【安全知识】只有1个月了,该如何筹备网络安全攻防演练工作?

2022-07-01 13:36:35 560

多面魔方安全托管服务

   2022网络安全攻防演练即将开启,作为专注网络安全托管和运营的服务商,与各迎战单位同战线共命运,提供交付可落地的网络安全防护行动方案,才能最大限度的保障和坚守这片阵地。

   《HW备战28条》,用于指导HW/重保项目的系统性交付提供工作指导,适用于中大型 HW 项目,可协助客户构建较完整的基于实战的防守体系;28 条的完整落实对资源有一定的要求,项目经理可视项目实际情况、在风险可控的情况下对具体的交付工作做适当裁减或补充。如需更专业、定制化的HW/重保解决方案,请与服务团队联系。

一、确认组织、分工、计划

  1. 根据用户现场实际情况编制工作方案,包括组织架构、工作分工与职责、工作计划、工作任务等;

  1. 制定 HW 工作方案,包含工作组织架构、工作分工和计划、准备工作、安全自查和整改、预演习、正式演习、总结等阶段工作内容,含 HW 期间防守方案,专项应急预案;

  1. 初步确定好监测、研判、封禁、配合整改、应急处置分组和具体责任人;

  1. 约定项目文档的传递方式,以及加密口令等;

  1. 网络环境准备,办公环境准备,应建议 HW 的厂商在同一办公室办公,利于沟通;建立 HW 即时通讯工作群、标识好各方的名称;

  1. 会议结束后生成会议纪要,发送相关方;HW 准备阶段应形成项目周会的机制,及时回顾及推进工作进展;

  1. 提示:所有与 HW 有关的计划、漏洞、工作要求、风险提示,应以可留痕的方式与客户沟通,并确保抄送到相关负责人,避免纯口头沟通。

多面魔方安全托管服务

二、召开启动会议

  1. 邀请安全设备厂商、服务台、相关软件开发商、安全服务厂商、运维厂商等参与会议;由HW主管领导明确工作计划及责任分工等;特别是强调各厂商做漏洞整改的责任;

  1. 编制会议纪要;客户方应下发 HW 的相关通知/公文;

  1. 参考分工:

    1. 系统/平台组:配合对疑似或确认已受到攻击的主机进行检查,进行异常代码清除操作,进行漏洞排查及修复操作。

    2. 网络部门:配合对来自分行的攻击行为在防火墙上进行封禁操作,配合对其他攻击行为在相应防火墙进行封禁操作。

    3. 软开部门:配合协调人员对受到攻击的主机进行检查,配合进行异常代码清除操 作,配合进行漏洞修复;

    4. 厂商人员:协助对系统做加固,对告警、事件日志进行分析,提供技术支持。

多面魔方安全托管服务

三、内网资产梳理

  1. 向客户方收集原始资产表,包括 IP、系统归属、责任人;可从已有的资产管理类平台导出做补充;

  1. 基于前期对网络及网段的了解,同时参考原始资产表范围,使用扫描工具对防守边界范围内的所有在线 IP 做扫描;扫描前应要求针对扫描器IP放通全部访问策略或直接该网段做扫描;

  1. 工具建议:NMAP+RAP; TSS+RAP。

  1. 操作建议:4.1 NMAP+RAP(将 NMAP 的 XML 结果导入 RAP 做分析,RAP 可对数据做自动合并、去重、数据库、中间件、端口分析,同时可以此为基础做资产梳理,生成资产总表),在资产表中可标注出集权类系统(DC、4A 类、堡垒机、VPN)、敏感系统、重要资产并给予高赋值,标注出无主资产;4.2 以 NMAP 或 TSS 扫描网络上资产开放的端口及服务,将扫描结果导入 RAP 做重要端口及高风险端口排查,包括 21,22,23,80,135,443,3306,3389,27017 端口等(参照 RAP/系统设置/重要端口列表);扫描时对于普通网段可用 NMAP 只对 TOP3000 端口做扫描以提高速度,对于目标系统及暴露面应做全网段、全量端口扫描;

  1. 提示:全面的资产梳理工作属风险评估工作范畴,相当耗时;PM 应根据项目范围、项目预算、实际风险,抓住重点,把握好资产梳理优先级和颗粒度;以自动化工具为抓手,以发现技术风险为导向,不细究资产业务属性细节。

  1. 本项工作应上传交付物附件!

