项目:《企业网络安全架构与实战指南:从蓝队防御到零信任网络部署》
姓名:飞花似梦Flydream
日期:2024年11月21日
目录
蓝队底子
企业网络架构
高层管理
IT管理
中央技术团队
安全部门
企业管理技术
信息安全管理成熟度模型(ISM3)
安全职能
安全团队成员
典型企业网络分区
含糊的界限
外部攻击面
身份管理
辨认Windows典型应用
辨认Linux典型应用
辨认WEB服务
辨认客户端装备
身份和访问管理
目录服务
企业数据存储
传统存储情势
虚拟化平台
数据湖
企业数据库
SOC管理流程
SOC层级
网络杀伤链
日志网络
日志搜索与分析
监控告警
事件响应
Cyber Hunting(网络狩猎)
威胁谍报
安全管理
零信任网络
零信任架构的核心特性
安全和底子办法
事件响应机制
SABSA多层控制计谋
管理事件响应的方法
应急响应准备
一、风险评估与威胁分析
二、职员、流程和技术
三、控制
四、成熟度评估
五、应急响应手册概述
六、演练与沟通
七、事件检测与响应
八、陈诉与总结
九、入侵检测与防御
十、安装依赖包与设置Snort
(1) 文件管理概述(Snort规则设置)
(2) Snort规则设置字段具体描述
(3) 当地账号与Snort条件子句概述
(4) 具体Snort条件子句示例及表明
(5) 外部规则集
(6) In Line部署及阻断操作
(7) 总结
蓝队底子
在信息安全领域,红队与蓝队的对抗是提升防御与攻击能力的关键。红队专注于模仿攻击,测试目标系统的安全性,而蓝队则负责防御这些攻击,确保系统免受侵害。双方都必要对相互的计谋和技巧有深入的相识,即所谓的“知己知彼,百战不殆”。蓝队不仅要精通防御技术,还要掌握一定的攻击技巧,以便更好地理解和预测潜在威胁。
企业网络架构
企业技术和信息团队的管理架构因企业规模、行业特性和业务需求而异,但通常遵循一定的框架和原则。
高层管理
- CIO(首席信息官):负责企业信息系统的战略规划、管理和优化,确保信息技术与企业战略保持一致。
- CTO(首席技术官):负责运营技术的整体方向,包括技术创新、研发、技术选型等。
IT管理
- 中央系统:集中管理企业内的全部IT资源,包括软件、硬件和数据。
- 自带装备(BYOD):员工自带移动装备(如手机、平板电脑)接入企业网络,需订定相应的安全计谋和管理规定。
- 影子IT:员工在企业内部搭建的小网络或利用的未经授权的IT装备和软件,增加了企业的安全风险,需加以管理和控制。
中央技术团队
- 客户服务团队:提供技术支持和服务,包括工作站、笔记本的维护和服务台支持。
- 底子办法团队:负责网络、服务器机群的规划、部署和维护。
- 数据库管理团队:负责数据库存储、备份和恢复,确保数据的完备性和安全性。
- 技术团队:通常由项目驱动,负责采购系统、维护和创建技术运营团队,根据信息技术底子办法库(ITIL)进行日常操作和管理。
安全部门
- 安全部门:由CISO(首席信息安全官)领导,负责企业整体的信息安全计谋、规划和管理。安全部门需向CIO、CTO、CFO(首席财政官)和CRO(首席风险官)陈诉,确保信息安全与企业战略、财政和风险管理保持一致。
企业管理技术
信息安全管理成熟度模型(ISM3)
描述了企业安全运行和管理流程的成熟度品级,为企业提供了改进信息安全管理的指导。
安全职能
包含战略、战术和运营安全全部方面。由CISO负责管理运营,确保企业信息安全计谋的有效实施和持续改进。
安全团队成员
应相识企业文化、组织和关键职员,以及推动业务乐成的关键流程。这有助于安全团队在企业内部树立积极形象,提高信息安全意识和管理程度。
典型企业网络分区
企业网络通常划分为不同的安全地域,以控制地域之间的访问权限,防御外部和内部攻击。
- DMZ(非军事区):隔离内部与外部系统,提供安全的访问通道。
- 蜜罐:引诱和分析入侵者,网络攻击信息和行为模式。
- 代理:对外提供有限的服务,保护内部网络免受外部攻击。
- VPN:员工与相助商通过VPN毗连内网,确保远程访问的安全性和保密性。
- 核心网络:通常物理分离、冗余设计,确保网络的稳定性和可靠性。
- 内部网络:包括有线、无线和VPN接入方式,提供全面的网络覆盖和接入服务。
- 安管区:管理日志、告警和事件,提供实时的安全监控和响应能力。
含糊的界限
随着云计算和SaaS服务(软件即服务)的普及,传统网络布局渐渐淘汰,越来越多地在云中部署底子架构或利用SaaS服务。用户从企业工作站登录到云或SaaS服务,必要企业提供身份根据同步机制甚至SSO(单点登录)解决方案。云服务大概涉及在当地运行的硬件,如Azure AD Connect系统等。数据通过内部和外部服务进行管理,如Oracle数据集成器等。工作负载可以通过Oracle服务总线或戴尔云平台等跨混合情况共享,实现资源的机动设置和优化利用。
