一步动作。

3.2、蜜罐分类

蜜罐可以分为三类，低交互式蜜罐，中交互式蜜罐，高交互式蜜罐。

1. 低交互式蜜罐：通常是指与操作系统交互程度较低的蜜罐系统，仅开放一些简单的服务或端口，用来检测扫描和连接，这种容易被识别。
2. 中交互式蜜罐：介于低交互式和高交互式之间，能够模拟操作系统更多的服务，让攻击者看起来更像一个真实的业务，从而对它发动攻击，这样蜜罐就能获取到更多有价值的信息。
3. 高交互式：指的是与操作系统交互很高的蜜罐，它会提供一个更真实的环境，这样更容易吸引入侵者，有利于掌握新的攻击手法和类型，但同样也会存在隐患，会对真实网络造成攻击。

3.3、蜜罐产品

幻盾、幻阵（默安）谛听（长亭）蜃景（360）有影、有饵（元支点）春秋云阵（永信至诚）魅影（观安）捕风（安天）明鉴迷网（安恒）御阵（腾讯）猎风、创宇蜜罐（知道创宇）潜听（天融信）听无声、戍将（经纬信安）幻影（非凡安全）天燕（启明星辰）幻境（卫达）

市面上有一些开源的蜜罐，我们以hfish为例子下载地址：https://hfish.net/#/2-3-windows

4、威胁情报和沙箱

4.1、威胁情报介绍

威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持

根据告警的IOC信息查询该威胁情报信息，根据情报提供的相关信息进行匹配

---

基础知识

IOC（Indicators of Compromise）是指在网络攻击或入侵事件中，可以用来识别、检测和响应的特定指标或证据。它们可以是任何与攻击相关的信息，包括：

1. IP地址：攻击者使用的恶意IP地址可以被列为IOC，以便网络安全团队可以监视、封锁或阻止与该地址的通信。
2. URL链接：恶意网站、恶意软件下载链接或恶意文件的下载链接可以作为IOC，帮助识别和阻止用户访问或下载可能危险的内容。
3. 哈希值：恶意软件或恶意文件的SHA1、MD5或其他哈希值可以用作IOC，以便网络安全团队可以检测和阻止与这些文件有关的活动。
4. 域名：被用于恶意活动的域名可以作为IOC，以便网络安全团队可以监视这些域名的活动并进行阻止。
5. 文件名：与已知恶意软件或恶意文件相关的文件名可以作为IOC，帮助检测和阻止这些文件的活动。
6. 注册表项：与恶意活动相关的注册表项可以作为IOC，以便识别和阻止这些活动。
7. 系统指令及其参数：与已知恶意活动相关的系统指令及其参数可以作为IOC，帮助检测和阻止这些活动。
8. 攻击模式和技术：已知攻击模式和技术可以作为IOC，以便识别和阻止类似的攻击。

通过收集和分析IOC，网络安全团队可以快速响应潜在的网络攻击或入侵事件，加强网络的安全性。

---

4.2、威胁情报来源

微步在线、360威胁情报中心

4.3、沙箱

根据上面的ioc，比如看到有上传一个压缩包文件等，不确定里面有没有恶意脚本木马，就放到沙箱里面跑一下，就知道了

5、终端防护

5.1、终端防护介绍

终端检测和响应 (EDR)是一款软件，旨在自动保护组织的最终用户、终端设备和 IT 资产免受那些突破防病毒软件和其他传统终端安全工具安全防线的网络威胁。

EDR 将从网络上的所有终端（台式机和笔记本电脑、服务器、移动设备、IoT（物联网）设备等）中连续收集数据。 它将实时分析这些数据以查找已知或疑似网络威胁的证据，并且可以自动作出响应以防止或尽可能减少所识别威胁造成的损失。

简单来说，就是在这台终端上做了什么都做了记录。

5.2、产品

云锁，分为两个一个是客户端，一个在装在服务器上

提示

提升自己流量分析最好的办法就是跑一下攻击手段，然后抓包去分析一下。下一章会具体介绍如何使用wireshark去抓包分析