护网小结(持续更新)

国庆70周年,护网比去年来得更猛烈了。

近期安全圈最为火热的话题莫过于此。朋友圈各种招人。客观来看,护网对安全市场有着不小的促进作用,各类企业在安全建设方面的投入也会持续增加。有消费才能拉动经济嘛,安全从业者的就业市场也会进一步拓宽。对于圈内的人而言,好处多多。不过这段时间确实辛苦,正式护网还没开始,已经累成一滩烂泥。尤其是防守方。。。。

身为防守方,人海战术是第一步了。相信有不少单位已经开始7*24了。虽说10号到28号才是护网时间段,但前期演练还是少不了的,更何况,攻击方不可能10号才开始攻击。抛开人海战术,防守方的前期准备工作自然是,写防护方案。。。然后再落地。包括边界防护的核查,如防火墙策略梳理,又如哪些对外的服务没有纳入监控范围的,再如资产的隐患核查,及对外服务资产的口令强度提升(这里多嘴一句,一直觉得从邮箱进去算是不错的口子。防护再出色,也怕弱口令,人这环节,当真是最薄弱之处),然后就是看看网上有没有相关源码的泄露。由于自己还没形成链状的防护思路,能想到的不多。想进一步了解的,可看君哥的一次攻防实战演习复盘总结

基础工作做好了,自然是开始模拟攻防了。

这一块,防守方大致是盯着安全设备看了。不过要想防守做得好一些,个人觉得安全设备的日志处理还是必要的。如waf的日志,流量分析设备的日志等相关日志,虽然安全设备对于日志做过一定的处理。但是远远不够。这里说的日志处理,指的是,大量日志关联还原出真实的攻击情况。从资产角度出发,同一资产受到的不同攻击数据包及其访问数据包,还需联动不同的设备日志。一定程度上可以还原出未发现的资产薄弱点。尤其是在攻击方采用大量无效攻击包干扰时,靠肉眼去甄别就很难了。日志处理还算是有希望找出真正有威胁的攻击行为。

总觉得护网的工作核心就是监测-分析-处置,最后做的就是。。。封IP。做为防守方,除了封禁还能做些什么。值得思考。

之前提到人是最薄弱的地方,相信看过人性的弱点,啊呸,欺骗的艺术。。的同学,会对社工充满想象。总觉得社工有着无限可能性。护网自然也不会漏了这一块。不然按照历年情况来看,16年的是成功了,其他没怎么听说。总觉得社工这块,攻击方都未做到极致,只是做为一种可能性去尝试。话说,捡垃圾也可以啊。哈哈,不知道有没有人这样试过,一般企业对于这些文件处理还是比较随意的,碎纸机也是摆设。至于收买防守人员,这一点被禁止可以理解,毕竟是演练,有些东西不可控。但实际中,这些操作的可能性还是很大的。也不知道该如何去防范。

不知道大厂的红队人员会不会用0day,不过可以肯定的是,2725补丁绕过的exp肯定会用。我相信不是每个企业都采用删包的修复方式的,只是打补丁的可就倒霉了。。。

posted on 2019-06-07 12:37  木讷  阅读(7560)  评论(1编辑  收藏  举报