翰思-护网行动培训.pptxVIP

;目录;护网行动介绍;工作方式：红蓝对抗 开始时间：2019.6.10 结束时间：2019.6.28 组成： 红队：攻击方，从各大厂商抽调渗透人员，110支队伍，可能有0day 蓝队：防守方，150余家单位，被测单位+各大安全厂商 方式：安全攻击队伍将会使用各种方式对企业的网络进行攻击渗透，“不限定路径、不限定手段”的挖掘重点行业网络安全漏洞，督促整改，红蓝方分别通过上报入侵结果和拦截、处置证据进行加分 目的：提升企业安全防护能力，并加强重点单位、社会力量与公安机关的协调配合能力;红方特点蓝方注意点;;攻击时间段：工作日的 9:00-17:00；实际上攻击方不会遵守时间规则，晚上和周末均会攻击； 攻击方式：远程网络入侵为主、现场社工可能存在。主要为信息收集、扫描、漏洞利用、内网渗透等； 攻击目标：时间有限的情况下，只攻击得分项！（获取系统/平台权限） 攻击步骤：信息搜集 – 突破入口 – 维持权限 – 横向移动 攻击对象：优先级和性价比选择 优先攻击基础设施：邮件系统、VPN、OA、外网可访问的业务系统等（弱口令、爆破） 优先攻击高权限账号：admin、root 优先攻击内网管控系统：域控、SSO系统、终端管理系统 - 攻破可获取大量系统权限（按评分标准累计得分高） IP和域名的类型和使用方式： 扫描IP：储备量较大，不怕被发现和封杀；利用互联网在线扫描系统、代理池等 C2 ip和域名：数量较少，很重视；加密信道较多，隧道使用率高，多级跳板、代理防暴露 数据通信ip：向外网传送大量数据使用的ip或网站，使用https、sftp协议较多;综合扫描器：触发告警频率快，1分钟可以触发大量同类或不同类告警 漏洞盲打：RCE漏洞打全部web服务器（struts、weblogic、tomcat、cms、jboss漏洞等） 防守注意点：关注服务器使用的中间件、框架、组件类型；重点排查攻击与资产类型匹配的告警事件。 Shell盲扫：扫描各种php、asp木马 路径爆破：各种不存在url（大量404返回） 登录页爆破：login页面频繁访问 后台扫描：与路径爆破类似 漏洞利用（遍历型）：同一URL频繁请求，参数变换（参数遍历、注入点漏洞利用） webshell上传：upload关键字、php/jsp/asp等shell类型文件名；告警中的上传点验证。 防守注意点：很多类型的web攻击会导致大量4xx、5xx返回码，配置针对异常返回码的访问源IP监控（严格条件下触发多个4xx和5xx的ip可以考虑直接上报封禁）;web系统爆破：登录页爆破（频繁访问监测）、basic认证爆破（大量401返回码） 防守方注意点：登陆页面的梳理 VPN爆破：vpn异常登录、vpn账号冻结、vpn爆破等告警的配置和监控 防守方注意点：是否启用双因素认证 邮箱爆破：smtp爆破（是否能检测？）、owa爆破（是否使用了owa功能），其他需要接入邮箱认证日志支持 RDP爆破：3389或修改过的rdp端口 其他服务和设备爆破：FTP、SSH等 防守方注意点：关注22端口ssh和23端口telnet的所有外对内连接；源IP异常的可封掉，不需要对外提供访问服务的可关闭。 防守方注意点：关注弱口令告警事件，强制修改弱口令问题。 钓鱼：附件、URL 防守方注意点：关注邮件主题（诱惑性），接入邮件沙箱（附件），关注接收邮件后连接邮件中URL的事件（URL）;弱点利用 – 安装后门 – CC通信 – 基于目标操作 DMZ区服务器发起的扫描、告警事件：需要重点关注。确认告警后立即对服务器处理（查杀shell），封掉远程访问端口（445,3389,22等）。 邮箱账号的异常：钓鱼邮件防护（恶意文件告警），来源若是内部员工邮箱账号，确认账号是否失陷。（高危） 跨域异常访问：办公区访问生产网（是否禁止，是否绕过堡垒机）；DMZ访问内网（是否禁止）；生产网尝试外连等 防火墙数据是否有接入，监控来源于内网/DMZ区的大量出现的ACL deny日志。 终端问题：被钓鱼成功。缺数据可能检测不到（装了EDR的关注EDR告警事件）。最好严格限制终端开放端口、关闭或卸载powershell功能。 代码服务器：内部svn/git服务器访问监控；账号弱口令告警监控；是否存在公开项目代码；代码泄露会被审计出0day 测试环境：测试环境建议下线。关注测试服务器被漏洞攻击的告警（一般不打补丁）；弱口令告警（通常一个口令登录所有测试系统）。;蓝方准备阶段工作重点;蓝方护网阶段工作重点;瀚思工作开展; 充分利用现有安全检测与防御手段，结合安全监测与分析经验，协助用户实时检测与分析攻击行为，快速响应处置，抑制攻击事件，顺利完成“护网-2019”工作。;瀚思工作重点;如何新建SAE规则？;如何优化SAE规则？