本文转载自微信公众号《微悦人画》,作者微sir。转载本文请联系微悦人华公众号。在《信息安全管理的9个思考》一文中,我提出了网络安全的9个思考:CIA思维、纵深防御思维、可控思维、自上而下思维、全局思维、成本收益思维、不信任思维、有效性思维思维,道德和法律思维。现在就来看看网络攻防战一旦打响,这9大创意能否派上用场?注:本文中的实战实战指高阶网络攻防演练。1、CIA思想CIA思想比较高级,平时要下功夫,该加密的加密(C),该验证的验证(I),高可用和高可用性(A)。战时主要是测试效果。这就像防御方的城墙和堡垒。设计施工要做好,平时要做好维护保养,战时要检验质量。值得说明的是,漏洞是对完整性的破坏(I)。各种常见的已知漏洞和0day漏洞都是攻击者想要发现和利用的,所以该打补丁的必须打补丁。纯硬件设备的补丁很容易打补丁。如果是数据库和中间件的补丁,就没有必要了。这么容易,因为影响比较大,开发、运维、厂商、测试都会涉及到。所以,从一个单位的修补能力,就可以看出它的整体水平。2、纵深防御纵深防御思维是头条的金科玉律。层层防御,层层监控。从边界到网络分区,从服务器到终端,从操作系统到应用程序,都需要层层设卡,层层防范。即使敌人通过0day进城,城内还是到处都是堡垒,到处都是陷阱(蜜罐),到处都是监视。纵深防御可以分为三个层次:物理层、技术层和管理层。物理层位于最外侧,可以是大门、围墙、门禁、门卫、狼狗、摄像头、传感器、警报器、锁具等防护手段,主要是防止所谓的“近源渗透”。技术层包括认证、授权、加密、监控、隔离、禁止、限制、恢复、备份等手段。在物理和技术还达不到的地方,采取管理措施进行防护,如规章制度、管理要求、现场检查、安全教育、应急演练、战前动员,全员当兵,etc顺便吐槽一句:安全圈从来不怕造新词。每年都会产生几个新的名词,比如ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等,其实就那么几个东西,各种包装。这样做,一方面显得高大上,便于营销;另一方面也是为了简化描述,方便交流。比如你现在说“社工”,大家一下子就明白了。3.一切都必须在控制之中。可控思维的要点是:可见、可密封、强、明。因为敌我双方讲究的是“让对方在明处,让自己在暗处”。所以尽量让进攻方看到的东西最少,让我方看到的东西最多。这一段是重点,所以我再多说一点。先说坚壁清场:把能忍的业务全部停掉,把不是很有意思的专线全部关掉,把云上的东西全部关掉,把信息全部关掉访问者可以访问的点(网络端口)。删除笔记本上的所有内部文件。搜索云盘和github看有没有本机的东西,有就清除。这也是一个“能见度”的问题,你要能看到自己的东西。上次实战的时候,我已经打了好几天了。有朋友给我打电话说我单位的一个系统开了好几个端口。我打开一看,果然如此。吓得我去查IP,却发现IP不是我们的。一开始以为是盗版网站,后来查了一下,原来是开发者放在云端的测试系统!要彻底,但要尽可能多做。让我们谈谈攻击的“可见性”。攻击在到达服务器之前就存在于流量中。如果条件允许,建议大量购买网络流量相关工具,一两个不够,必须有多个。首先要搭建一个流量聚合平台,将全网输入的流量进行聚合,然后按需处理和分发。网络设备给流量,安全分析工具享受流量。这样就不会像以前一样,每次安装安全分析工具,到处都要连接镜像。然后是各种流量分析处理工具,比如WebIDS、APT防护、沙箱、邮件安全、WAF、IPS等,这些工具买十个八个都不算多。最后,流量回溯工具必不可少。它可以节省所有流量。上面提到的工具通常不会记录完整的流量。当你想查看具体的流量时,还是需要依赖它。最好能看到密码的暴力破解,从流量上可以做到,虽然有点难度。如果企业的认证点是集中的,就比较好办了。比如某单位所有系统都使用AD验证密码,那么在AD上监控流量,如果每秒出现多次密码验证错误,立即报警。蜜罐是一种独特而有效的可见性工具。可以购买专门的蜜罐/蜜网系统,或者使用负载均衡设备的蜜罐功能,也可以开启主机蜜罐、邮箱蜜罐、数据库蜜罐等。总之,多开总是好的。一个典型的中型金融机构应该有数百甚至数千个蜜罐。请务必准备好主机安全工具以查看对主机的攻击。密码尝试、漏洞升级、木马上传、远程登录、反向shell等攻击,及时可见。此外,它还可以发现弱口令、监控网页目录、保护可执行文件和设置主机蜜罐。总之,这是个好东西,谁用谁知道。此外,日志聚合分析平台、告警平台、CMDB、威胁情报等都应该具备,这些都有助于发现和定位攻击。再来说说网络封禁:IP封禁应该尽可能方便和自动化。可开发专用IP屏蔽系统,实现便捷的一键屏蔽。必要的时候,需要能够一键关闭线路(即关闭路由器端口)。应该有禁止IP列表的导入功能。在实战中,攻击情报是一个包含数千个IP的列表,应该很容易导入。以防误封。不要误封普通用户,不要误封自己的出口地址。