100条安全原则来制定安全策略

100条安全原则来制定安全策略

  1. 最小化原则,网络最小化,权限最小化,能看到的资源最小化,应用最小化等等

  2. 隐藏原则,一切都对黑客隐藏就可以了;

  3. 二次验证,还要经常改密码;

  4. 打补丁,重大的要立刻打,不然一天内就被黑客利用了。

  5. 监控、报警系统要有,入侵检测的报警

  6. 所有操作都要有审计,用于溯源,不然怎么发生的安全事故完全就不知道。

  7. 零信任原则,白名单登录;

  8. 加密原则,加密是安全的核心基础;其他才是CIA。抓包是攻击的核心基础;

  9. 只给工作需要的权限,不给一点多余权限;

  10. 三权分立。管理权限的账号,操作的账号,审计的账号;

  11. 所有点都要做防御,分4方面:网络、系统和内核、应用、人、物理。网络要不出网;

  12. 保障信息完整性,不能被篡改,确认是合法的。CIA

  13. 防0day,一定要有这个策略;还要防止Xshell用的是破解版的,间谍软件专门把这些信息外传

  14. 要做所有员工安全意识培训。安全与人人都相关。还要做人的防范,认识最薄弱的安全一环;

  15. 做备份,随时可更换系统和服务器。这是安全给运维提的需求。

  16. 网路哦监控、系统监控、应用监控、三合一入侵监控,也就是SIEM。不然入侵来的时候的时候反应不过来。

  17. 访问频率限制。这也是最小化原则里的一种;

  18. 信息防泄密;

  19. 主动渗透测试、反复确定安全配置,不要让技术没按照安全提的策略少配置了。还要经常查找日志里的入侵痕迹;

  20. 紧急应急、24小时立刻要做。

  21. 木马后门扫描,这个要周期性做;

  22. 访问凭据的保护,防中间人;

  23. 防互联网随意扫描。这个要用策略防住;

  24. 安全防御就是“靠策略、补丁管理、安全系统、紧急应急”组成的;

  25. 始终有一个心态“内网有一个肉机”。始终要有一个心态“有一个漏洞”。

  26. 始终有内鬼心态,包括远程办公人员;

  27. 限制访问路径,不能直接就访问了。

  28. 被远控了。一定要第一时间发现,这个是必须的。

  29. 内网渗透,一定要发现;

  30. 使用软件要官网的,包括开发库;

  31. 找程序的业务逻辑漏洞;

  32. 不准乱用软件,要有应用白名单。禁止敏感信息外发网盘,gitlab等。有的软件上传敏感信息;

  33. 结合行业的安全守则和规范来做安全。

  34. 发现异常就要联系安全,有的异常就是安全引起的,比如cpu飙高。比如网页被挂马,网络有flash更新提示。日志有异常日志

  35. 不合法内容不要点,这是基本的安全意识;

  36. 一定要找出最薄弱点,那个点没做安全的,忽略的,才是重点。安全就是要全面,木桶原理,取决于最薄弱环节;

  37. 多看安全新闻,掌握最新威胁情报;

  38. 一旦被攻击或爆漏洞,一定要紧急处理;

  39. 多看应用的日志;

  40. 遵循安全行业规范,比如picc比如等保。

  41. 到市场上看有没有自己的敏感信息在卖。比如暗网,比如telegram等。如果有就是被入侵或内鬼了。需要重视。

  42. 分权管理,所有权限或敏感信息不要放在同一个人手上。要分摊到两个人一起做才可以。这就防止一个人独大了。

  43. 要部署一套全面的安全系统,并且统一管理;

  44. 充分熟悉业务和开发运维网络dba的技术。才能做好安全;

  45. 安全无小事,宁可错杀一百,也不放过一个。因为一出事就是大事,损失金钱和数据。甚至用户;

  46. 安全要从上往下执行,让领导和老板来推。小公司不会有安全,因为就算不做,也不会损失惨重,就不花这个钱了。技术能做多少就多少。

  47. 安全要和业务在一起工作。平时他们操作访问的应用和操作习惯,用的软件等,安全要做到心中有数。这样有帮助于找弱点和漏洞;

  48. 安全必须建立在业务稳定基础上,领导重视的基础上;

  49. 日志要全面,5W1H原则。时间地点谁,怎么干的,干了什么,导致什么影响。

  50. 安全重要是防止重大丢钱时间,重大损失,和小概率事件的。不是没事和大家找事的。

  51. 对常见攻击要有防御方案和应急方案。并且部署完整,和经常做红蓝对抗。平时重点关注新的攻击和异常。还有新闻;

  52. 安全处理要彻底不要有残留,不要心慈手软怕得罪别人。

  53. 安全要对所有技术都熟悉,才能渗入到每个环节,因为每个环节都要做安全;

  54. 纵深防御。每个环节都要防御,网络架构的每个点、运维架构的每个点、应用程序的每个方法、系统和安全软件。还有内核。每层都要做安全防御,这就是纵深防御。不是说,内部就安全了,不用防御的,旨在外壳做一点。那就是传统对安全错误的理解。

