项目:《企业网络安全架构与实战指南:从蓝队防御到零信任网络部署》
姓名:飞花似梦Flydream
日期:2024年11月21日
目录
蓝队基础
企业网络架构
高层管理
IT管理
中央技术团队
安全部门
企业管理技术
信息安全管理成熟度模型(ISM3)
安全职能
安全团队成员
典型企业网络分区
模糊的边界
外部攻击面
身份管理
识别Windows典型应用
识别Linux典型应用
识别WEB服务
识别客户端设备
身份和访问管理
目录服务
企业数据存储
传统存储形式
虚拟化平台
数据湖
企业数据库
SOC管理流程
SOC层级
网络杀伤链
日志收集
日志搜索与分析
监控告警
事件响应
Cyber Hunting(网络狩猎)
威胁情报
安全管理
零信任网络
零信任架构的核心特征
安全和基础设施
事件响应机制
SABSA多层控制策略
管理事件响应的方法
应急响应准备
一、风险评估与威胁分析
二、人员、流程和技术
三、控制
四、成熟度评估
五、应急响应手册概述
六、演练与沟通
七、事件检测与响应
八、报告与总结
九、入侵检测与防御
十、安装依赖包与配置Snort
(1) 文件管理概述(Snort规则配置)
(2) Snort规则配置字段详细描述
(3) 本地账号与Snort条件子句概述
(4) 具体Snort条件子句示例及解释
(5) 外部规则集
(6) In Line部署及阻断操作
(7) 总结
在信息安全领域,红队与蓝队的对抗是提升防御与攻击能力的关键。红队专注于模拟攻击,测试目标系统的安全性,而蓝队则负责防御这些攻击,确保系统免受侵害。双方都需要对彼此的策略和技巧有深入的了解,即所谓的“知己知彼,百战不殆”。蓝队不仅要精通防御技术,还要掌握一定的攻击技巧,以便更好地理解和预测潜在威胁。
企业技术和信息团队的管理架构因企业规模、行业特性和业务需求而异,但通常遵循一定的框架和原则。
描述了企业安全运行和管理流程的成熟度等级,为企业提供了改进信息安全管理的指导。
包含战略、战术和运营安全所有方面。由CISO负责管理运营,确保企业信息安全策略的有效实施和持续改进。
应了解企业文化、组织和关键人员,以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象,提高信息安全意识和管理水平。
企业网络通常划分为不同的安全区域,以控制区域之间的访问权限,防御外部和内部攻击。
随着云计算和SaaS服务(软件即服务)的普及,传统网络结构逐渐减少,越来越多地在云中部署基础架构或使用SaaS服务。用户从企业工作站登录到云或SaaS服务,需要企业提供身份凭据同步机制甚至SSO(单点登录)解决方案。云服务可能涉及在本地运行的硬件,如Azure AD Connect系统等。数据通过内部和外部服务进行管理,如Oracle数据集成器等。工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享,实现资源的灵活配置和优化利用。
收集开源情报后,绘制网络范围内全部节点,关闭无用节点,减少攻击面。使用nmap等工具进行网络扫描,如nmap -sn /24
来发现网络中的活跃主机。重点关注开启了SSH服务的未加固设备,及时进行加固和修复。使用nmap等工具进行服务探测和版本识别,如nmap -sT -sV -O -p ip-address
来发现目标主机上开放的服务和版本信息。测试漏洞入口,大型网络主机和应用程序很容易缺少补丁或配置存在漏洞。使用漏扫软件(如Nessus、AWVS等)验证漏洞存在性,并及时进行修复。使用searchsploit等工具搜索相关漏洞利用脚本,如searchsploit
来查找针对特定服务和版本的漏洞利用脚本,有助于安全团队及时了解和应对潜在的威胁和漏洞。
身份管理是确保企业信息安全的关键环节,涉及对系统中所有用户、设备和服务身份的识别、验证和管理。
在Windows环境中,常见应用和服务包括Microsoft Exchange(邮件服务器)、SharePoint(文档协作平台)和Active Directory(目录服务)。识别这些应用和服务,可以使用网络扫描工具,如sudo nmap -sT -sV somesystem.com
,探测目标系统上开放的服务和端口。
在Linux环境中,OpenSSH(安全壳协议)用于远程登录和管理,Samba用于文件和打印共享。同样,可以使用网络扫描工具来识别这些服务。
企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org
等工具来识别WEB服务的类型、版本和配置信息。
在内网环境中,客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当,终端设备可能会暴露在网络中。因此,需要定期扫描和识别内网中的客户端设备,以确保它们符合企业的安全策略。
身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储,包括用户账号和服务账号。为确保系统的安全性,普通用户不能执行系统级配置管理命令,而需要使用sudo权限或以管理员身份运行。
LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议,广泛应用于AD(Active Directory)和OpenLDAP等目录服务中。通过域集中管理,可以实现资源的集中存储和集中管理,包括组策略的应用和更新。
随着数据分析的兴起和监管要求的加强,企业需要集中存储和管理大量数据。
smbclient -L server -U user
命令可以列出指定服务器上的共享资源,而smbclient \\someserver\test -U user
则可以连接到名为test的共享资源,并使用get
命令下载文件。虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等,可以实现资源的动态分配和优化利用,提高系统的灵活性和可扩展性。
数据湖是一个保存大量不同形式数据的大型存储库,结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一,另一种本地解决方案是DataBricks。此外,还有基于云的大数据解决方案,如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight(基于云的Hadoop)等。围绕数据湖有一个完整的技术生态,提供数据摄取管道和数据分析服务。然而,数据湖也面临着安全风险,如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell,因此需要加强对数据湖的安全管理和监控。