外部攻击面
网络开源谍报后,绘制网络范围内全部节点,关闭无用节点,淘汰攻击面。利用nmap等工具进行网络扫描,如nmap -sn /24来发现网络中的活泼主机。重点关注开启了SSH服务的未加固装备,实时进行加固和修复。利用nmap等工具进行服务探测和版本辨认,如nmap -sT -sV -O -p ip-address来发现目标主机上开放的服务和版本信息。测试漏洞入口,大型网络主机和应用程序很容易缺少补丁或设置存在漏洞。利用漏扫软件(如Nessus、AWVS等)验证漏洞存在性,并实时进行修复。利用searchsploit等工具搜索相干漏洞利用脚本,如searchsploit来查找针对特定服务和版本的漏洞利用脚本,有助于安全团队实时相识和应对潜在的威胁和漏洞。
身份管理
身份管理是确保企业信息安全的关键环节,涉及对系统中全部用户、装备和服务身份的辨认、验证和管理。
辨认Windows典型应用
在Windows情况中,常见应用和服务包括Microsoft Exchange(邮件服务器)、SharePoint(文档协作平台)和Active Directory(目录服务)。辨认这些应用和服务,可以利用网络扫描工具,如sudo nmap -sT -sV somesystem.com,探测目标系统上开放的服务和端口。
辨认Linux典型应用
在Linux情况中,OpenSSH(安全壳协议)用于远程登录和管理,Samba用于文件和打印共享。同样,可以利用网络扫描工具来辨认这些服务。
辨认WEB服务
企业应用或界限装备上的WEB服务也是身份管理的重要部门。可以利用whatweb http://someweb.org等工具来辨认WEB服务的范例、版本和设置信息。
辨认客户端装备
在内网情况中,客户端装备的身份管理同样重要。由于管理员的疏忽或设置不当,终端装备大概会暴露在网络中。因此,必要定期扫描和辨认内网中的客户端装备,以确保它们符合企业的安全计谋。
身份和访问管理
身份以及特权和访问权管理是企业安全的核心。根本工作站和服务器通常维护自己的身份存储,包括用户账号和服务账号。为确保系统的安全性,普通用户不能实行系统级设置管理命令,而必要利用sudo权限或以管理员身份运行。
目录服务
LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议,广泛应用于AD(Active Directory)和OpenLDAP等目录服务中。通过域集中管理,可以实现资源的集中存储和集中管理,包括组计谋的应用和更新。
企业数据存储
随着数据分析的兴起和羁系要求的加强,企业必要集中存储和管理大量数据。
传统存储情势
- 共享驱动器:一种常见的资源共享方式,允许用户通过网络协议(如SMB/CIFS)访问远程服务器上的文件和文件夹。利用smbclient命令行工具,可以列出远程服务器上的共享资源,以及从共享资源中下载文件。例如,smbclient -L server -U user命令可以列出指定服务器上的共享资源,而smbclient \\someserver\test -U user则可以毗连到名为test的共享资源,并利用get命令下载文件。
- 默认共享资源:在Windows系统中,存在如C(全部驱动器的默认共享)、ADMIN(管理共享)和IPC$(管道,用于与其他计算机互操作的特殊毗连器)等默认共享,通常用于系统管理和维护任务。
虚拟化平台
虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等,可以实现资源的动态分配和优化利用,提高系统的机动性和可扩展性。
数据湖
数据湖是一个保存大量不怜悯势数据的大型存储库,结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一,另一种当地解决方案是DataBricks。别的,还有基于云的大数据解决方案,如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight(基于云的Hadoop)等。围绕数据湖有一个完备的技术生态,提供数据摄取管道和数据分析服务。然而,数据湖也面临着安全风险,如Hadoop的YARN服务设置错误大概导致恶意HTTP请求攻击并获得系统命令行shell,因此必要加强对数据湖的安全管理和监控。
企业数据库
企业数据库是存储和管理业务数据的重要工具。
- SQL数据库:包括Oracle SQL、Microsoft SQL Server和MySQL等。