  1. 本项工作完成后,可确认有无安全产品缺失、有无产品需求,及时在项目管理系统中上报。

多面魔方安全托管服务

四、互联网暴露面梳理

  1. 做互联网资产扫描;发现子域名、端口服务、管理后台、外网可访问的所有IP、微信小程序、github、gitlab、网盘、云端资产;

  1. 从负责公网发布的 NAT、负载均衡设备中提取;

  1. 公网资产梳理工具:FOFA 类、云眼、子域名挖掘机、企查查、天眼查、Sublist3r、RAP、TSS、态感平台、NMAP、Routerscan;TIPS:当采用扫描方式时应对互联网暴露面资产应做全网段(相关C段)、全端口扫描;

  1. 公网资产梳理的结果,将为漏洞扫描、渗透测试、口令爆破、系统关停提供输入;

  1. 本项工作应上传交付物附件!

  1. 常见突破外网手段 TIPS:  a、Struts、Weblogic、shiro 等中间件漏洞 getshell  b、fastjson 等组件漏洞 getshell  c、弱口令+后台漏洞 getshell  d、邮件系统弱口令与社工钓鱼  e、注入、任意文件下载、中间件解析漏洞、代码/命令执行  f、第三方获得源代码进行代码审计  g、通用系统 0day,通常集中在:OA 系统、邮件系统等  h、VPN 弱口令与 0day

多面魔方安全托管服务

五、攻击路径预判

  1. 攻击路径预判的目的是:为访问控制设备、态势感知设备及安全策略的部署提供依据;对路径上资产漏洞的重点排查及加固;收敛关闭不必要的路径;

  1. 操作建议:获取最新的、完整的网络拓扑图,包括安全设备部署位置,与网络管理人员、安全管理人员讨论确认所有可能的攻击路径;

  1. 提示:典型攻击路径包括:

    1. 互联网-DMZ-生产服务器区;

    2. 互联网-办公区-生产服务器区;

    3. 外联网-生产服务器区;

    4. 互联网-测试区-生产服务器区;

    5. 互联网-供应商-办公区/生产区;

    6. 互联网-分支机构-办公区-生产区;

    7. 其他区域

  1. 如有目标系统,应针对目标系统相关资产,分析梳理所有可能的攻击路径;

  1. 本项工作应上传交付物附件!包括攻击路径列表、说明攻击路径上是否有全面部署防火墙、态势感知类设备。是否已提交设备采购及部署建议。

多面魔方安全托管服务

六、漏洞扫描

  1. 对主机、设备、数据库、中间件、WEB 应用的安全漏洞扫描;

  1. 扫描应以资产梳理及攻击路径预判为基础,优先检查互联网暴露面系统、核心系统、与防护目标相连接的系统、攻击路径上系统;参考次序:互联网暴露面资产>DMZ 区资产>目标系统>集权系统>敏感系统>云端系统>其他系统>终端;

  1. 在全量漏洞扫描的基础上,可用 TSS 大范围快速排查漏洞如 struts2、weblogic、RCE 类漏洞等;

  1. 操作建议:务必要求客户在网络直连或防火墙策略全通的条件下进行扫描,以最大化扫描效果;重要!

