护网培训课程笔记(1)(护网基础知识)

(1)攻防演习防护过程

(1准备阶段

(2防守方案编制

(3防守工作启动会

(4人员结构组织

(5目标系统梳理

(6网络架构检查

(7APT检测,流量分析,态势感知和等安全监测设备梳理了解

(2)自查阶段

1.互联网资产扫描探测

2.漏洞扫描

3.渗透测试

4.安全风险检查(集权类系统,网络划分应用系统,网络攻击风险等检查)

5.安全基线/配置检查

6.安全设备策略有效性检查

7.日志审计情况检查

8.重大活动或之前进行的安全评估结果复查

9.安全监测,防护设备补充完善

10.安全整改加固

补充:需要部署的安全设备

边界隔离:边界区域部署网闸,下一代防火墙/UTM,并启用IPS,AV,防扫描等功能

旁路检测:核心区域部署入侵检测/审计类设备,如IDS/CS,网络审计,数据库审计,APT,全流量分析系统

数据传输加密:VPN,加密机

WEB服务器重点防护:服务器区前端部署WAF,部署网页防篡改系统

终端管控:终端管理系统,EDR

平台监控:安全管理平台,如大数据版USM,CSA

其他设备:漏洞扫描,基线核查,威胁情报系统,蜜罐,攻防演练平台

(3)演练阶段

1.授权与备案

2.预演习攻击

3.预演习防护

4.问题分析总结

5.安全整改与加固

(4)实战阶段

1,安全事件实时检测

2,安全事件分析

3,应急响应和决策处置

(5)总结阶段

在演习过程中还存在的脆弱点,开展整改工,进一步提高目标系统的安全防护能力。

防守事件分类:后门木马,异常登录,钓鱼邮件,漏洞攻击,暴力破解,数据窃取事件,拒绝服务。

事件分级

一级:演习目标被控制

二级:重要系统或设备被控制

三级:内网一般设备被控制

四级:DMZ区一般设备被控制

五级:DMZ区设备遭到攻击或内网终端遭到攻击

事件流转

按照扁平化指挥原则,通过建立护网行动即时通讯群组,统一进行调度

事件处置方法

技术研判组报告事件情况————应急处置组开展应急处置工作————事件上报组进行通报

应急响应

木马后门事件处置方法

1.先针对出现木马后门设备进行断网隔离处理

2.同时将该设备日志进行备份留存分析入侵途径

3.随后对操作系统进行重新部署或病毒软件进行全盘查杀

异常登录事件处置方法

1.先将相关账号下线并留存账号相关日志

2.随后针对问题账号采取修改口令或删除账号等方式进行处理

钓鱼邮件处置

1.对邮件内链接仔细核查朔源

2.删除相关邮件

3.对收到钓鱼邮件的主机进行病毒查杀

漏洞攻击处理

1.无补丁情况,采取白名单策略,对正常服务的路径进行加白

2.在主机配置强制访问控制策略,对进程,驱动等资源进行强制管理

3.有补丁情况,加强信息系统漏洞检测和补丁修复,采取相应技术手段,检查漏洞修复情况,并督促整改

暴力破解事件处置

1.针对产生暴力破解事件的相关IP进行有效封锁

2.并关注出现被暴力破解事件系统运行的状态

数据窃取的处置

1.组织技术研判组对失窃数据内容及范围进行研判,根据研判结果向相关业务主管部门进行通报

2.相关业务主管部门在收到通报后,应在第一时间根据技术研判建议采取相关处置措施,防止事件升级

拒绝服务攻击处置

1.借助互联网出口运营商防护资源实现拒绝服务流量清晰

2.关注出现拒绝服务攻击事件系统的运行状态

HW新变化

1.社工攻击使用增加,花样更多

2.0day漏洞利用成热门,得手快速擦除痕迹

3.信息采集途径和范围增多,发现薄弱点并进行横向移动,寻找薄弱点作为突破口

4.攻击不受工作时间限制,非工作时间实施攻击增多

5.攻击者不断更换攻击IP和被攻击目标

攻击手段

1.弱口令

2.0Day

3.钓鱼邮件

4.有限攻击集中管控类设备

5.分布式扫描

HW攻击方式

A(WEB) B(内网机子)C(目标)

