站在攻击者的度来做防护.docx

站在攻击者的角度来做防护0×01、前言习惯性的讲点废话，笔者是一名菜鸟安全工程师。有幸参与过两次安全方面的比赛，有些个人的体会，所以就有了这篇文章了。(自知技术还很菜，望各位大牛不喜勿喷，也欢迎对这方面感兴趣的同学来和我一起交流探讨。)????0×02、攻击者会怎么做?????在做这几次防护的过程中，我一直在思考。我如果是攻击者，我会怎么来攻击?我会怎么去做?A、第一步，针对目标做信息收集(扩大目标)子域信息、Whois信息、Ip信息、端口信息、公司人员的信息、公司邮箱信息等等,一切与目标相关的信息。B、针对拿到的信息，进行漏洞扫描及挖掘针对子域，我们可以去尝试获取其ip，及对其域名进行漏洞扫描。针对whois信息，我们可以去尝试，获取其注册邮箱，进一步进行社工拿到密码进行域名劫持。针对ip信息，我们可以去获取ip对应的端口及服务，对相应的服务进行漏洞扫描及挖掘。(对于踢场子的来说，直接进行ddos，直接让你玩不下去。)针对公司人员信息及公司邮箱信息，可以进行社工弱口令之类。看能否拿到某位员工的公司邮箱，通过敏感信息进一步深入。(如果碰到某位关键人物)看我写起来貌似很简单似的，但实际上确是一个苦逼而漫长的过程。除了攻击者的技术水平、人的毅力及对事物的专注程度外，还与运气有点关系。(看你碰到的是sb管理还是nb管理)做为防护者，这个时候你该怎么做了??对方已经出招，得接住呀!不然这个看场子的任务就将失败了。0×03、我是这样来做防护的A、Find and fix(这个其实是很关键的)从字面上理解就是”发现并修复“，简单的来说就是通过一些手段，去发现系统中的安全问题，然后解决问题。(医生的最高境界不是去治疗疾病，而是在疾病没有来，就拔除了，根源在代码)带领团队成员对站点进行安全测试，发现安全问题，尽量减少外部安全隐患。(这里只能说是减少隐患，一个人的力量是有限的，一个团队的力量也是有限的，并且侧重点都不一样。)上面也说了，只能是减少安全隐患，当漏了安全问题的时候，该怎么办了??这就有了下面的了。B、Defend and Defer从字面上来说是“捍卫和推迟”(这是谷歌翻译的啊!和我没关系)，这里的防护难道仅仅是弄一些安全设备(防火墙、入侵检测系统、web应用防火墙)么???当然这些也是不可少的，但不是全部。合理的事物，放在合理的位置，才能产生好的效果。纵深防护这里主要涉及到，防火墙的HA，入侵检测系统、白名单的使用，CDN及云防护。流量从外面到里面需要经过如下几层：第一层必须经过CDN云防护的过滤及隐藏真实ip;????第二层必须经过防火墙白名单过滤，只允许cdn过来的流量;????第三层必须经过IDS或者IPS的过滤或者记录风险行为。也就是说就算我服务器存在一些安全风险，如果你没能绕过这重重过滤也是没用的。MASTER防火墙BACKUP防火墙这里防火墙的HA,主要是为了防止单点故障或者说是流量攻击时而设。关于这个防火墙的HA，这里有文章介绍：/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/4010难道安全防护做到这里就完成了?如果有人绕过了你的种种过滤(或者说你的某一层过滤失效了)，你还能高枕无忧么?不能想当然，你做不到，并不代表别人也做不到。一切皆有可能，做好最坏的打算。当黑客绕过了重重过滤后，对服务器进行攻击的时候，你是否能在第一时间发现?当黑客找到服务器漏洞，绕过了各种防护，拿到了shell，你是否能在第一时间了解到，并能分析出漏洞所在地?这个时候就有了第四层的监控(应该算是比较失败的)，基于主机的ids(可以理解成一个文件监控系统，自然也可以成为一个日志分析系统)，从理论上讲，我们可以使用这个东西，对网站目录进行监控及日志文件进行监控。一但网站文件发生变化，就立刻报警。但通过实战，通过经验告诉我，不要理想化，任何东西，都不可能横空出世，都是有他的机制的。这里第四层，使用的是ossec这个软件，它对文件的监控，上面也说了比较失败的。比较失败的原因是，之前只是知道怎么去使用它，并不明白它是采用的什么机制，导致差点出大大问题。第五层，做最坏的打算，当攻击者上传拿到shell后，绕过了前面三层的防护，而在第四层失效的情况下，攻击者不就可以在你的网络里面漫游了么?这种情况是不能容忍的，这个时候第五层防护就出现了。用专业词汇来说叫“风险控制”，风险控制的目的是，减少风险事件发生时造成的损失。打好各个补丁(防止提权)，降低服务运行权限，取消上传目录的执行权限。就算攻击者通过某0day拿到服务器的shell，他也不能干啥，因为权限很低嘛!你现在能拿到子域信息、Whois信息、公司人员的信息、公司邮箱信息。对于公司人员的信息、公司邮箱信息这里暂时不考虑，这个只能通过提高员工的安全意识来进行。这里还存在子域信息，