  1. 参考工具:TSS、NESSUS、RAP(HW版可对多扫描器结果做汇总分析)、AWVS、态感平台(能发现特定类型的漏洞)、K8 系列等;扫描工具扫描前应升级到最新版本;

  1. 本项工作应上传交付物附件!包括各工具的扫描结果、RAP 的漏洞汇总结果及人工处理后的结果。如做了多次扫描及多次整改验证应再次提交同时提醒PM或组长再次评审。

多面魔方安全托管服务

七、渗透测试

  1. 通过对应用的远程渗透测试,发现安全漏洞,出具渗透报告;提出整改建议;

  2. 检查次序:互联网暴露面资产>DMZ 区资产>目标系统>集权系统>敏感系统;

  3. 对高价值高风险系统应以两组以上团队做交叉渗透测试;

  4. 提示:渗透为重交付,具体范围取决于预算及双方约定,PM 应提前按系统重要性及暴露面评估风险选定渗透范围,此阶段的工作 PM 应有预判提醒销售及客户预算和周期的义务;

    1. 本项工作应上传交付物附件!包括渗透目标的清单、渗透的结果报告。

    多面魔方安全托管服务

    八、基线核查

    1. 对 OS、设备、中间件、数据库的安全基线检查; 检查对象可参照资产梳理导出的资产清单(含数据库、中间件、重要服端口);

    2. 范围及优先级:目标系统及互联网暴露面建议全量做,其他系统根据风险情况选做,整体优先级非常高;

    3. 提示:a.当主机数量很多时,基线核查及整改的工作量会比较大;因此本项工作PM一定要结合范围、人力、预算、必要性方面综合考虑;b.基线的项很多,应从以下几个重点考虑主机安全基线:关闭没用的服务;修改主机弱口令;高危漏洞;安装主机和服务器安全软件;开启日志审计;

      1. 参考工具:TSS、RAP(TSS 的结果可导入 RAP 做进一步分析)。

      1. 检查范围及结果应上传附件。

      多面魔方安全托管服务

      九、查毒杀毒

      1. 有条件的主机/高风险主机应安装防病毒/EDR 软件,并确保升级到最新的引擎和特征库版本;

      1. 安装排查范围:互联网暴露面资产、DMZ 区资产、目标系统、其他系统、终端(终端应要求 100%覆盖安装);

      1. 重点查杀范围:互联网暴露面资产、目标系统、DMZ 区资产应做全面的病毒及WEBSHELL 查杀、入侵日志分析;范围也包括防火墙、态势感知平台等有报警的主机;

      2. 建议工具:服务器版本的防病毒软件、D盾、态势感知平台等。

      多面魔方安全托管服务

      十、口令帐号排查

      1. 提示:本项工作非常重要!实际攻防中,通过弱口令获得权限的情况占据80% 以上;

      1. 高风险系统(互联网暴露面资产、DMZ 区系统、互联网接入设备、目标系统等),应要求在本阶段更改一次口令,此口令应为之前未用过的新的复杂口令;

      1. 管理员在不同服务器上的用户口令不能为同一个口令,也不宜有明显的规律;

      1. WEB 应用应启用登录验证码或多因素认证;

      1. 操作系统、应用、网络设备、安全设备应启用复杂口令策略及登录次数锁定;

      1. 目标系统、暴露面重要系统应登录系统查看(或要求导出帐号配置文件),查看是否存在测试帐号和无用帐号,并对有效帐号做口令爆破测试;

      1. 排查范围:应基于资产梳理的结果进行。优先级参考:互联网暴露面资产>DMZ区资产>目标系统>集权系统>敏感系统(含邮件)>其他系统>WIFI>终端;目标包括系统、数据库、中间件、登录后台、网络设备、VPN 等;端口包括数据库、tomcat、weblogic、RDP、Telnet 等;

      1. 操作建议:a.按防守范围做全网爆破;对大量的常规系统或终端,可用小字典对常用端口做快速爆破;对重要系统及暴露面系统,应用大字典或定制字典做深度爆破;b.应根据客户单位的情况(如单位名称+年份、运维或开发常用口令、历史弱口令、用户名+数字、工号、同类业务系统、我司或友商设备常用口令)定制口令字典;c.爆破应覆盖常见高危端口(参见 RAP 重要端口列表);d.操作流程:确定 IP 范围->确定服务对应的用户名列表->确定密码字典列表->端口范围扫描+服务识别->进行爆破->结果输出和整改  e.爆破应控制并发线程不要太高,以免丢包或漏报

      1. 建议工具:超级弱口令、Hydra、TSS、口令生成工具、WIFI 爆破工具、RAP、态感平台;字典可包括中国人名、TOP100、TOP1000 用户名口令等,可从项目管理系统知识库或 HW工具库下载。

      1. 本项工作应上传交付物附件!

