读红蓝攻防：技能与计谋24网络安全上

1. 网络安全

1.1. 保网络基础办法的安全，而做到这一点的第一步就是确保网络的分段与隔离，而且这种做法提供了镌汰入侵的机制
1.2. 蓝队必须充实了解网络分段的不同方面，从物理到虚拟，再到长途访问
1.3. 纵然公司不是完全基于云的，仍旧需要考虑在混合场景下与云的连接，这意味着还必须实施安全控制以增强情况的整体安全性，而网络基础办法安全是这一点的条件和基础
2. 深度防御方法

2.1. 深度防御方法背后的总体头脑是确保有多层掩护，而且每层都有自己的一组安全控制，这种机制最终会耽误攻击而且每层中可用的传感器将提醒是否有情况发生

• 2.1.1. 在任务完全执行之前就打破了攻击杀伤链
  

2.2. 分层深度防御方法

• 2.2.1. 数据
  
  
  
  • 2.2.1.1. 访问控制列表、加密、权限管理
    
  
  
• 2.2.2. 应用
  
  
  
  • 2.2.2.1. 安全开发生命周期、应用程序控制
    
  
  
• 2.2.3. 主机
  
  
  
  • 2.2.3.1. 操作体系强化、身份验证、补丁管理、主机入侵检测体系
    
  
  
• 2.2.4. 网络
  
  
  
  • 2.2.4.1. 网络分段、防火墙、IPSec
    
  
  
• 2.2.5. PPP--人员、计谋和程序
  
  
  
  • 2.2.5.1. 安全意识培训、合规、文档
    
  
  

2.3. 可以攻击基础办法和服务、传输中的文件和端点，这意味着你需要在每个可能的情况下增加攻击者的成本

• 2.3.1. 成本包括攻击者为突破不同层而必须进行的投资
  

2.4. 基础办法与服务

• 2.4.1. 攻击者可以通过攻击公司的基础办法和服务来破坏公司的生产力
  
• 2.4.2. 纵然在仅限内部部署的场景中仍拥有服务，只不外这些服务由当地IT团队控制
  
• 2.4.3. 存储用户利用的关键数据，如果变得不可用，将直接影响用户的工作服从，这将对组织造成负面的财政影响
  
• 2.4.4. 一旦确定了攻击前言，就需要添加安全控制来缓解这些毛病（如通过补丁管理强制合规，通过安全计谋、网络隔离、备份掩护服务器等）​
  
  
  
  • 2.4.4.1. 所有这些安全控制都是掩护层，它们是基础办法和服务领域内的掩护层
    
  • 2.4.4.2. 需要为基础办法的不同区域添加其他掩护层
    
  
  
• 2.4.5. 如果已经创建了威胁建模并在内部实施了安全控制，那么现在需要重新评估是否包罗内部云连接
  
• 2.4.6. 基础办法安全必须低落毛病数目和严重程度，镌汰袒露时间，增加攻击难度和成本
  

2.5. 传输中的文件

• 2.5.1. 可以是任何类型的数据，而且这些数据在传输（从一个位置到另一个位置）时通常很轻易受到攻击
  
• 2.5.2. 要确保利用加密手段来掩护传输中的数据
  
• 2.5.3. 不要认为传输中的文档加密只应该在公共网络中进行，它也应该在内部网络中实现
  
• 2.5.4. 如果需要跨网络传输文档，请确保整个传输路径加密，当数据最终到达目的地时，还要对存储中的静态数据进行加密
  
• 2.5.5. 除了加密之外，还必须添加用于监控和访问控制的其他安全控件
  
• 2.5.6. 在增加不同的掩护和检测层，这就是深度防御方法的全部精华，也就是你需要考虑的掩护资产的方式
  
• 2.5.7. 在混合场景中，攻击前言将发生变革，你应该考虑整个端到端的通信路径，以便识别潜在的威胁和缓解它们的方法
  

2.6. 端点

• 2.6.1. 在规划端点的深度防御时，你需要考虑的不仅仅是计算机
  
  
  
  • 2.6.1.1. 如今，端点实际上是任何可以利用数据的装备
    
  • 2.6.1.2. 应用程序决定了支持的装备，只要与开发团队同步工作，你就应该知道支持哪些装备
    
  • 2.6.1.3. 大多数应用程序将可用于移动装备，也可用于计算机
    
  
  
• 2.6.2. 必须执行威胁建模以发现所有攻击前言，并相应地规划缓解措施
  
  
  
