在上篇中,我们就「清理敏感信息」、「资产梳理」的方面对攻防演练前的隐患排查工作进行了细化,本篇将从「纵深防御策略排查」和「靶心重点防护排查」方面继续和大家分享。
前情提要:攻防演练前的安全隐患排查工作指南(上篇)
纵深防御策略排查
分区分域隔离:在网络分区基础上进行分域隔离,如分区分为DMZ区、IDC区;分域分为核心业务域、普通业务域,并对网络边界、区域防护设备进行安全加固
PRS在不同分域进行镜像分析
落实纵向防护策略:对纵向网络边界防护措施进行查漏补缺,如访问策略细化至IP和端口、高危端口:TCP:135、139、445、3389。UDP:137、138、139、445、3389等封堵、禁止直接通过22、3306、1521等操作系统、数据库、中间件的登录端口进行远程管理
加强无线安全防护:强化无线网络的登陆认证,断开无线网络与公司内网的物理连接。针对内网办公终端,启用非法外联管控策略
加强开发测试区域防护:梳理开发测试区网络边界访问控制策略,隔离开发测试区与互联网的访问;对测试区进行内网渗透测试,发现测试区是否存在可入侵系统的高危漏洞,清理开发测试系统的配置及测试数据
加强攻击路径杀伤链防护:加强楼宇视频监控网络安全,定期开展楼宇视频监控摄像头巡察,防止以摄像头为跳板入侵,采用访问控制和流量监测对楼宇视频终端的网络行为进行限制和监视,相关网络端口配置准入或进行MAC地址绑定,连接屏幕的电脑专机专用、专人管理;加强专线到内网安全防护,在专线区域部署攻击诱捕设备,通过访问控制措施限制访问端口,关闭无关端口,并配置旁路协议流量检测设备
靶心:一般指HVV期间需要重点防护的资产,如域控、特权设备、数据库等攻击队重点关注的目标和对象。
加强供应链网络安全管理:筛查和关闭为供应商开启的VPN通道、远程接入通道、特权账号等;清理重要系统开发运维人员个人终端上存储的敏感资料
“社会工程学”防御:对全员开展网络安全意识教育,着重对易受“社工”突破的人员,如客服人员、外包人员等开展强化安全意识培训
加强靶心互联网应用安全管控:针对需要重点防护的资产和靶标,可通过对其访问关联关系,建立流量模型或基线,以此对HVV期间的资产异常变动和访问进行检测
加强邮件系统安全管控:对外网邮件系统安全防护措施进行查漏补缺,部署邮件安全网关、安全沙箱,更新邮箱过滤规则,部署网关数据防泄露系统,启用外网邮件外发检测策略;禁用外网邮件系统的明文传输协议和端口,采用https替换http;清理外网邮件系统无用帐号、空闲帐号;更改邮件系统账户的弱口令、默认口令;清理邮箱中保存的敏感信息
梳理主机防护策略:安装部署服务器防病毒软件、补丁管理系统(更新主机操作系统、中间件、数据库等的安全补丁)、启用操作系统的主机防火墙、启用运维审计系统(堡垒机)的双因素认证、清理AD域的空闲账号与无主账号
数据库精细管控策略梳理:采用主机防火墙、网络防火墙限制对数据库服务的访问策略,仅允许应用服务器、备份服务器、监控服务器、运维审计设备以及其他接口服务对数据库服务的访问;关联数据库与应用系统用户账号,对用户的数据访问实现字段级的授权鉴权全程审计
提升新形势下网络攻击防护能力:根据自身情况,在基础安全防护和检测设备之外,还可以通过部署蜜罐、流量安全分析设备、HIDS等新型的检测设备,打造从外到内,由点及面的一体化安全体系,对HW期间可能出现的各种未知风险进行检测,并通过联动方式有效识别和阻断自动化攻击,实现新形势下的纵深防御体系
安全的本质是人的对抗,以上所有对自身情况的摸底和排查工作最终都需要人员去落实,只有将工作做到攻防演练开始前,尽可能全面的去考虑到各环节风险,方可在实战期间做到心中有数、从容不迫,顺利通过攻防演练的考验。
信息来源:斗象科技#攻防演练