      多面魔方安全托管服务

      十一、目标系统重点排查

      1. 目标系统和哪些资产有联系?目标系统的哪些服务或接口是开放的?梳理得越细越好;

      1. 对所有关联系统按联系的紧密程度做安全排查和加固,排查深度小于等于目标系统自身;

      1. 针对重点目标系统做一次交叉漏洞扫描;

      1. 对核心目标系统的出入流量、中间件日志进行安全监控和分析;可部署主机层面的安全监测手段;

      1. 对目标系统进行日志分析和失陷检测,是否存在 Webshell;

      1. 必要时对目标系统应做源代码审计(代码审计成本较高,为可选项,应在有预算和约定的前提下);

      1. 目标系统的管理员帐号应在正式演练前改一个之前从未用过的复杂口令;

      1. 本项工作应上传交付物附件!包括对目标系统的所有检查结果;如本项目无目标系统选“不适用“,但本项相关工作要求可参考。

      十二、集权系统排查

      1. 集权系统包括DC、堡垒机、统一认证、单点登录系统、互联网边界防火墙、DMZ防火墙等;

      1. 在常规检查和加固的基础上,还应做管理主机限制;管理帐户排查;限制特定 ip 访问后台,后台地址外网禁止访问;

      1. 系统的管理员帐号应在正式演练前改一个之前从未用过的复杂口令;

      1. 应上传集权系统清单,或在全量的资产总表中标识出集权系统、重要系统,以做重点的漏洞排查。

      多面魔方安全托管服务

      十三、重点、敏感系统排查

      1. 包括中间件;数据库、金蝶-U9、用友-K/3、神州数码-易助、SAP ERP、Infor M3等;

      1. OA 系统: 包括泛微、致远、金蝶、蓝凌、万户、金和等;

      1. 敏感数据集中地:邮件系统;Gitlab/SVN;文件共享服务器;运维系统、开发环境系统;

      1. 敏感系统、重要系统梳理出来后,应对其做重点的漏洞扫描、口令爆破,必要时加上渗透测试;同时结合所有可能的加固手段加强防护;

      1. 本阶段应上传敏感系统清单,或对敏感系统做标识后的资产总表(RAP)。

      2. 提示:a. 国产的 OA 类、邮件系统存在部分0day,易受攻击;应打齐补丁,应严格限制在互联网的访问;当必需对外提供服务时应严格做好网络隔离(如部署在 DMZ 区);c.留意 Struts、Weblogic、shiro 等中间件漏洞 getshell 风险;d 上述系统一旦被攻破,其上面存储的大量用户信息、敏感信息将会被攻击方利用做后续攻击,正式攻防阶段可对敏感系统重点监测。e. 对本类系统可用多扫描器做交叉漏洞扫描。

        多面魔方安全托管服务

        十四、补丁及加固

        1. 针对发现的安全漏洞,组织运维部门、安全部门及厂商做安全加固;在资产数量较多时,漏洞加固的工作量通常很大,我方的责任是提供加固建议、推进加固计划、验证加固效果,原则上不负责加固操作(除非人力允许或合同中有承诺);

        1. 当漏洞数量众多时,应合理安排漏洞加固的优先级次序,以保障加固的效率和效果,参考下面三点统筹考虑优先级:2.1 优先级(按资产位置及类型):公网资产>DMZ>目标系统>重要系统(含集权类)>其他  2.2 优先级(按漏洞的风险等级):极高>高>中  2.3 优先级(按漏洞类型):RCE 类、WINDOWS 类、应用类、中间件类、数据库 类、UNIX 类;

