Grundlegende Einführung in die Netzschutzwirkung

Enterprise 2022-03-27 04:54:58 views: null

Die Blog-Inhalte werden größtenteils aus dem Internet gesammelt und basierend auf persönlichem Lernen zusammengefasst. Bei Verstößen bitte sofort kontaktieren und sofort löschen (〃'▽'〃)
Es ist nicht einfach zu organisieren, bitte fragen Sie offen um Rat und begrüße deine Führung ( • ̀ω•́ )✧

Grundlegende Einführung in die Netzschutzwirkung

welche Netzschutzaktion

Was ist eine Netzschutzoperation?
Die Netzwerkschutzoperation ist eine Netzwerksicherheitsangriffs- und -verteidigungsübung. Es handelt sich um eine tatsächliche offensive und defensive Aktivität, die auf echte Netzwerkziele im ganzen Land abzielt.

Umfang des Netzschutzeinsatzes
: Großunternehmen und Institutionen, nachgeordnete Organe, Großunternehmen (nicht auf das Internet beschränkt), die allgemeine Dauer beträgt drei Wochen.

Perspektiven des Netzwerkschutzbetriebs
In Zukunft wird der Netzwerkschutzbetrieb weiter ausgebaut, und auch die Lücke der Netzwerksicherheitstalente wird weiter vergrößert.
Bildbeschreibung hier einfügen

Erfahrungsaustausch im Netzschutz

Fähigkeiten zum Punktabzug:
Sie müssen Berufung einlegen, wenn die nicht im Besitz befindlichen Vermögenswerte abgezogen werden; wenn der vom Angreifer bereitgestellte Bericht ein Intranet-Asset ist, muss er nachweisen, dass es sich um unseren Vermögenswert handelt; bewahren Sie eine strenge Haltung und geben Sie dies niemals ohne schlüssigen Beweis zu Beweis.
Bonusfähigkeiten:
Achten Sie auf das Datei-Sandbox-Alarmprotokoll und analysieren Sie die Beispiele; achten Sie auf Hochrisiko-Schwachstellenalarme wie Deserialisierung, Injektionsschwachstellen und Zugriffsberechtigungen auf Systemebene; Wenn die Angriffsinformationen ausreichend gesammelt wurden, können Sie sich an den wenden Schiedsrichtergruppe für Schiedsverfahren.
Schutzvorschläge
IP-Verbote gut nutzen, und ausländische IPs werden gesperrt; Intranet-Schutz stärken; Vollzeit-Stichprobeanalytiker; Exploit-Angriffe und Trojaner-Angriffe sollen Punktverluste vermeiden; Englische Phishing-E-Mails punkten nicht.
Interne und externe Kommunikation
Inhalt des Berichts: Quell-IP-Ereignistyp, Datenverkehrsanalyse (vollständiger Datenverkehr), Proben müssen analysiert und angehängt werden, falls Proben vorhanden sind, erfassen Sie nicht nur die Gerätealarmkarte; die interne Kommunikation basiert hauptsächlich auf WeChat, um Prozesse zu vermeiden Einschränkung.

Angriffs- und Verteidigungs-Intrusionspfad

Gefährdung von Web-Internet-Assets
Die im Internet exponierten Assets sind direkten Bedrohungen durch externe Angreifer ausgesetzt. Verglichen mit den höheren Sicherheitsrisiken, denen die internen Assets des Unternehmens ausgesetzt sind, haben die Angreifer mehr Angriffspunkte und die Kosten des Angriffs sind ebenfalls geringer.
Das Gerät wird seriell mit dem Netzwerk verbunden und das Gerät mit Schlupflöchern
wird mit Bypass (ohne Änderung der bestehenden Netzwerkstruktur) oder seriell (serieller Zugriff auf das bestehende Netzwerk) und anderen Methoden eingesetzt Es gibt Schlupflöcher, die direkt ausgenutzt und durchdrungen werden können das Intranet.
Das Sicherheitsbewusstsein der Mitarbeiter mit hoher Autorität
muss zu Ende geführt werden Jeder hat ein klares Verständnis der eigenen ausführbaren Berechtigungen, verantwortlichen Inhalte und Bereiche und Arbeitsschritte, um Angreifer zu vermeiden, die sich als Führer ausgeben oder andere Abteilungen, Informationen usw.