您可以将自己的地址放入拦截系统的白名单中。一些安全工具可以与防火墙联动。通过调用防火墙的API接口或命令接口,实现对高危攻击的自动阻断。必要时可以使用,但也要防止误封。4.自上而下工程师文化是自下而上的,但运营需要自上而下。从上到下,强调的是领导的重视和指挥;注重组织严密,协调有力。领导在组织、动员、计划、决策、资源调动、后勤补给等方面起着最重要的作用,也是作战行动成败的关键因素。在当今人类社会,“指挥系统”仍然是最有效的战争组织系统。毕竟人类还没有发展出中心化的作战能力,还没有发展到我想象中如何从高层次上把握区块链的本质。领导作战机制。在今天的攻防演练中,大量人员集中在ECC,因此必须有大量的组织管理工作,如团队协调、规章制度、应急程序等;需要自上而下的管理,需要领导指挥、布置、静坐、协调。与攻击2组可以3人组织不同,防御组是多组作战,总部、研判组、监控组、网络组、主机组、终端组、邮件团队、应用程序团队和24小时排班团队。班级,从几十人到几百人不等。要想和谐有序地协同工作,除了指挥和秩序,还必须有协同工具。IM工具(如微信等)是首要必需品,在线文档编辑工具可以更强大。监控团队及时上报攻击信息,其他团队快速跟进、分析、定位、确认、阻断。整个团队通过工具进行协作。5.全球化思维全球化思维就是安全要定位好自己,不能凌驾于业务之上。因为这个世界上最重要的任务是发展,安全只是保障。平时,做生意应该以安全为重;战时,企业可以适当让步,部分企业可以关停。但关键业务仍应运营。不要因为害怕而停止一切。毕竟,本文所说的战斗,其实只是演练而已。6、成本效益思维是穷人的玩法,也是富人的玩法。如果你很穷,没有太多的资源和人力,那就保护你最重要的资产,防止最常见的攻击。攻击者最喜欢的技术要求最低、最容易上手的攻击方式有:漏洞、弱口令、钓鱼邮件。在漏洞中,文件上传漏洞最为常见。所以重点关注以上三点。注:被打穿的,大部分也是被这三点打败的。填补所有漏洞是一项艰巨的工作,但必须完成。如果实在补不上,就关停、隔离或者想其他办法。仔细检查文件上传入口,如果不需要,请全部关闭。即使一定要上传,也要严格检查过滤。使用工具发现弱密码、禁用弱密码并强制定期更改密码。在管理上,就是通报、检查、通报。培训大家提防钓鱼邮件,多测试几次,看看员工是否掌握了。如果你有钱,你就会买买买买尽可能多的一流工具,尽可能多地收购一流的人才。兵强马壮,一般是没有问题的。每年都有更新更好的工具,所以你每年都得买;每种工具都有其自身的局限性,因此您可以购买不止一种相同类型的工具;每个团队都有其优点和缺点,因此您可以同时要求更多。家。7、不信任思维不信任思维很简单,就是不信任内网,不信任内部人员,不信任合作伙伴,以至于到最后谁都不信任或任何东西。毕竟,不信任越多,不安全感就越少。在一次大规模演练中,某中心机构被攻破,立即成为风险中心。所有与组织相连的单位都被吓坏了,纷纷拔掉了网线。这也说明外部组织必须有清晰严格的访问控制策略,只有业务需要的IP和端口才能开放。从非技术角度来看,不信任思维主要是为了防止社工。很多所谓的大名鼎鼎的黑客其实都是社工大师,很多匪夷所思的突破案例其实只是老练的社工。通过培训,告诉大家如何识别钓鱼邮件,如何识别社工。有时,不仅要拒绝,还要学会诱敌深入。抢社工可以加分。在一次实战中,某部队严词拒绝了一个自称是修理ATM机的人。事后回想起来,不免有些可惜。错过了加分的机会。我应该让他进来,看看他做了什么。现在开始还为时不晚。8、有效性测试有效性,顾名思义,就是你设计和执行的一切是否有效。比如你封了你的IP,是不是封了?你打的补丁打了吗?你们网站的监控是否有效?员工是否点击了您拒绝订购的电子邮件?您制定的流程是否得到实施?这些测试和验证必须完成。不要指望一个命令下达,一切都会水到渠成。除非你经常检查。在正式开战之前,可以先做几个演练,找到攻击力最强的队伍,进行几次实战,看看能不能突破,看看有没有漏洞。做完这些,心里也能有点底了。9.道德规范思维的实践。法律思维是遵纪守法,遵守法规;进攻方的感受可能会更强烈一些,因为毕竟违规和进攻都会受到惩罚。双方交战,至少不能误伤群众。追根溯源时,往往追溯至普通百姓。遇到这种情况,应该尽快无损撤退,而不是进一步扩大“战果”。至于道德思想,我总结了一下,就是诚信、责任、贡献。这里就不多说了,懂的人自然懂。10.结语综上所述,战斗思维与日常管理思维还是有区别的。虽然在实战中,九大思维会被覆盖,但最重要的思维是“纵深防御”和“可控”,然后是“自上而下”、“成本效益”和“不信任”。“防御”“纵深”和“可控”也是最耗费人力的,需要长期坚持不懈的建设,以及紧张的战前准备。如果“纵深防御”到位,“看得见”,““可控”思维中的“固墙清野”做好了,进攻方基本无路可退,防守方基本就是盯着监控,屏蔽IP,然后用自己的手喝咖啡脚向上。如果你不尝试添加点。