        1. 临时风险规避办法:a.官方提供的办法,如微软的;b.严格的端口访问控制策略;c.期间关停

        1. 安全类产品的专项排查,对防火墙、态势感知平台报告的高风险主机、失陷主机、安全事件、漏洞,应做专项排查及处置;

        1. 加固后须进行有效性测试,确保漏洞修复闭环;存在安全问题的而无法加固的系统下线或 HW 期间临时关停;

        1. 加固验证工具建议:TSS、NESSUS、AWVS、SIP(基于流量发现的特定类型的风险主机);扫描工具准备(升级到最新版本)。

        1. Tips: Windows 的高危漏洞应要求 100%打上补丁,否则一旦攻击队进入内网,就要做好失陷和丢分的打算。

        1. 本项工作应上传交付物附件!

        十五、资产暴露面收敛

        1. 应加强互联网接入与出口管理,梳理业务机房、办公网、承载网等网络的互联网出口,对重复性的互联网出口进行梳理和归并,集中控制与防护;

        1. 应排查暴露面资产,采取有效安全防护措施,对漏洞、非必要端口与服务与API 接口、访问控制不严格等风险形成隐患清单并逐条落实整改;

        1. 禁止未经审批开通内部系统的互联网出口;系统无业务必要需求不允许对互联网开放。严禁私设互联网出口;

        1. 关停未使用的站点及 WEB 端口、API 接口;

        1. 对于存在安全问题的系统,如无法整改,应予下线或 HW 期间临时关停;或从时间、可访问IP上做最小化访问控制;

        1. 要梳理外部单位的网络接入情况(供应商、下级单位、业务合作单位等),做严格访问控制。

        1. 应关闭所有不必要的 VPN 设备和 VPN 接入,关闭所有不必要开放的 VPN 资源;

        十六、互联网边界防护

        1. 应对互联网出口的基础设施包括路由器、防火墙、VPN 等系统做好安全配置和加固工作,包括补丁安装、网络路由设备身份鉴别、加密传输等安全措施;

        1. 在互联网出口部署安全防护设备与系统,需依据“最小化原则”严格落实访问控制,部署入侵检测/防护、网站动态应用防护、内容审计与过滤、恶意代码过滤、网页防篡改等技术措施;

        1. 对互联网、DMZ边界防火墙、DMZ防火墙的访问策略应做逐条审查,确认其符合仅针对白名放通、默认拒绝的安全原则;严格控制任何由外至内的访问策略;

        1. 确认防火墙与Web安全相关的功能模块是否可用、更新;

        1. 提示:大部分企业都会搭建 VPN 设备,对 VPN 设备的漏洞的攻击包括(如 SQL注入、添加账号、远程命令执行等),也可以采取钓鱼、爆破、弱口令等方式来获取账号权限,对 VPN设备应做重点梳理与加固。

        十七、内网边界防护

        1. 在各级网络边界、出入口必须安装部署访问控制设备并启用安全策略,确保南北向流量可控;

        1. 在不同区域边界和区域内部,部署安全防护设备,确保东西向流量可控可审计;

        1. 访问控制策略原则:明细允许,时间策略,默认拒绝;梳理并完善网络安全策略,按最小化原则配给网络权限;对于高风险端口应明确使用黑名单拒绝访问同时开启策略日志方便审计;

        1. 提示:绝大部分企业的下属子公司之间,以及下属公司与集团总部之间的内部网络均未进行有效隔离,导致下属公司一旦被突破,即可通过内网横向渗透直接攻击到集团总部,漫游企业整个内网,攻击任意系统。

        十八、上网安全

        1. 办公终端:应在AC上对上网策略做限制,没必要的协议及服务应予关闭(包括 teamview、telnet、VNC 等);能上网的终端不应同时能连接生产网;

        2. 办公服务器:特殊访问需求开通,默认拒绝;

        3. 生产网:生产网、DMZ 区禁止上互联网,服务器特殊访问需求审批才可开通,默认拒绝;