- 嵌入式SQL数据库:包括MariaDB、PostgreSQL和SQLite等。
- 非SQL数据库:如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等,提供了不同的数据存储和查询方式以满足企业的多样化需求。
SOC管理流程
SOC(Security Operations Center,安全运营中央)是企业信息安全筹划的重要组成部门,负责监控、分析和响应网络中的安全事件。
SOC层级
- L1:提供监视告警、分类和解决小问题。
- L2:提供对日常事件的分析、遏制和解决。
- L3:负责损失控制、深入调查和取证分析等IR(Incident Response,事件响应)事件。
- L4:安全管理,负责日常、非事件相干的程序,如开设账户、访问授权查察、定期安全陈诉和其他主动安全程序。
网络杀伤链
网络杀伤链模型描述了网络攻击的七个阶段:
- 侦察(Reconnaissance):攻击者对目标进行信息网络和探测,相识目标的网络架构、系统设置、潜在漏洞以及用户活动等相干情况。
- 武器化(Weaponization):根据侦察所获取的信息,攻击者将恶意软件或攻击工具进行定制和包装,使其可以或许利用目标系统的特定漏洞。
- 投送(Delivery):将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中,如通过电子邮件附件、恶意链接、受感染的移动存储装备等。
- 利用(Exploitation):一旦投送乐成,恶意软件会利用目标系统存在的漏洞来触发并实行恶意代码,获取对目标系统的初步访问权限或控制权。
- 安装(Installation):在乐成利用漏洞进入目标系统后,攻击者会进一步在目标系统内安装额外的恶意软件组件,如后门程序、远程控制工具等。
- 指挥与控制(Command & Control):安装在目标系统内的恶意软件会与攻击者所控制的外部服务器创建毗连,允许攻击者远程对目标系统下达指令、获取数据以及进行进一步的操控。
- 行动(Action):攻击者通过已经创建的指挥与控制通道,在目标系统上实行预期的恶意活动,如盗取敏感信息、篡改数据、发起拒绝服务攻击等。
日志网络
日志网络是网络安全监控的底子,涉及从各种关键日志泉源网络数据,如代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。
- Windows系统:可以利用事件日志网络和转发机制获取日志数据。
- Linux系统:通常利用syslog网络和聚合日志,并将其转发到指定的日志网络器。
日志搜索与分析
网络到的日志数据必要进行有效的搜索和分析,以便实时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志网络、存储、搜索、分析和可视化功能。别的,SIEM系统可以或许关联日志与活动,辨认可疑内容。
监控告警
监控告警是网络安全响应的重要组成部门。告警可以来自SIEM系统,也可以直接来自安装在系统和网络中的传感器实时告警系统,如IDS(入侵检测系统)装备。别的,过后告警系统,如AIDE(监视系统文件的修改)等,也可以提供重要的安全信息。
事件响应
事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后,会进行分析评估,并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域,通常由L3级分析师处理,他们会对内存、硬盘等存储装备以合法方式进行取证,以保护数据的完备性。
Cyber Hunting(网络狩猎)
网络狩猎是SOC(安全运营中央)L3级分析师的一门新兴学科。它假设网络已被渗透,通过主动寻找恶意软件(或入侵者),争取在攻击造成损失之前发现。网络狩猎必要寻找一系列指标,以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源,提供了攻击者行为方式及其利用工具的信息,有助于发现攻击痕迹。
威胁谍报
威胁谍报是网络安全管理的重要组成部门。妥协指标(IOC)是用于辨认恶意软件或恶意活动的署名,通常以文件名和哈希值的情势提供。思量到新威胁信息的规模,自动化威胁管理变得尤为重要。MITRE开发了布局化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁谍报,并将其输入IDS、SIEM等工具,实现威胁谍报的近乎实时更新,以击败已知威胁。别的,AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。
安全管理