防守方职责——全面防护,与时俱进

个体问题解决:分析原因,形成解决方案,解决个体问题

整体能力提升:横向借鉴,发散思维,关口前移

加强攻击对抗分析:持续细化攻击分析,借鉴killchain,att&ck提升智能威胁分析,积极防御能力

完善纵深防御体系:以"面向失效的设计“为原则,加强网络安全信息统筹机制,手段,平台建设

有效的安全管理与运营:加强安全意识的教育摸清家底,人情风险专业的安全运营队伍加强应急指挥能力建设

基于攻击的防守应对措施

经验总结

1.攻击方不会守规矩,攻击时间随机

2.攻击方式多样,主要以网络远程入侵为主,还会有社工方式

3.谨慎上报目标系统:目标系统被攻破以为着该单位此次护网失败

4.充分备战最为关键:深入研究得分规则和总结往年攻防经验,在演习前做好充分的防护准备和应急预案等

5.全面检测,分析,展示机制不可缺失

6.建立威胁情报系统

7.证据妥善保管

1.本机的一些设置 入侵别人之前自己的电脑当然要设置好,要不然会很不方便。 这里讲几个常用的: 修改administrator的名称,可以不用设置开机密码.省得每次开机都输密码麻烦,别人扫描的时候多数情况下都是以administrator和guest或admin来扫描的,我们改了名称就给他们增加了些难度。当然,这是偷懒的想法,要想安全点的话还是改了名字再设置个强壮的密码. 下面来改一下,改完后注销再登录,要不然文件复制不过去。 关掉防火墙和自动更新,自动更新可以说没什么作用,补丁可以用360等第三方软件来下载,还比自动更新快好多。 链接限制至少改为1000以上,XP默认的限制是10,这对我们以后的扫描探测很不利,有时候都扫不到结果 这里需要用到一个破解连接限制的补丁,改为2000或更大。改了之后还能加快下载速度喔。 番茄花园的已经修改过了,我们再修改大一些,修改完重启一下就好了 安装第三方防火墙,这里以金山的为例,当然飞云和天的比金山好多了,只是简单的举个例子。 当扫描目的主机的时候都要发送数据包给对方或是ping对方,可以通过防火墙过滤这些数据包并记录攻击者的IP。适当的时候进行反击,不过入侵一般都用跳板的,记录的不一定是真实的IP,所以只给大家个思路。就用虚拟机和本机测试下,先看不开防火墙时的状况。就用简单的ping命令了。关于一些命令的使用下面会讲到 可以PING通,下面我们配置下防火墙,因为是虚拟机就配置局域的了,大家自己配置的时候配置互联的,再来ping下,看到效果了吧,虚拟机已经ping不通主机了 2.影子系统的使用 下载地址:http://fulhwj.host.ibm001.com/blog/index.asp 影子卫士智冠天下破解版 自带说明,自己看下好了:一款小巧却功能强大的保程序,支持多分区,支持转储,支持排除。虽然大家都熟悉Powershadow(影子系统),但也不妨试试这个,和Powershadow(影子系统)一样也能防机器狗。软件有着漂亮的界面和直观的设置选项,桌面上的提示标签很漂亮,还可以随时移动并且可以此唤出主界面,给人感觉超棒。特别是在转储和排除方面胜人一筹 一些数据比较: 不能防御机器狗: DeepFreeze Standard v6.30.21.1875 Returnil Virtual System Pesonal Editon V1.70.7502 PowerShadow 2.8.2 ShadowUser 2.5 能防御机器狗: PowerShadow 2008 但不能防御PassDiskProtect_C.exe Shadow Defender 1.0.0.130 还能防御PassDiskProtect_C.exe 关于他的作用也很多,主要是用来保电脑不受病毒木马危害的,影子模式下做的所有修改重启后都会还原到上次启动影子模式之前的状态,一般只要把C盘保就好了,其他盘用来保存文件,具体的大家可以看说明 只安装一个软件,就不在本机装了,拿到虚拟机上实验。 以Shadow Defender为例,还有一个影子系统2008,感觉那个有点麻烦,最怕麻烦了。试用版的每次开机都要输密码,破解版的试了几个也不太好用,还是推荐大家用这个吧。 首先我们去智冠天下工作室下载破解补丁,然后下载正式版的安装,然后再破解。 我已经提前下好了,看操作,这样就安装好了,想看下效果的可以快进,已经知道了的就到此结束了 这里只有一个c盘。大家测试的时候为了安全也可以全部进入影子模式 这样大家可以做一些病毒木马的测试,就算中了招也无所谓,重启一下就OK了, 看到了没,都还原回来了 好了,这节课就讲这么多了,拜拜。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值