首頁 網絡安全2024紅藍攻防演練必看之(資產收斂)

2024紅藍攻防演練必看之(資產收斂)

運維派隸屬馬哥教育旗下專業運維社區,是國內成立最早的IT運維技術社區,歡迎關注公眾號:yunweipai
領取學習更多免費Linux云計算、Python、Docker、K8s教程關注公眾號:馬哥linux運維

據說今年的攻防演練馬上又要開始了,很多企業都開始了前期的準備工作。

資產的梳理,暴露面收斂是前期必須做且要做好的工作。

不知道大家有沒有聽過一個木桶原理“由多塊木板構成的木桶,其價值在于其盛水量的多少,但決定木桶盛水量多少的關鍵因素不是其最長的板塊,而是其最短的板塊”。其實在攻防領域也是這樣,一個企業安全的好壞不在于某一方面你做的有多好,而在于那些方面還沒有做好。只要你在某些方面還存在短板,那么就可能會被攻破。

那么護網前的資產梳理,暴露面收斂就是幫忙找到短板,可見其重要性,接下來就讓我們一起來看看都要梳理那些資產。

原 則

資產收集的原則是所有的資產都在管控中,不存在暗資產;一切與公司相關的信息,包括域名,端口,IP,應用組件,github信息,人員信息等

收斂的原則就是最大化收斂,最小化暴露。
互聯網中的影子資產

這部分的資產有域名,端口,IP,組件,VPN入口等資產。每次在護網前都感覺自己做的資產已經很全了,可每次都會被發現依然存在很多沒有在管控范圍內的資產。

事后總結了一下可能得原因:

1)域名的DNS解析下了,服務器上的文件沒有下線,導致可以直接通過IP去訪問

2)繞過了正常的發布流程,直接去發布應用

3)項目組在云上了搭建了項目,掛的是公司的域名

排查時一定要注意下面的幾點:

  • 從各種搜索引擎排查是否存在沒有納入管控的域名,如fofa,鐘馗之眼,百度,谷歌,github等
  • 排查每個域名使用的組件,數據庫,中間件是否存在已知漏洞
  • 弱口令治理,排查各種管理系統是否存在弱口令
  • 端口原則上來說只能開放80,443,除了這兩個端口以外,其它任何開啟的端口都要看其是否通過審核。
  • VPN入口要開啟雙因素認證
  • 檢查waf的防護情況,是否所有的域名都加入了防護,是否存在可以繞過防護的情況,如通過綁定IP直接繞過waf防護
  • 對開在公有云并且沒有做過安全防護的域名臨時做下線處理
  • 集權類系統(OA、郵件、堡壘機)除非必要收到內網,如果要開到公網,則必須做好權限管理。很重要的一點就是郵件的弱口令一定要進行排查,因為郵箱中會包含公司內的很多信息并可以用于釣魚

敏感信息等數字資產的風險排查

攻擊從來不都是純技術的對抗,還是人與人之間的對抗。社工在攻擊中占的比重也越來越大。攻擊方會充分檢索各類在互聯網空間中的信息,并根據這些信息進行社工。這些有價值的數字資產也需要梳理排查。

組織架構信息

組織信息可能是必要的,但不宜暴露過多。過多的暴露可能會給攻擊者提供額外的信息

人員信息

包括人員的郵箱,姓名,人員興趣愛好等,過多的人員信息暴露會給社工提供方便,如在攻防中最常用的釣魚。同時在搜索引擎中可以明確定位的員工,社工庫泄露的員工,這些人員要進行特別提醒,防止被釣魚。

社區敏感信息

github,gitlib,開源社區、網盤和文庫泄露的業務代碼、配置文件、敏感文檔、人員信息、測試文檔等

辦公文件處理

辦公文件處理也是非常最終的,一些包含重要信息的文件不能隨意丟棄,否則可能會造成意想不到的損失。如最常見的隨意丟棄到垃圾桶里面。
辦公網入口的資產排查

隨著攻擊方式的多樣化,使用近源滲透方式的也越來越多。近源滲透作為可落地的新型攻擊形式,在近年的攻防演練中被多次利用。近源滲透是指攻擊者物理入侵目標區域,利用無線網絡、物理接口、智能終端等進行滲透。近源滲透猶如“堤潰蟻孔”一般,值得我們重點關注。

因此我們要在辦公網區域重點排查:

無線網絡(wifi)

1.無線節點是否存在弱密碼,私接私搭無線節點

2.wifi是否做了訪問控制,wifi網絡是否可以直達核心網絡。

3.wifi設備是否存在漏洞

網絡接口

公司樓道,大廳等位置是否預留了網線接口,這些接口是否有做權限控制。

USB接口

排查外設的使用情況,現今各種設備都存在USB接口,如果未加防范,攻擊者可以輕松接入接口,造成危害。如使用U盤釣魚的方式,在目標附近丟撒U盤,目標相關的工作人員拾起使用后中招木馬病毒。

智能設備

公司內的各種顯示屏,取號機等設備都可以看成一個智能設備,說白了還是一臺計算機,在存在漏洞的情況下,攻擊者可繞過限制使用其進行網絡攻擊。因此要加強對這些設備的管控。
總 結

護網前的這些工作就是幫助我們把木桶的短板給補齊,同時也是對我們日常運營效果的一次總結。

原文地址:https://mp.weixin.qq.com/s/sx-YhCb2WT9SQjwY1uF7DA

文末福利

前段時間跟一位華為大佬學習,收獲了一份《web安全學習筆記》,正好很久沒分享干貨了,這次免費分享給大家看看。

筆記一共327頁,總結了Web安全常用核心知識,包含常用Web安全攻防總結,如果你也對Web安全感興趣,又想深入了解這方面內容,不妨收藏一下,希望對大家有所幫助。

目錄展示

筆記詳細介紹了計算機網絡協議、信息收集、常見漏洞、內網滲透、御用技術等等,全面成體系,通俗易懂,涵蓋了從入門到進階需要掌握的核心知識點,實操性極強,很適合零基礎朋友學習參考。

2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖1
2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖2

內容展示

而且,這份筆記不是掃描版的,都可以直接復制,還有詳細的技術介紹,簡直太贊了!

2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖3
2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖4
2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖5
2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖6

文檔下載

掃描下方二維碼,添加助理,備注暗號“web安全學習筆記”,即可免費領取

2024必看!華為《Web安全攻防總結》,非常齊全,文末附下載!插圖7

本文鏈接:http://www.royaladd.com/45180.html

網友評論comments

發表回復

您的電子郵箱地址不會被公開。

暫無評論

Copyright ? 2012-2022 YUNWEIPAI.COM - 運維派 京ICP備16064699號-6
掃二維碼
掃二維碼
返回頂部
欧美激情视频一区二区|国产精品毛片va一区二区|999国内精品永久免费|国产无码sm视频在线观看