  • 2.6.2.1. 分离企业和个人数据/应用程序（隔离）
    
  • 2.6.2.2. 利用TPM硬件掩护
    
  • 2.6.2.3. 强化操作体系
    
  • 2.6.2.4. 存储加密
    
  
  
• 2.6.3. 端点掩护应考虑到企业自有装备和自带装备
  
• 2.6.4. 在端点的另一个紧张安全控制是端点检测和响应体系(Endpoint Detection and Response，EDR)
  
  
  
  • 2.6.4.1. 请确保评估市场上现有的EDR，以及哪一个更得当你的组织需求
    
  • 2.6.4.2. HIDS和HIPS对端点掩护也很有效，尽管这些技能不应视为EDR体系的替代品
    
  
  

2.7. 微分段

• 2.7.1. 深度防御方法强调了根据潜在访问点分别防御的作用，但它也提出了一种利用微分段分别防御的替代方法
  
• 2.7.2. 另一种实施深度防御的方法是网络微分段
  
  
  
  • 2.7.2.1. 这种方法依靠计谋和权限来增加基于资源身份的额外掩护层
    
  • 2.7.2.2. 微分段规则不依赖于底层基础办法
    
  • 2.7.2.3. 你不需要在基础架构中添加物理装备来提供微分段，它可以完全基于从低级的基础办法中抽象出来的软件
    
  • 2.7.2.4. 这种方法被零信任网络充实利用
    
  
  

3. 物理网络分段

3.1. 在处理网络分段时，蓝队可能面临的最大寻衅之一是精确了解网络中当前实施的内容
3.2. 在大多数情况下，网络会根据需求增长，其安全功能不会随着网络的扩张而被重新审视
3.3. 创建得当物理网络分段的第一步是，根据公司的需求了解资源的逻辑分布

• 3.3.1. 可以为每个部门创建一个虚拟局域网(Virtual Local Area Network，VLAN)，并隔离每个部门的资源
  
  
  
  • 3.3.1.1. 隔离将提高性能和整体安全性
    
  
  
• 3.3.2. 设计的问题在于用户/组和资源之间的关系
  
  
  
  • 3.3.2.1. 多数部门在某个时候都需要访问文件服务器，这意味着这些部门必须凌驾VLAN才华访问资源
    
  • 3.3.2.2. 跨VLAN访问需要多个规则、不同的访问条件和更多的维护措施
    

    3.3.2.2.1. 业务目标：利用此方法，你可以创建具有基于共同业务目标的资源的VLAN
    

    3.3.2.2.2. 敏感级别：假设你对资源进行了最新的风险评估，你可以根据风险级别（高、低、中）创建VLAN
    

    3.3.2.2.3. 位置：对于大型组织，偶尔基于位置组织资源会更好
    

    3.3.2.2.4. 安全区：通常，出于特定目的，此类型的分段与其他类型的分段相结合
    

    
    
  
  

3.4. 具有VLAN功能的工作组交换机

• 3.4.1. 它们连接到将对这些VLAN执行路由控制的中心路由器
  
• 3.4.2. 理想情况下，该交换机将具有可用于限制来自不受信任的2层端口的IP流量的安全功能，这是一种称为端口安全的功能
  
• 3.4.3. 路由器包括访问控制列表，以确保只有授权的流量才华通过这些VLAN
  
• 3.4.4. 跨VLAN的分段是利用不同的方法完成的，只要你规划了当前状态以及将来的扩展方式，这是完全可以实现的
  

3.5. 最佳实践

• 3.5.1. 利用SSH管理你的交换机和路由器
  
• 3.5.2. 限制对管理界面和管理VLAN的访问
  
• 3.5.3. 禁用不利用的端口
  
• 3.5.4. 利用安全功能来防止MAC泛洪攻击，并利用端口级安全来防止攻击
  
• 3.5.5. 确保更新交换机和路由器的固件和操作体系
  
• 3.5.6. 有助于掩护物理网络并对其进行分段，但如果你还不知道生产情况中的所有网络，那么利用网络映射工具来发现你的网络可能是有效的
  

3.6. 利用网络映射工具发现你的网络

• 3.6.1. 寻衅是了解拓扑和关键路径，以及网络的组织方式
  
• 3.6.2. 方法是，利用可以显示当前网络状态的网络映射工具
  
  
  
  • 3.6.2.1. SolarWinds的Network Topology Mapper
    
  • 3.6.2.2. 当发现你的网络时，请确保记录了它的所有方面，由于你稍后将需要这些文档来精确实施分段
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告