企业数据库是存储和管理业务数据的重要工具。
SOC(Security Operations Center,安全运营中心)是企业信息安全计划的重要组成部分,负责监控、分析和响应网络中的安全事件。
网络杀伤链模型描述了网络攻击的七个阶段:
日志收集是网络安全监控的基础,涉及从各种关键日志来源收集数据,如代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。
收集到的日志数据需要进行有效的搜索和分析,以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外,SIEM系统能够关联日志与活动,识别可疑内容。
监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统,也可以直接来自安装在系统和网络中的传感器实时告警系统,如IDS(入侵检测系统)设备。此外,事后告警系统,如AIDE(监视系统文件的修改)等,也可以提供重要的安全信息。
事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后,会进行分析评估,并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域,通常由L3级分析师处理,他们会对内存、硬盘等存储设备以合法方式进行取证,以保护数据的完整性。
网络狩猎是SOC(安全运营中心)L3级分析师的一门新兴学科。它假设网络已被渗透,通过主动寻找恶意软件(或入侵者),争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标,以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源,提供了攻击者行为方式及其使用工具的信息,有助于发现攻击痕迹。
威胁情报是网络安全管理的重要组成部分。妥协指标(IOC)是用于识别恶意软件或恶意活动的签名,通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模,自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报,并将其输入IDS、SIEM等工具,实现威胁情报的近乎实时更新,以击败已知威胁。此外,AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。
安全管理是一组确保公司业务安全的日常流程,涵盖多个方面,包括身份管理(IAM)、访问控制、特权管理(PAM)、媒体消毒、人事安全、证书管理以及远程访问等。
在2010年谷歌遭受极光行动网络攻击之后,其内部网络管理方式发生了深刻变革,创造了“零信任”一词,用以描述一种始终假设内部网络可能已被破坏的运行方式。零信任架构在NIST特别出版物800-207中得到了正式确立,并已成为所有美国政府机构必须强制实施的安全标准。
在构建零信任网络的同时,还需关注以下安全和基础设施方面的要素:
有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期通常包括以下几个阶段:
SABSA(Sherwood Applied Business Security Architecture)多层控制策略提供了一种全面的安全框架,包括威慑、预防、遏制、检测和通知恢复等多个层次的控制措施。
NIST特别出版物800-61:计算机安全事件处理指南提供了一种标准化的事件响应方法,包括检测和分析、遏制、根除和恢复以及事件后活动等阶段。此外,PDCA(Plan-Do-Check-Act)循环也被广泛应用于事件响应生命周期的优化和持续改进中。
在构建全面的应急响应体系时,需要从多个维度进行准备:
该手册详细规定了在不同安全事件发生时应执行的标准操作程序,涵盖了扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。
在网络安全监控中,Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量,并触发相应的告警。这些规则包含多个字段,每个字段都扮演着特定的角色,共同确保网络活动的准确监控。
alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...)
alert icmp ...
或 alert tcp ...
any any
(任意源IP和端口)->
表示从源到目标的流量。$HOME_NET
替代具体的IP范围。msg"Test Ping Event"
sid:1000001
rev:1
classtype:icmp-event
content:"Login incorrect"
Snort可通过设置条件子句来监控本地账号相关活动,如失败的登录尝试。当满足条件时,触发告警或执行其他操作。
示例:检查失败的telnet登录尝试
alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)
详细解释:
alert tcp
:针对TCP协议的告警。$HOME_NET 23
:源网络为本地网络,端口为23(Telnet)。-> any any
:流量流向任意目标IP和端口。msg:"Failed login attempt"
:告警名称为“Failed login attempt”。content:"Login incorrect"
:流量中需包含“Login incorrect”字符串。sid:1000002
:规则的唯一签名ID为1000002。rev:1
:规则版本号为1。classtype:attempted-user
:告警分类为“attempted-user”。相关网址:
D drop
:丢弃符合特定条件的流量。sdrop
:类似D drop
,但具体实现可能有所不同。reject
:拒绝流量并发送拒绝响应给源端。通过综合运用Snort的规则配置、外部规则集以及In Line部署和阻断操作,可以实现对网络活动的全面、有效监控和安全防护。这要求管理员深入理解Snort的配置字段和条件子句,并能够根据实际情况灵活设置和调整规则,以确保网络的安全性和稳定性。