护网前蓝队要准备什么
资产梳理
随着企业业务的不断膨胀,越来越多的设备、系统等管理混乱,私搭乱建现象较为严重,安全管理分工不明确等问题依然严峻。在攻防实战开始之前防守蓝队有必要进行资产梳理,其目的是为公司企业能够做到“摸清家底”,对自己当前资产做一个详细梳理,以便在攻防实战期间能够坦然应对。
- 安全设备资产
安全设备是阻挡红队攻击的重要屏障。对现有安全设备进行有效清点,防守蓝队需明确每台安全设备功能,有效期限,厂家联系人,管理运维人员,设备责任人,运行状态,防护区域,是否需要升级等情况进行有效梳理和检查,并对存在的相关问题及时协商解决。如有条件企业可购进新型安全产品进行部署。
- 对外服务资产
对外服务资产是红队密切的关注点。针对对外服务资产进行有效清点,防守蓝队可对现有的web服务进有效分类,明确主机系统类型及版本,web系统功能,系统间关联性,web资产域名,ip地址,端口号,开发框架,中间件类型及版本号,服务器地理方位,使用者、维护者、责任人姓名,联系方式等。
- 外包业务资产
外包管理是“刚需”,近年来企业科技外包发展趋势迅猛,外包涉及范围逐渐扩大,已几乎涵盖了培训、要求、设计、实施等生命周期的各个阶段。部分企业由于外包问题所引发的敏感信息泄露层出不穷,外包业务作为攻防实战中的暴露口,必须加以重视。针对外包业务资产业务进行有效清点,公司企业需提前通知攻防实战开始及截至时间,签署责任协议,明确外包联系人、值班安排状况等。
风险排查
风险排查在攻防实战之前扮演着举足轻重的角色。全面的风险排查,可以有效的降低实战过程中被红队攻破的可能,在攻与防的竞赛中处于主动状态,进而保证蓝队人员有条不紊的持续进行。
- 基础设施风险排查
基础设施风险排查分为设备功能排查、安全漏洞管理、访问权限检查和重要信息备份。
设备功能排查:对公司企业的服务器、审计系统、防火墙、堡垒机、流量检测设备、IPS\IDS等设备功能是否正常运行进行有效排查(厂商审核),对重要设备有选择性升级,更新特征库。对于安全设备所覆盖范围进行有效排查,尽可能做到无死角全覆盖。有条件的公司也可引进新型的安全设备进行部署。也可采用矩阵监控的方式,以横向和纵向双维度进行匹配排查设备运行状态。
安全漏洞管理:技术漏洞管理通常用于缓解或防止系统中存在技术漏洞的利用问题。通常可包括五个关键步骤:计划漏洞管理、发现已知漏洞、扫描漏洞、记录报告、补丁修复。其中,后四步在攻防实战前的安全排查尤为重要。
访问权限检查:系统访问是限制授权用户为特定业务目的访问业务应用程序、移动设备、系统和网络的能力。系统访问一般包括三种功能:认证、授权和访问控制。有效的访问限制和权限管理是将攻击者拒之门外的最后1公里。应确保不同角色的用户具有相应的访问权限,删除更改或者离开组织的关联权限。管理员应全面检查系统、数据库、对外服务相关权限设置,以确保最小权限原则,过期的授权应予以删除。
重要信息备份:在大型的红蓝对抗赛中,数据备份是必不可少的重要一步。在攻防实战之前对重要的资产数据、用户信息等进行数据备份,可以有效防止在实战期间红队的不正当操作造成数据库损坏、系统崩溃宕机等导致数据丢失,给公司企业造成不可挽回的经济损失。
- 互联网暴露面排查
互联网暴露面排查分为冗余资产排查、对外服务排查、对外开放端口、
冗余资产排查:所谓冗余资产主要指公司企业未使用却仍占用系统资源的资产,例如:陈旧的web服务或数据库,公司开放的测试环境等。由于公司的冗余资产往往缺乏人员管理与维护,很多系统漏洞未进行补丁升级,部分测试环境存在弱口令、未完全开发存在的逻辑漏洞等层出不穷,该部分业务非常容易遭红队攻击。对于该类业务在攻防实战之前建议关停。针对关停部分业务以后,对业务剩余存活主机的ip资产、端口开放、服务版本,内网主机ip信息、端口开放、服务版本进行精确梳理;
对外服务排查:公司的对外服务是攻击者最近的接触点,对外服务包括但不限于对外服务网站、微博、公众号、邮件服务系统、api接口等。建议在攻防实战之前对对外服务进行有效梳理和排查,关停或隐藏暴露于公网的后台登陆界面、运营管理界面、设备管理界面等。有条件的公司企业也可统一更换服务网站、微博、公众号、邮件系统等口令信息。
对外开放端口:在攻防实战之前有效的端口管控是将红队拒之门外的前提条件。对于大中型企业的资产较多,端口管控较为困难,红队通过对端口发起有效入侵是最直接、最有效的途径之一。常见的开放端口服务包括但不限于:ssh、ftp、telnet、snmp、远程桌面、mysql、oracle、postgresql、redis、memcached、hadoop、HBase、mangodb、JAVA RMI等。
- 账号信息排查
攻防实战之前对账号信息的有效排查是将攻击者拒之门外的最后十英尺。据统计,在以往攻防演练中,百分之99.8的攻击队伍都会应用口令枚举、暴力破解等方式对目标系统发起攻击。而百分之38.9的概率能够被红队攻击成功。所以在攻防实战之前队账号信息的有效排查是非常有必要的。
安全管理
此处的“安全管理”不同于企业安全架构中的安全管理中心。该处安全管理主要指在攻防实战之前的临时统一管控,保证在红队攻击过程中能够有效应对,各尽其职,有条不紊。其中可以包括员工安全意识培训、建立合理的安全组织架构、建立有效的工作沟通渠道、成立防护工作组、红队渗透测试等。
对全体员工进行信息安全意识和教育培训,包括IT员工、IT安全人员、管理人员和其他员工。所有员工都有安全责任、都必须接受适当的安全意识培训。让员工了解不同类型的不恰当行为,例如:邮件钓鱼、人员假冒等。可以有效降低红队攻击人员的社工攻击。
建立合理的安全组织架构,结合工作小组的责任和内容,有针对性地制定工作计划、技术方案及工作内容,责任到人、明确到位,按照工作实施计划进行进度和质量把控,确保管理工作落实到位,技术工作有效执行。
建立有效的工作沟通渠道,通过安全可信的即时通讯工具建立实战工作指挥群,及时发布工作通知,群内签到,共享信息数据,了解工作情况,实现快速、有效的工作沟通和信息传递。
成立防护工作组,开展并落实技术检查、整改和安全监测、预警、分析、验证和处置等运营工作,例如:安全监测小组、安全处置小组、安全应急小组、安全保障小组、指挥中心等。用以完善安全监测、预警和分析措施,完善的安全事件应急处置和可落地的流程机制,提高事件的处置效率。其中,全流量安全威胁检测分析系统是防护工作的重要关键节点,并以此为核心,有效地开展相关防护工作。
红队渗透测试,任何公司企业不可能做到百分百安全,为了检验公司的安全防护能力。公司可组织红队人员安全检测评估。以红队攻击报告为参考,对疏漏的安全问题及时进行修复。