        4. 互联网访问内网:对互联网提供服务的服务器必须部署在 DMZ,和内网隔离,严禁在内网直接做公网发布。

        十九、无线网安全

        1. 无线网络与开发网段、生产网段应严格隔离;

        1. 访客无线网段应限制只能上外网,禁止访问内部任何网段;个人工作终端严禁接入 guest 类开放 wifi(包括营业厅环境等);

        1. 要求所有无线网接入采用强认证和强加密;

        1. 应要求客户严禁私设 WIFI 热点,在意识宣导中提醒用户不可接入任何外部开放的 WIFI 热点;(可用 AC 协助发现私设热点);

        1. 禁止用户在手机上安装 WIFI 万能钥匙类可导致 WIFI 密码外泄的 APP。

        多面魔方安全托管服务

        二十、邮件与防钓鱼

        1. 应要求禁止在邮件标题、正文、附件中携带账号、口令等敏感信息,所有涉及到敏感信息的文件必须加密;

        1. 邮箱客户端(如 Foxmail、Outlook)开启本地账号访问口令密码策略;邮箱密码定期强制更换,且密码复杂度达到规定要求;

        1. 各单位需全面排查邮件类业务,对冗余邮箱、冗余账号、弱口令等检查清理。

        1. 部署邮件安全网关,加强邮件安全检测能力、动态异常检测能力和审计能力。监测邮箱账号的异常登录访问行为,如防范撞库攻击、暴力破解,识别和阻断针对邮件服务器的攻击。

        1. 加强员工安全意识培训,禁止点击来路不明邮件中的链接或打开附件;设置防病毒软件自动查毒;

        1. 将邮件服务器 Web 登录界面移至内网,外网仅开放 pop3、smtp端口;

        1. 提示:a.要做好员工被钓鱼后的心理准备和深层防御准备(信息泄露与横向攻击)。(难免有些员工将系统地址与账户密码以明文形式存储在文档中,或习惯性地使用浏览器的记住密码功能。)  b.定向钓鱼概念:针对安全意识不强的员工,发送特制的钓鱼邮件,如给法务人员发律师函、给人力资源人员发简历、给销售人员发采购需求等。

        二十一、移动应用 APP 防护

        1. 控制内外部移动应用 APP 数量,对应用业务逻辑进行自查,消除安全隐患。

        1. 强化对移动应用 APP 后台系统的防护,加强访问权限控制,同时也应限制 APP后台系统对其他资产的访问权限,做适当隔离。

        1. 开展移动应用 APP 后台业务逻辑和中间件的安全风险及漏洞的梳理排查;包括在用的旧版本;

        1. 移动应用 APP 启动和更新时,进行真实性和完整性校验。

        1. 对客户端程序增加加壳、混淆等措施,加强抗逆向分析、抗反汇编等防护能力。

        1. 客户端必要时需使用安全键盘。

        1. 提示:本项工作涉及的 APP 数量及范围,PM 应提前估算成本并与客户沟通。当防守范围内无APP或APP接入路径时,可略过。

        二十二、办公/营业终端防护

        1. 加强终端管理,包括办公 PC、客服终端、营业终端、开发终端等。对办公终端进行统一安全管控,消除典型高危 WINDOWS 漏洞及弱口令;

        1. 营业厅终端、无人值守终端等,应安装防病毒软件、限制 USB 口使用、限定只能访问特定站点;

        1. 办公网络应做好准入控制策略,严格审核外部终端接入情况,做好第三方运维人员终端的安全管控;

        1. 办公终端应统一安装网络版的防病毒软件,并在本阶段做一次全盘病毒查杀;

        1. 禁止重要系统的维护终端设备出现外连行为,或禁止访问互联网;

        1. 提示:由于终端并非全时在线,对终端的在线检查工作应分几次持续进行,避免遗漏。

        二十三、敏感信息清理

        1. 个人电脑、个人管理的服务器、个人网盘、个人的公网邮箱及办公邮箱、个人GITHUB、个人即时通讯工具上存储的、个人手机上任何敏感信息应在离线备份后彻底清除;(特别是IT人员);

        1. 系统及文件服务器上存储的任何敏感信息包括帐号信息、网络拓扑信息、代码、系统文档、密码文件、漏洞信息等,应彻底清除;特别对重要系统,应防止删除后被恢复;

        1. 有必要和有条件时应对本单位/管理员帐号信息泄露历史情况做排查;

        1. 本项要求应在安全意识宣导中强调,并可要求终端用户、系统用户做承诺;

        1. 提示:钓鱼+弱口令+邮件及敏感信息翻查是攻击队常用的攻击突破手段!

