蓝队基础5 -- 安全策略与防护技术
声明:
本文的学习内容来源于B站up主“泷羽sec”视频“蓝队基础之网络七层杀伤链”的公开分享,所有内容仅限于网络安全技术的交流学习,不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题,请联系本人,我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能,并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动,均与本文作者和“泷羽sec”无关。请读者自觉遵纪守法,合理合法使用相关知识。
1 安全管理
1.1 安全管理概念
现代企业的安全管理是一组日常流程,致力于保障业务运营的安全性和连续性。它涵盖身份管理(IAM)、访问控制、特权管理(PAM)、媒体消毒、人事安全、证书管理以及远程访问等方面,成为企业抵御网络攻击、保护信息资产的关键措施。在此基础上,零信任架构及多层控制策略(如SABSA)构成了更加严密的安全防护体系。
1.3安全管理的关键要素
- 身份管理(IAM):IAM系统是安全的基石,控制并管理用户在网络中的身份和权限。然而,这也是攻击者主要的攻击目标,企业需要保持IAM系统的持续监控和更新,以防止恶意访问。
- 访问控制:确保用户仅能访问与其权限相符的系统资源,并且配置规则和定期审核访问权限是企业安全的核心步骤。
- 特权管理(PAM):PAM系统允许用户在需要时申请特权,以执行特定任务,避免用户在日常操作中拥有过多权限,降低权限滥用风险。
- 媒体消毒:在数据或硬件达到其生命周期的终点时,需确保对其进行彻底清理和销毁,防止数据泄露。
- 人事安全:对员工的背景审查和离职处理等程序,旨在防止内部人员威胁,是广泛接受的企业安全措施之一。
- 证书管理:维持企业公钥基础设施(PKI)的完整性,以确保证书的安全性和有效性。
- 远程访问安全:后疫情时代,远程访问成为了安全管理的重点,企业需要加强对VPN和远程访问工具的安全控制。
2 零信任网络:现代网络安全理念
2.1 零信任网络理念
零信任的概念源自谷歌在2010年受到的“极光行动”攻击后,旨在假设内部网络可能已遭受破坏,避免对任何用户或设备的默认信任。这种理念后来被NIST(国家标准与技术研究院)确立为安全标准,并逐步应用于政府机构及企业的网络安全体系。
2.2 零信任的四个关键特征:
- 即时访问(Just-In-Time Access, JITA):用户或服务仅在需要时才获得访问权限,且权限具有时效性。
- 最小权限(Least Privilege Access, LPA):用户或服务仅获得完成任务所需的最小权限,降低安全风险。
- 动态访问策略:根据用户身份、设备状态、地理位置和时间等因素动态调整权限,适应变化的安全环境。
- 微观分割:将网络划分为多个小型隔离区,限制攻击者在网络内的横向移动。
2.3 安全基础设施
- 数据备份和恢复:数据备份在灾难或攻击事件中提供恢复业务的关键手段。
- 变更管理:确保系统的变更过程与安全策略相关联,制定变更的详细计划和回滚方案。
- 物理环境管理:包括物理访问控制、机房监控等,保障数据中心的物理安全。
2.4 事件响应机制
零信任网络中,事件响应是不可或缺的部分。主要包括以下阶段:
- 准备阶段:通过培训和演练提升应急响应能力。
- 响应阶段:识别和调查安全事件,并迅速采取措施。
- 后续阶段:事件后总结经验教训,改进安全流程。
2.5 SABSA多层控制策略
SABSA框架通过多层次控制(如威慑、预防、检测、遏制、通知和恢复)来强化网络安全。
2.6 NIST事件管理指南
NIST 800-61 提供标准化的事件响应方法,分为检测分析、遏制根除、恢复及后续活动阶段。此外,PDCA(计划-执行-检查-行动)循环广泛应用于事件响应中的优化和持续改进。
3 应急响应准备
在构建全面的应急响应体系时,我们需要从多个维度进行准备,包括但不限于风险评估、威胁分析、人员、流程和技术配置,以及持续的控制和成熟度评估。
3.1 风险评估与威胁分析
风险评估:深入了解组织的技术资产、系统和数据,并明确它们对业务的重要性,从而确定关键保护对象。
威胁分析:通过策略、技术和实践来识别潜在的风险点,并据此制定和实施相应的控制措施。
3.2 人员、流程和技术
建立团队:组建专业的应急响应团队,明确各成员的角色和责任。
配备工具:为团队提供必要的应急响应工具和设备,如日志分析工具、网络扫描器等。
制定流程剧本:针对不同类型的安全事件,制定详细的应急响应流程和剧本。
演练:定期进行应急响应演练,以提升团队的实战能力和协同效率。
3.3 控制
响应手册:编制应急响应手册,明确在不同安全事件发生时应执行的标准操作程序。
事前流程规避:通过制定和执行严格的安全政策和流程,尽可能减少安全事件的发生。
事中数据支持:在事件发生时,提供必要的数据支持和分析工具,帮助团队快速定位问题。
事后备份恢复:确保有可靠的数据备份和恢复机制,以便在事件发生后能够迅速恢复业务。
3.4 成熟度评估
CREST成熟度评估工具:利用CREST提供的成熟度评估工具,对组织的应急响应能力进行持续评估和改进。
流程培训+实践技能培训:结合理论培训和实践技能培训,提升团队的整体应急响应水平。
3.5 应急响应手册概述