安全管理是一组确保公司业务安全的日常流程,涵盖多个方面,包括身份管理(IAM)、访问控制、特权管理(PAM)、媒体消毒、人事安全、证书管理以及远程访问等。
- IAM:任何安全程序的底子,也是黑客攻击的主要目标。
- 访问控制:设置和验证用户访问系统的权限,并订定审计规则。
- PAM系统:使非特权用户可以或许请求特权访问,以提升权限。
- 媒体消毒:在生命周期结束时对敏感数据进行安全清理和烧毁。
- 人事安全:公认的业务安全程序之一。
- 证书管理:维护PKI架构的完备性。
- 远程访问:后疫情期间成为攻击的重点,需加强安全管理。
零信任网络
在2010年谷歌遭受极光行动网络攻击之后,其内部网络管理方式发生了深刻厘革,创造了“零信任”一词,用以描述一种始终假设内部网络大概已被粉碎的运行方式。零信任架构在NIST特别出版物800-207中得到了正式确立,并已成为全部美国政府机构必须欺压实施的安全标准。
零信任架构的核心特性
- 即时访问(Just-In-Time Access, JITA):用户或服务在必要时才被授予访问权限,且权限具有时效性。
- **只需足够的访问权限(Least Privilege Access, LPA 或 JEA, Just Enough Access)**:用户或服务仅被授予完成特定任务所需的最小权限集。
3. 动态访问计谋:访问控制计谋根据用户身份、装备状态、位置、时间等多种因素动态调整。
4. 微观分割:将网络划分为多个小型的、相互隔离的安全地域,限定攻击者在网络内的横向移动能力。
安全和底子办法
在构建零信任网络的同时,还需关注以下安全和底子办法方面的要素:
- 数据备份/恢复:作为重要的运营技术,数据备份在发生灾难或攻击事件时,是恢复业务连续性和数据完备性的关键安全资产。
- 变动管理:安全计谋必要与系统的变化过程精密关联,确保在提交变动前已充分评估风险,并订定具体的变动管理筹划,包括推出筹划、回滚筹划、影响评估和依赖关系清单。
- 管理物理情况:数据中央情况的物理和电子安全同样重要,包括物理访问控制、机房情况监控(如功率、温度、气压等)。
事件响应机制
有效的事件响应机制是零信任网络不可或缺的一部门。事件管理生命周期通常包括以下几个阶段:
- 准备:相识系统及现有控制步伐,通过培训和演练提高组织的应急响应能力。
- 响应:辨认安全事件、进行调查、接纳行动以响应事件并恢复业务服务。
- 后续:过后进一步调查、形成陈诉、总结经验辅导,并据此改进安全流程和计谋。
SABSA多层控制计谋
SABSA(Sherwood Applied Business Security Architecture)多层控制计谋提供了一种全面的安全框架,包括威慑、预防、遏制、检测和通知恢复等多个层次的控制步伐。
管理事件响应的方法
NIST特别出版物800-61:计算机安全事件处理指南提供了一种标准化的事件响应方法,包括检测和分析、遏制、根除和恢复以及事件后活动等阶段。别的,PDCA(Plan-Do-Check-Act)循环也被广泛应用于事件响应生命周期的优化和持续改进中。
应急响应准备
在构建全面的应急响应体系时,必要从多个维度进行准备:
一、风险评估与威胁分析
- 风险评估:深入相识组织的技术资产、系统和数据,并明白它们对业务的重要性,从而确定关键保护对象。
- 威胁分析:通过计谋、技术和实践来辨认潜在的风险点,并据此订定和实施相应的控制步伐。
二、职员、流程和技术
- 创建团队:组建专业的应急响应团队,明白各成员的脚色和责任。
- 配备工具:为团队提供须要的应急响应工具和装备,如日志分析工具、网络扫描器等。
- 订定流程剧本:针对不同范例的安全事件,订定具体的应急响应流程和剧本。
- 演练:定期进行应急响应演练,以提升团队的实战能力和协同效率。
三、控制
- 响应手册:编制应急响应手册,明白在不同安全事件发生时应实行的标准操作程序。
- 事前流程规避:通过订定和实行严酷的安全政策和流程,尽大概淘汰安全事件的发生。
- 事中数据支持:在事件发生时,提供须要的数据支持和分析工具,帮助团队快速定位问题。
- 过后备份恢复:确保有可靠的数据备份和恢复机制,以便在事件发生后可以或许迅速恢复业务。
四、成熟度评估
- CREST成熟度评估工具:利用CREST提供的成熟度评估工具,对组织的应急响应能力进行持续评估和改进。
- 流程培训+实践技能培训:结合理论培训和实践技能培训,提升团队的整体应急响应程度。
五、应急响应手册概述
该手册具体规定了在不同安全事件发生时应实行的标准操作程序,涵盖了扫描、托管威胁、入侵、可用性、信息、敲诈、恶意内容、恶意软件检测、技术诚信和偷窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。
