一次攻防实战演习复盘总结.pdf
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
"一次攻防实战演习复盘总结" 一、知彼控制成本:反检测,反清理:三流分立 在攻防演习中,攻击者也是讲成本的,因此防守方最好的策略是:做的比其他防守方好一点点即可。攻击者一般:目标明确、步骤清晰、控制成本、反检测,反清理、三流分立。目标明确:攻击者只攻击得分项,和必要路径(外网入口,内网立足点),对这些目标采取高等级手段,会隐蔽操作;对非必要路径顺路控制下来的服务器,并不怕被发现,用起来比较随意,甚至主动制造噪音,干扰防守方。步骤清晰:信息收集-控制入口-横向移动-维持权限-攻击目标系统。每一步都是经典操作和教科书式手法。 控制成本:攻击者会优先攻击高权限账号,如管理员,目标系统负责人账号;攻击运维/安全人员账号和终端,这些人往往有服务器root账号,安全设备管理员账号,可以进一步深入控制;攻击集中管控设施,如域控,集中身份认证系统,终端管理系统,攻陷单系统即获得公司内大部分系统的权限;攻击基础设施,如 DNS,DHCP,邮件系统,知识分享平台,oa 系统,工单系统;这些系统有内置高权限账号,或可以帮助攻击者隐蔽痕迹。 反检测,反清理:攻击者会使用样本隐蔽技术,快速扩散,停止日志外发,日志清除,减少扫描等手法来避免被检测。三流分立:扫描流、数据流、控制流。扫描流:用来大批量扫描内网存活 IP 和漏洞,扫描源通常不被攻击者重视,被清除也不会影响到攻击计划,高水平攻击者通常使用扫描行为来分散防守方精力。数据流:用来向外网大量传输非关键数据,通常是有互联网权限的终端或服务器(终端较多),很少有隧道行为或扫描行为,通过简单的 https,s�p 方式传输数据。 二、知己缩小暴露面 知己,主要是知晓防守方防守区域内的资产信息,缩小暴露面。原则如下:1. 不用的系统,该下的下,该暂停的暂停。(平时就应该这样处理,而不是战时)2. 该取消访问的取消,能限制访问范围的限制访问范围。3. 在用的,搞清楚功能,双流(数据流和运维流)谁用,有没有风险,能否一键处置。 缩小暴露面 1 按资产所属纬度梳理:互联网资产、分支机构资产、子公司资产、外联公司资产、公有云资产、开发商、外包商。容易忽视的:公有云资产,因为有的业务部门和分支机构公有云申请都,容易忽视。 三、防护关键点 3.1 安全隔离:防止攻击者从外网渗透到内网,限制访问范围,实现安全隔离。 3.2 AD 防护:防止攻击者通过 AD 来控制域控,实现对域控的安全防护。 3.3 主机防护(终端和服务器):防止攻击者从终端和服务器上获取权限,实现对主机的安全防护。 3.4 账户和权限对抗:防止攻击者获取高权限账号,实现对账户和权限的安全防护。 3.5 瞬间死亡:防止攻击者通过瞬间死亡来隐蔽痕迹,实现对瞬间死亡的安全防护。 3.5.1 路径打穿:防止攻击者通过路径打穿来隐蔽痕迹。 3.5.2 系统打穿:防止攻击者通过系统打穿来隐蔽痕迹。 四、事中和事后 4.1 过载信息研判:在攻防演习中,防守方需要对攻击者的行为进行研判,了解攻击者的目标和手法。 4.2 快速应急处置:防守方需要快速应急处置,以防止攻击者进一步渗透。 4.2.1 硬件和后勤:防守方需要快速提供硬件和后勤支持,以防止攻击者进一步渗透。 4.2.2 重要信息同步:防守方需要快速同步重要信息,以防止攻击者进一步渗透。 4.2.3 各类应急处置措施:防守方需要根据攻击者的行为,采取相应的应急处置措施,以防止攻击者进一步渗透。 4.3 复盘:防守方需要对攻防演习进行复盘,总结经验教训,以便更好地防御攻击者。 4.3.1 防护薄弱点和改进措施:防守方需要对防护薄弱点进行改进,以预防攻击者进一步渗透。 4.3.2 资源不足,要资源:防守方需要对资源不足的情况进行评估,以便更好地防御攻击者。 4.3.3 必要的管理层汇报:防守方需要对攻防演习进行必要的管理层汇报,以便更好地防御攻击者。 本文总结了一次攻防实战演习的经验教训,旨在帮助防守方更好地防御攻击者,提高防御能力。
剩余16页未读,继续阅读
- 粉丝: 2458
- 资源: 3952
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- cd35f259ee4bbfe81357c1aa7f4434e6.mp3
- 机器学习金融反欺诈项目数据
- 虚拟串口VSPXD软件(支持64Bit)
- 多边形框架物体检测18-YOLO(v5至v11)、COCO、CreateML、TFRecord、VOC数据集合集.rar
- Python个人财务管理系统(Personal Finance Management System)
- 大数据硬核技能进阶 Spark3实战智能物业运营系统完结26章
- CHM助手:制作CHM联机帮助的插件使用手册
- SecureCRT.9.5.1.3272.v2.CN.zip
- 人大金仓(KingBase)备份还原文档
- 完结17章SpringBoot3+Vue3 开发高并发秒杀抢购系统
- 1
- 2
前往页