  55. 技术人员的安全意识培训很重要。但前提就是他们得有时间,不能业务都没做好就做安全。

  56. 对所有异常情况都判断一下,是不是安全事故。

  57. 要能做木马分析。

  58. 要对安全系统优化,提升漏报、误报、迟报;

  59. 做产品选型和架构设计时,就要考虑安全。不然有的产品本身就有安全问题,后期不好改。

  60. 每台server和服务都要有台历。并且周期性做手动检测也记录到台历里面。这样一出问题能很熟悉这台服务器的情况。

  61. 注意团队的敏感信息处理和离职人员安全处理,还有竞争对手。

  62. 安全处理要彻底,不要心软,不要怕麻烦;

  63. 安全人员要有基本自我修养或工作素质,才能做好安全,如责任心,爱学习和兴趣;

  64. 安全事件处理要深入业务,找到入侵原因(溯源和漏洞复现),彻底解决类似安全事故以及应用到其他项目中去;

  65. 安全和业务技术要很好的沟通;

  66. 熟悉安全产品和功能,还有看安全新闻;

  67. 防止社工

  68. 经常找黑客团队做渗透测试,也要内部做白盒渗透测试;

  69. 信息安全标准学习 27000

  70. 最好做到每个文件怎么来的,每个进程外联的IP,及历史都有记录,不然出故障很难溯源;

  71. 重点系统做重点防御,不是所有都一样的,比如Jenkins,比如harbor;

  72. 重点网络区域也要单独一个防御策略,比如DB的,比如重要服务器区域;直接单独防火墙;

  73. 要注意默认安全,该端口,该默认账号,默认访问路径等;

  74. 安全要能把常见弱点和漏洞找出来,让技术去修改就行。找的漏洞点越多越好;

  75. K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全,一个都不能有遗漏;哪套漏了就会被入侵;

  76. 基线检测要重视紧急修复,重大高危补丁也要紧急修复,一刻都不能等;

  77. 安全问题第一时间就是关机,反正要屏蔽远控为第一要务;

  78. 所有人要有一个好的安全习惯,不要为了方便和效率,关电脑锁屏;

  79. 安全防御就是靠安全系统(产品)和经验;

  80. 安全是从上往下推的,必须要有领导支持,要给权力,而且一切都基于日常的业务稳定。只要不忙才能更好的做安全;

  81. 安全需要彻底执行,说不能上网就不能上网,不要觉得无所谓就开放一下;

  82. 安全没有百分百,就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。

  83. 定期做安全培训和规范编制;

  84. 供应链和社工是黑客的未来。

  85. 安全要做DevSecOps;

  86. 安全师零信任的,不要相信任何人给你的文件或程序或任何信息;

  87. 要做代码审计;

  88. 安全要求业务,随时可以关机,替换。比如IP、sever、Docker应用等;

  89. 安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。

  90. 要做访问控制:认证、授权、白名单IP等

  91. 多做预案;

  92. 一切操作和工作都落实到文件,要有记录,以后出事随时可以拿出来参考。这个很重要

  93. 一切都落地到文件(所有操作全部由表格记录)(指定到个人和时间),要有计划方案,实施方案,进度详情,事故报告,漏洞统计,每日扫描记录,每日巡检记录。

  94. 多做威胁模型:网络安全模型:ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(零信任模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。

  95. 做一个限制或策略,绝对不是在只在一个点能做,要思维打开,在每一个点都有可能做,要相信会有更好的。比如限制出网白名单,在iptables上能做,在网络防火墙上也能做,在上网代理服务器上也能做。做安全思路一定要打开

  96. 安全不是做某一个部分的安全,比如运维,要做运维所有事都息息相关的安全,从办公电脑到服务器全部做。取决于最弱的一环;

  97. 安全要优先处理原则,开发运维要对安全信息透明;

  98. 任何安全机制,可以先用非强制模式,permissive ,跑出来日志了,二周左右,把正常合法操作都开启允许,其他的都黑名单就行了。

  99. 安全一定要有预案,webshell怎么处理,木马怎么处理,confluence被入侵怎么处理等等;

  100. 协助运维判断是否是安全导致的故障,比如cpu暴增,服务器重启,内网无缘无故有个ping命令。安全要24小时紧急应急;101 还要注意安全事故处理要有临时解决方案,一定要影响小还能解决问题;

做安全又一大原则:强硬原则,强烈要求原则。有的意见提了,运维不做,那就强硬提出,并且说清楚利弊。强烈要求一定要做;

安全一大原则:不要想当然原则。有的事,你觉得不可能,实际就是可能的,还得和技术去确认。比如10.0.0.8网段的机器,根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的,误报。实际,确实如此,网络就这么做的。

安全一大原则:不要怕麻烦原则 有的事就怕麻烦别人,或者自己麻烦,没有去仔细判断,结果导致重要线索浪费了。就像找特征码的时候,没有反复让运维查服务器,特征码没找到准确的。

安全一大重要工作:通过木马分析找特征码,进行所有服务器扫描。

安全一大原则:提出的需求就反复追问,必须要完成原则,不要因为怕麻烦别人就不做了,就忘记了;

