护网就像期末考试一样,平时没怎么上心的学生,考试最怕挂科。学生时代,考前会恳求老师划重点,临时抱佛脚,好在考试中及格。临近护网,做好这三点,能够让我们顺利度过护网,取得好成绩。
考前一周
从接到护网通知,到护网开始,一般会有一周的时间,可以给护网的同学们做准备。这一周是临时抱佛脚的时间,学霸们可能没这样的经历,对于“学渣”来说,考前复习,没时间一点一点看知识点,主要根据考试内容做准备。护网前期一周,怎么开始“复习”呢?“学渣”们赶快看过来。
互联网资产发现
往年护网经验来看,很多被打穿的单位,不是通过门户网站等主要系统进来的,而是通过攻击平时不怎么关注的边缘系统,第三方外联系统,一步一步渗透进单位核心服务器,所以,梳理清楚资产,是考前准备的第一步。
笔者这些年服务的甲方单位,很多不能拿出一份本单位完整的资产列表,各部门独立运营自己的系统,根据需要开放域名和端口,安全部门很难对暴露在互联网的资产进行控制,手上只有使用较多的资产信息。
资产发现步骤:
1、根据一级域名发现所有子域名,可以采取搜索引擎探测,site:xxx.com,暴力破解等方式。
2、根据子域名DNS解析记录查找IP
3、针对子域名和IP做端口探测
4、针对IP做域名反查,备选,很难保证准确性。
网络安全风险排查
小编这里对网络拓扑、主机、应用配置需要注意的部分“划了重点”,单位可以对照进行排查:
1、护网目标系统是否与单位其他网段网络隔离。
2、服务器、网络设备、安全设备运维方式确认,是否为堡垒机,如果直接运维,建议护网期间,只允许运维人员网络访问SSH、RDP等。
3、核心系统安全策略确认,建议护网期间配置更严格的ACL策略。
4、终端杀毒软件保证护网前期和护网期间每天进行病毒查杀。
5、口令安全,网络设备、安全设备口令设置为强口令,不能统一口令,业务系统是否对外部用户开启注册。若提供外部用户注册,是否对外部用户注册时口令复杂度及长度进行强制要求。是否有密码找回功能。
6、应用系统后台地址暴露情况,是否对公网暴露。
7、网站上传目录是否有运行权限。
8、VPN、服务器账号是否有长期不用的测试账号、临时账号等。
9、监控设备如流量分析、态势感知设备流量接入是否全部覆盖单位互联网网络,尤其容易疏忽的是第三方接入流量。
10、安全设备如WAF、IPS可以根据网络情况,安全策略级别调高,如访问频率阀值,封堵时间等。
11、前期发现的漏洞,高危利用难度低的漏洞优先修复。
风险排查PDCA
护网期间工作计划
最后需要对护网期间的工作做好计划安排,组织架构,威胁上报流程,应急处置预案,护网环境确认等。
组织架构:可以分为领导小组,监控小组,分析小组,处置小组,应急小组,报告编写小组,根据护网团队规模分组,规模较小的单位,部分小组可以合并为一个,比如监控和分析。
威胁上报流程:单位安全部门需要与运维、应用、网络部门做好沟通,发现威胁后的处置流程,配合部门也要派出相应的人员值守,专职负责支撑护网。小编以及小编小伙伴们护网的几家单位,护网期间大部分工作都是监控攻击,然后封堵IP。
应急处置预案:拟定护网期间的不同场景,编写应急处置预案,与各支撑部分进行确认。
护网环境确认:护网值守人员工作场所,监控设备登录方式,堡垒机账号,各支撑部门沟通方式等。
考前一天
内部演练
经过一周的抱佛脚,“学渣”们上考场前,已经提升了不少信心。在护网前一天,可以来一次内部演练,磨合一下流程。
内部演练主要的目的是为了验证攻击方的流量都能够监控到,以及应急处置流程的顺利实施:
安排红队攻击方,对单位网络模拟攻击,攻击范围要覆盖单位全部系统(可以根据前期资产发现结果),攻击方式也要多样化,力求模拟攻击方几乎所有类型的攻击手段,包括web渗透、暴力破解、内网渗透、钓鱼邮件等。监控小组需要确认,不同系统不同攻击方式,是否全部监控到,如果有遗漏,需要及时调整。
模拟应急处置流程,监控小组发现攻击后,提交给应急处置小组,开展应急处置工作,如封堵攻击IP,通知收到钓鱼邮件的员工,隔离内网被控制的主机等。
复盘总结,内部演练后,总结演练过程中发现的问题,保证护网开始后,一切按照计划开展。
安全意识宣讲
护网期间,攻击方的目标不仅仅是业务系统,也包括普通员工的电脑,如钓鱼邮件、钓鱼网页、社会工程学之类,需要对全单位进行安全意识宣讲,这里小编拟了几个需要注意的场景:
1、长时间使用叫号机器、ATM等单位信息系统,不做业务办理情况。(银行单位)
2、无证件或者无证明文件的外部人员要求进机房、办公区等。
3、自称是打印机、办公电脑维护的IT人员,需要在办公电脑操作或者插U盘。
4、之前没连接过的WiFi,WiFi名称一般为某某餐饮或门店,突然出现在WiFi列表中。
5、收到异常邮件,邮件中含有异常链接、附件等。
护网开始
准备了那么久,终于到了考试的日子啦,放轻松心态,吃点清淡有营养易消化的早餐,元气满满的走进考场。
护网开始后,按照原定计划开展监控、处置、应急工作。防守比攻击被动,不清楚什么时候攻击方开始攻击自己,只能7*24小时盯着监控平台。这里笔者分享一些“考试技巧”:
1、长时间使用叫号机器、ATM等单位信息系统,不做业务办理情况。(银行单位)
2、无证件或者无证明文件的外部人员要求进机房、办公区等。
3、自称是打印机、办公电脑维护的IT人员,需要在办公电脑操作或者插U盘。
4、之前没连接过的WiFi,WiFi名称一般为某某餐饮或门店,突然出现在WiFi列表中。
5、收到异常邮件,邮件中含有异常链接、附件等。
有人说,没参加过护网的安全从业人员,和没参加过高考的学生一样,是终身的遗憾。最后预祝各位护网的小伙伴,享受护网过程,尊重护网结果,开心安全工作每一天。