六、演练与沟通
- 演练:通过红蓝对抗等模仿真实攻击场景的方式,锻炼团队的应急响应能力,并验证应急筹划的有效性。
- 沟通:在应急响应过程中,实时、充分、准确的信息沟通至关重要。沟通对象包括内部员工、外部相助同伴、客户、媒体和政府等。
七、事件检测与响应
- 事件上报:一旦发现安全事件,立即进行上报。
- 系统监控与检查日志告警:利用系统监控工具和日志分析技术,实时发现并响应安全事件。
- 确定事件级别:根据事件的严峻程度和影响范围,确定事件的级别。
- 调查事件:对事件进行深入调查,包括溯源取证等。
- 接纳遏制步伐:根据调查结果,接纳须要的遏制步伐,防止事件进一步扩大。
八、陈诉与总结
- 编写应急响应陈诉:具体记录事件的经过、处理过程和结果,以及后续的调查筹划和改进发起。
- 经验总结与改进发起:对事件处理过程中的经验和辅导进行总结,并提出针对性的改进发起。
九、入侵检测与防御
- Snort:利用Snort等入侵检测和防御系统,对网络流量进行实时监控和分析,实时发现并制止网络威胁。
- 流量分析:通过流量分析技术,发现恶意流量,并接纳相应的告警和制止步伐。
- IDS与IPS:根据实际需求,选择合适的部署方式(带外监视或串联部署),以实现更高效的入侵检测和防御。
十、安装依赖包与设置Snort
- 安装DAQ数据收罗库:为Snort提供须要的数据收罗支持。
- 安装内存分配器:确保Snort在运行过程中有足够的内存资源。
- 安装设置Snort3:根据实际需求,安装并设置Snort3,包括自定义规则等。
(1) 文件管理概述(Snort规则设置)
在网络安全监控中,Snort等工具的规则设置是关键。规则定义了如何检测和处理网络流量,并触发相应的告警。这些规则包含多个字段,每个字段都扮演着特定的脚色,共同确保网络活动的准确监控。
(2) Snort规则设置字段具体描述
- alert:指示这是一个告警规则。当流量匹配规则时,Snort将天生告警。
- 示例:alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...)
- icmp/tcp/udp:指定要监控的协议范例(如ICMP、TCP、UDP)。
- 示例:alert icmp ... 或 alert tcp ...
- any:作为源/目标IP或CIDR表示恣意IP地址;作为源/目标端口表示恣意端口。
- $HOME_NET:在Snort设置中定义的当地网络。
- 示例:content:"Login incorrect"
(3) 当地账号与Snort条件子句概述
Snort可通过设置条件子句来监控当地账号相干活动,如失败的登录尝试。当满足条件时,触发告警或实行其他操作。
(4) 具体Snort条件子句示例及表明
示例:检查失败的telnet登录尝试
- alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)
- alert tcp:针对TCP协议的告警。
- $HOME_NET 23:源网络为当地网络,端口为23(Telnet)。
- -> any any:流量流向恣意目标IP和端口。
- msg:"Failed login attempt":告警名称为“Failed login attempt”。
- content:"Login incorrect":流量中需包含“Login incorrect”字符串。
- sid:1000002:规则的唯一署名ID为1000002。
- rev:1:规则版本号为1。
- classtype:attempted-user:告警分类为“attempted-user”。
(5) 外部规则集
相干网址:
- Proofpoint:大概提供网络安全规则和发起。
- Emerging Threats:提供新兴威胁相干的规则集。
(6) In Line部署及阻断操作
- In Line部署:Snort直接介入网络流量路径,实现实时处理。
- 阻断操作:
- D drop:丢弃符合特定条件的流量。
- sdrop:雷同D drop,但具体实现大概有所不同。
- reject:拒绝流量并发送拒绝响应给源端。
(7) 总结
通过综合运用Snort的规则设置、外部规则集以及In Line部署和阻断操作,可以实现对网络活动的全面、有效监控和安全防护。这要求管理员深入理解Snort的设置字段和条件子句,并可以或许根据实际情况机动设置和调整规则,以确保网络的安全性和稳定性。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