Springboard Second-Level-Einheiten und nachgeordnete Organisationen müssen,
obwohl sie grundlegende Schutzmaßnahmen ergriffen haben, klare Anforderungen an nachgeordnete Einheiten stellen, damit untergeordnete Einheiten, die eine Kommunikation oder Datenübertragung haben können, auch Schutzmaßnahmen ergreifen und entsprechende Kommunikationsstrategien treffen können .

Angriff des roten Teams

Web-Angriff, Host-Angriff, bekannte Schwachstellen, vertrauliche Dateien, Passwort-Blasting Zusammensetzung des
Angriffsteams
: Das Ministerium für öffentliche Sicherheit organisiert mehr als 100 Teams, darunter nationale Informationssicherheitsteams, Militär, wissenschaftliche Forschungseinrichtungen, Bewertungsagenturen, Sicherheitsunternehmen usw. mit Hunderten von Menschen Zusammensetzung.
Angriffsmethode: Unter der Prämisse, die Sicherheit des Bullseye-Systems des Verteidigers (z. B. Deaktivierung von DDoS-Angriffen) zu gewährleisten, ohne den Angriffspfad einzuschränken, jede mögliche Methode zu simulieren, mit dem ultimativen Ziel, die Rechte zur Kontrolle des Geschäfts und zum Abrufen von Daten zu eskalieren Aber der Angriffsprozess wird überwacht.

blaue Teamverteidigung

extreme Abwehrstrategie

Vollständig offline: Alle unwichtigen Business-Systeme sind offline; das Zielsystem ist stufenweise offline;
Crazy IP: Crazy IP (C-Segment) würde lieber versehentlich 1.000 töten, und kann 1 nicht loslassen;
Marginal: Nur der Kern des Kerngeschäfts behalten ihre Funktion und berichten nur an Edge-Systeme.

aggressive Abwehrstrategie

Richtlinienverschärfung normalisieren Wenden
Sie sich an die Hersteller bestehender Geräte, um bestehende Sicherheitsausrüstungsrichtlinien anzupassen, Zugriffskontrollrichtlinien zu verschärfen und Datenbanken und Systemkomponenten zu verstärken.
Reduzieren Sie die Angriffsfläche
. Im Internet verfügbar gemachte Assets werden aus den vorhandenen Netzwerkinformationen entfernt, die im Internet gefunden werden können.
Verschiedene Passwörter sind kompliziert
Ob Betriebssystem, Geschäftsportal, Datenbank, Middleware oder sogar der Host, alle Passwörter, die eine Passwortauthentifizierung erfordern, sind kompliziert.
Kerngeschäfts-Whitelist
Initialisieren Sie das Kerngeschäftssystem und wichtige Geschäftssysteme, zeichnen Sie den normalerweise vom Unternehmen generierten Datenverkehr auf und implementieren Sie die Whitelist-Strategie.
Mainframe-System-Patching
Grundlegende Überprüfung des Geschäftssystems, Behebung von Elementen, die nicht den Standards entsprechen, Schwachstellenprüfung des Geschäftssystems und Behebung der identifizierten Schwachstellen.
Bildbeschreibung hier einfügen
Abwehrprozess des blauen TeamsBildbeschreibung hier einfügen

