本文概述了即将来临的护网工作中,蓝队如何通过最小化、纵深防御和联合防御策略,从暴露面管理、安全加固、设备防护到威胁检测与响应,以及全员意识提升,确保企业安全度过。关键措施包括清理外网信息、启用双因素认证、安全设备配置和应急预案演练。
今年的护网工作马上就要开始,作为蓝队马上就要进场为我们的甲方保驾护航,因此用半天时间梳理了一下防护的思路,希望从整体上保证企业平安度过此次护网,尽量不丢分,尽量帮企业多拿分
防御体系建设要采用最小化、纵深防御、联合防御才能在演练/日常的安全建设中立于不败之地,主要包括攻击面管理、基础安全加固、安全设备防御、安全检查与响应机制、全员的意识培训方面
缩小暴露面
对暴露在外网的网盘信息、github上企业相关信息进行删除
外网的IP和域名资产进行梳理,关闭不需要对外开放的服务端口,下线过期业务
安全加固
核心入口(VPN入口、运维备用入口、外网邮箱等)启用双因素认证
主机补丁检测及更新
删除应用的测试代码及备份代码
对于核心业务系统、权限管控的堡垒机/OA系统进行重点防护,如网络隔离只允许特定网段访问,开启双因子认证,实时访问日志监控和审计
开启自动防护功能:如根据请求自动封禁IP
设备防御
确保边界防火墙规则生效,统一入口,区域边界清晰, 默认服务器禁止访问互联网
WAF防护检测,确保所有web服务经过WAF防护
DNS安全防御与检测产品
SOC检测平台对网络流量、服务访问日志和主机登录日志进行记录和分析
主机安全HIDS监控
部署网络蜜罐设备
威胁情报检测TIP平台
检测响应
制定应急预案,主要包括应急小组各方向负责人联系方式,网络攻击行为操作步骤,主机沦陷操作步骤
全员意识培训
针对全员进行邮件通知,提供安全意识,防止被邮件钓鱼攻击,目前看进行社工钓鱼是红队攻击的重点,也是成本最低的方案,因此我们需要针对这个点进行重点防御
参考文献
相关的体系建设可以参考等级保护的相关要求,和关基相关要求,思路都是正确的,但没有给出具体的落地实施过程,需要蓝队结合企业情况 针对性的选择和落地
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
等保2.0体系互联网合规实践 http://www.github5.com/view/1160
扫一扫
4974
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