该手册详细规定了在不同安全事件发生时应执行的标准操作程序,涵盖了扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。
3.6 演练与沟通
演练:通过红蓝对抗等模拟真实攻击场景的方式,锻炼团队的应急响应能力,并验证应急计划的有效性。
沟通:在应急响应过程中,及时、充分、准确的信息沟通至关重要。沟通对象包括内部员工、外部合作伙伴、客户、媒体和政府等。
3.7 事件检测与响应
事件上报:一旦发现安全事件,立即进行上报。
系统监控与检查日志告警:利用系统监控工具和日志分析技术,及时发现并响应安全事件。
确定事件级别:根据事件的严重程度和影响范围,确定事件的级别。
调查事件:对事件进行深入调查,包括溯源取证等。
采取遏制措施:根据调查结果,采取必要的遏制措施,防止事件进一步扩大。
3.8 报告与总结
编写应急响应报告:详细记录事件的经过、处理过程和结果,以及后续的调查计划和改进建议。
经验总结与改进建议:对事件处理过程中的经验和教训进行总结,并提出针对性的改进建议。
4 入侵检测与防御
入侵检测与防御技术在现代网络安全中至关重要,通过实时流量监控、告警生成和流量阻断等手段,帮助网络管理员识别并阻止潜在的网络威胁。本文将介绍如何利用Snort等入侵检测系统(IDS)和入侵防御系统(IPS)进行流量分析、规则配置和In Line部署,以实现高效的网络防护。
4.1 Snort简介:实时流量监控与分析
Snort作为一种知名的开源入侵检测与防御系统,能够对网络流量进行实时监控和分析。通过部署Snort,网络管理员可以实时识别和阻止各种网络威胁,保障网络的安全性和稳定性。
- 流量分析:利用流量分析技术,识别恶意流量,及时触发告警并采取阻断措施。
- IDS与IPS:根据需求选择带外监视(IDS)或串联部署(IPS),实现灵活的入侵检测与防御方案。
4.2 安装依赖包与配置Snort
在部署Snort之前,需要安装相关依赖以确保系统的流畅运行。
- 安装DAQ数据采集库:为Snort提供必要的数据采集支持。
- 安装内存分配器:确保Snort在运行过程中有足够的内存资源。
- 安装并配置Snort3:根据实际需求安装Snort3,并进行规则自定义配置。
4.3 Snort规则配置
在网络安全监控中,Snort规则的定义至关重要。规则描述了如何检测和处理网络流量,并触发相应的告警。下面是一些关键字段的详细介绍。
4.3.1 Snort规则配置字段
- alert:告警规则,匹配流量后生成告警。例如:
alert icmp any any -> $HOME_NET any (msg:"Test Ping Event"; ...) - icmp/tcp/udp:指定要监控的协议类型(如ICMP、TCP、UDP)。例如:
alert icmp ... 或 alert tcp ... - any:用于表示任意IP地址或端口。例如:
any any(任意源IP和端口) - < >(方向运算符):指定流量的方向,如
->表示从源到目标。例如:-> 表示从源到目标的流量。 - $HOME_NET:Snort配置中定义的本地网络。例如:
$HOME_NET 替代具体的IP范围。 - msg:告警的描述性名称。例如:
msg"Test Ping Event" - sid:规则的唯一签名ID。例如:
sid:1000001 - rev:规则的版本号。例如:
rev:1 - classtype:告警的分类类型。例如:
classtype:icmp-event - content:用于在流量中查找特定内容。例如:
content:"Login incorrect"
4.3.2 本地账号与Snort条件子句
Snort支持通过条件子句监控本地账号活动,例如登录失败尝试。当条件满足时,将触发告警或执行相应操作。
示例:检查失败的Telnet登录尝试
alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)
- alert tcp:TCP协议告警。
- $HOME_NET 23:本地网络,端口23(Telnet)。
- -> any any:流量目标为任意IP和端口。
- msg:告警名称为“Failed login attempt”。
- content:流量中需包含“Login incorrect”字符串。
- sid:规则的唯一ID。
- rev:规则版本号。
- classtype:告警分类。
4.4 外部规则集
Snort支持使用外部规则集来丰富检测规则,例如:
- Proofpoint:提供多种网络安全规则。
- Emerging Threats:覆盖新兴威胁的规则集,帮助管理员应对最新的攻击。
4.5 In Line部署与阻断操作
在In Line部署模式下,Snort直接处理网络流量,实现实时监控和阻断。
阻断操作:
- D drop:丢弃符合特定条件的流量。
- sdrop:类似于D drop。
- reject:拒绝流量并返回拒绝响应给源端。
4.6 总结
通过Snort的规则配置、外部规则集的支持以及In Line部署和阻断操作,管理员能够实现全面的网络监控与防护。深入理解Snort的配置字段和条件子句,可以帮助管理员根据网络需求灵活调整规则,确保网络的安全性和稳定性。