Inhalt der Verteidigung

Der Gesamtplan für die frühe Phase des Schutznetzwerks wird erstellt
und die Organisation ist die
Oberbefehlshaber-Führungsgruppe, die Führungsentscheidungsgruppe,
die Überwachungs- und Frühwarngruppe, die Notfallreaktionsgruppe, die
Unternehmensunterstützungsgruppe und die Gruppe zur Unterstützung von Unternehmen. die externe Verbindungsgruppe.
Asset-Sortierung
Extranet-Asset IP, Port, Domänenname
Intranet-Asset: Host, System, Server
Asset-Risiko: Schwachstelle, schwaches Passwort, Boundary-Integrity
-Architekturanalyse
Topologie-Sortierung: Intranetbereich, Internetzugangsbereich usw.;
Bullseye-System und zugehöriges System: Gegenseitig Besuchsbeziehung;
Penetrationstests für Geschäftsabläufe
; manuelle Penetration; Leak-Scanning-Tools
, um vorhandene Bedrohungen für Assets zu ermitteln; Schwachstellen von Geschäftssystemen verstehen.
Berichtigung und Verstärkung Verstärkung der
Sicherheit; Reparatur von Schwachstellen; Strategie für Sicherheitsausrüstung;
Mangel an Überwachungsmitteln für den Einsatz von
Notfallübungen
Überprüfung und Schließung von Lücken; Optimierung der Sicherheitsstrategie; Optimierung des Verteidigungsplans
; Überprüfung der Fähigkeiten in allen Aspekten; Notfallübungen

Bildbeschreibung hier einfügen

Asset-Sortierung

Die grundlegende Informationssortierung
basiert auf Organisationsstruktur, Asset-Typ und Asset-Bedeutung (manuell/Plattform), einschließlich: IP, MAC, (Domänenname), Hersteller, Name, Asset-Typ, Systemidentifikation, offene Ports, offene Dienste, Middleware, Offenes Geschäft, Systemversion, zuständige Person, Fachbereich, Einsatzort etc.
Erkennung von Asset
-Schwachstellen Schwache Passwörter, Ports mit hohem Risiko, Schwachstellen mit hohem Risiko, illegale Reichweite, illegales Inline, duale Netzwerkkarten usw.
Grundlegende Informationssortierung
Asset-Liste, Schwachstellen-Ledger, Asset-Mapping-Beziehung, Risikoliste usw.

Überblick über die Durchdringung

  1. Simulieren Sie Hackerangriffsmethoden, führen Sie zerstörungsfreie Schwachstellenerkennung und Angriffstests auf wichtigen Geschäftssystemen durch und finden Sie Schwachstellen auf Anwendungscodeebene.
  2. Der Inhalt von Penetrationstests umfasst Schwachstellen in der Konfigurationsverwaltung, Identitätsauthentifizierung, Authentifizierung und Autorisierung, Sitzungsverwaltung, Eingabevalidierung, Fehlerbehandlung und Geschäftslogik.
  3. Übersehen: Bereinigen oder beschränken Sie den Zugriff auf vertrauliche Informationen in allen internen Dokumentendiensten (Netzwerktopologie, Sicherheitslösungen und Bereitstellungsorte, Kennwortdateien).
  4. Sichern Sie die Website, den Speicherort des Systemquellcodes (Entwickler- oder Outsourcer-Codeverwaltungsdienst), um einen 0-Day-Angriff auf die Systemanwendung zu vermeiden.

Notfallübung zur Berichtigung und Verstärkung
Bildbeschreibung hier einfügen

Bildbeschreibung hier einfügen

mittlere Abwehr

Bildbeschreibung hier einfügen
Situationsbewusstseins-Tool
Bildbeschreibung hier einfügen
Bildbeschreibung hier einfügen
Bildbeschreibung hier einfügen

Spaß beim Teilen

Bildbeschreibung hier einfügen
Bildbeschreibung hier einfügen

Ich denke du magst

Origin blog.csdn.net/qq_53571321/article/details/123295386
Empfohlen
Rangfolge
Täglich
Mehr
2024-05-12(28)
2024-05-11(31)
2024-05-10(33)
2024-05-09(31)
2024-05-08(18)
2024-05-07(33)
2024-05-06(5)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

Code World

© 2018 codetd.com