被动攻击总结 常规和非常规漏洞点:

  1. 常规软件漏洞;

  2. 爆破

  3. 木马文件执行;

  4. 身份欺骗

  5. 数据篡改;

  6. 信息泄露;

  7. 提权;

  8. 可否人性;

  9. 拒绝服务;

  10. 人为泄露信息(内应)

  11. 社工库爆破

  12. 运营商劫持;

  13. 水坑攻击;

  14. 供应链攻击;

  15. 社会工程学

  16. 业务逻辑漏洞

  17. 故人干私活,从而把员工电脑给黑了,也就黑了他的公司资料;

  18. 获取网盘等信息;

  19. 植入前端广告,入flash下载;

  20. 网站挂马

  21. 发送垃圾邮件、短信等;

  22. 入侵路由器,默认安全;

  23. 全网批量扫漏洞;24 被动入侵手法:

  24. 获得密码后,直接连服务器

  25. 遗留木马,自己触发了

  26. 登陆云平台,操作了服务器

  27. 内网中间人信息收集,登录了虚拟化平台,操作服务器

  28. 运维电脑被黑,远控服务器

  29. 使用有木马的应用程序

  30. 中间人劫持

  31. 黑客做完免杀,做进程注入,在做端口复用,完全没有痕迹

  32. 运维管理服务器被黑后,从而操作其他技术,比如杀软远程安装,Jenkins 远程执行命令

  33. 劫持 黑客攻击途径:

  34. URL网址直接渗透,或旁站渗透;

  35. 互联网狂扫,扫到什么算什么;

  36. 先入侵办公内网在入侵机房网络,或先入侵远程办公电脑;

  37. 水坑攻击:运营商、服务提供商,下载站,pom代码提供商,路由器服务商,软件提供商,键盘、usb、xshell提供商

  38. 内应:透漏所有敏感信息,直接攻击弱点,并无法溯源;

  39. 有白名单的厂家,比如安骑士、dns、ntp、和应用程式需使用的第三方厂家(支付、监控)都是咱们白名单ip。可以更好实施攻击。

  40. 云平台账号

  41. CDN厂家,就劫持和利用白名单渗透;

  42. 物理攻击:直接进机房或办公室,办公室WiFi用玩具直升机渗透。badusb、键盘等等。

  43. 其他:云服务器、防火墙、自建CDN服务器等等;

防0day(靠的是策略):访问路径。访问控制机制:都用,二次密码,用远程桌面在使用应用程序或虚拟应用;普通用户启动;加密 白名单。应用白名单,进程白名单,网络白名单。不出网不入网;假设应用有一个RCE,看能获得多大的攻击;尽全力打补丁,不能让黑客两个漏洞联合起来利用;出网用代理,木马都没网络。只有知道代理服务器的应用才能出网;防御0day最好的方法就是隐藏。也就是隐藏端口,域名,IP 及时发现入侵,这样就算有0day,他黑进来也不能获取多大的利益;采用java的应用,不要用php的,更加能防0day

  1. 以非root启动

  2. 访问域名和ip 隐藏

  3. 禁止出网

  4. 应用程序出网采用代理的方式,用request库的proxy方式

  5. 防火墙禁止入网和白名单配置

  6. 把bash命令和wget 等命令权限去掉,用的时候再添加。7 世界杯期间容易发生的安全问题:

  7. 流量异常,网络运维都怀疑是安全事故,而且服务器无响应,现象和勒索软件一样

  8. 服务器安全告警过多,误报和警告会暴增,又不能关机等大动作,只能靠系统配置尽量修复,系统层处理不好就导致业务宕机

  9. 世界杯期间运维非常忙,很多操作只能我自己做,我不能有误操作

  10. 开发部分的安全一点都没做,世界杯期间肯定爆发,都不知道哪里来的,配合起来需要很久

  11. 如果有遗留木马爆发,或者运维配置不完整的地方,世界杯期间一旦发生,就是大动作。尤其是内网肉鸡一直都存在,windows 系统跟容易死机蓝屏,甚至启动不起来。

  12. 世界杯期间由于大量的利益驱使,导致所有安全问题集中发生,一个月等于一年。需要提前做好应急预案,和把这几年遇到的安全问题从头到尾熟悉一遍,安全是一个系统工程,不在于某一个点,在于疏忽哪一个点。

  13. 高防机房带宽2g,有一个cc攻击点被利用,或某个接口能重放回源,他就是最大的瓶颈,很快就跑满,得提前写cc攻击脚本测试,抓代理做攻击系统,最后还要配合运维和机房做策略。8 运维安全七要素:

  14. 服务器不主动出网

  15. 服务进程不用root启动

  16. 补丁都打全

  17. 白名单,对黑客隐藏。启用内网间防火墙,只开放业务端口;

  18. 入侵检测系统(安骑士)

  19. 堡垒机系统,对一切输入有审计;

  20. 所有登录,必须有二次验证,比如阿里云比如zabbix等;

  21. 只开放有用的端口,比如22、80、443;

你可能感兴趣的:(网络安全学习,网络安全入门,网络安全学习路线,渗透测试,渗透测试学习,零基础学安全)