        二十四、供应链安全风险排查

        1. 梳理、审查 IT 供应商名单;

        1. 明确并落实供应商安全责任;排查供应商访问权限、能接触的敏感信息;

        1. 排查供应商建设/维护的信息系统,确认是否要做漏洞扫描和渗透测试;

        1. 要求应用系统的供应商对自身的网络和系统安全进行自查,确保源码不会泄露;

        1. 提示:a.供应商的安全评估一般不属于项目范围,PM 应评估风险、判断需求应提前提交商机和预算;如防守单位为小型的、分支机构单位,本项为可选项,做好攻击路径排查和访问控制即可。b.一般来说,攻击队搞不了总公司,就会搞分公司,搞不了分公司,就会搞供应商。

        多面魔方安全托管服务

        二十五、部署安全运营、态势感知、蜜罐

        1. 流量采集是否完善(覆盖核心网络、DMZ 及攻击路径);

        1. 安全设备、网络设备、主机日志采集情况;协调网络管理员、系统管理员配合安全厂商对网络流量采集和各种日志传输情况进行检查;验证安全运营运行的有效性;

        1. 安全事件、风险主机的处置情况应予闭环。

        二十六、统一日志管理

        1. 应对重要系统日志设置情况做梳理并开启日志,有条件时应建立一套独立的日志分析和存储机制,正式攻防时可派专人对目标系统日志和中间件日志每日进行恶意行为监控分析。

        1. 提示:日志信息是帮助分析攻击行为的一种有效手段,攻击者攻击成功后,打扫战场的首要任务就是删除日志,或者切断主机日志的外发,以防止防守者追踪;

        二十七、安全设备策略检查

        1. 防火墙、VPN、堡垒机等安全设备安全策略:自身安全策略开启、规则库更新、授权是否到期、设备的安全补丁是否打齐、帐号安全;建议限定对设备的可管理地址;可要求设备厂商进行协查;

        1. 如有安全厂商设备,确认防火墙、态感平台是否有或者可以升级到HW专用版本;并开启相关的功能特性;

        1. 报警策略是否开启;有无指定合适的接收人员;

        1. 检查自动阻断策略、联动封锁策略是否开启; 评估对可用性有无影响;

        1. 在扫描、渗透、演习阶段可验证设备策略是否有效。

        二十八、预演习、备战工作闭环

        1. HW 安全意识宣导,包括通知、培训、海报张贴、屏保宣传等;

        1. 现场模拟预演习,按照工作内容和职责,使用相应工作模板开展相关工作;由攻击队进行攻击,现场防守方进行监测、分析、处置;

        1. 使用漏洞扫描工具,对防守范围(公网、DMZ、服务器)做全网段漏洞扫描,确认漏洞整改有无遗漏;无法及时整改的系统应关停;

        1. 根据预演习过程暴露的问题,进行改进,依照前 27 条,重新闭环;

        1. 本项工作的人力投入较重,具体开展方式、范围、深度取决于项目预算及双方约定,PM 应做评估合理安排;

        1. 本项工作应上传交付物附件!包括所有高危漏洞、高风险项的关闭结果;最后一次暴露面梳理及漏洞扫描的结果等;同时说明 HW 准备工作是否已全部完成,如未完成在 HW 中阶段应继续。

        多面魔方安全托管服务


        微信公众号

        新浪微博

        电话咨询
        解决方案
        购买与服务
        QQ客服