零基础学安全--蓝队基础知识学习

目录

学习连接

企业网络架构

高层管理

IT管理

中央系统

自带设备(BYOD)

影子IT

中央技术团队

客户服务团队

基础设施团队

数据库管理团队

技术团队

安全部门

企业管理技术

信息安全管理成熟度模型 (ISM3) 

安全职能

安全团队成员

典型企业网络分区

DMZ (非军事区)

蜜罐

代理

VPN

核心网络

内部网络

安管区

模糊的边界

外部攻击面

身份管理

识别Windows典型应用

识别Linux典型应用

识别WEB服务

识别客户端设备

身份和访问管理

目录服务

企业数据存储

数据湖

企业数据库

传统存储形式

SOC管理流程

SOC不同层级

网络杀伤链

侦察 (Reconnaissance)

武器化 (Weaponization))

投送 (Delivery) 

利用 (Exploitation)

安装 (Installation) 

日志收集

学习连接

声明！
学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec]

泷羽-SEC

企业网络架构

企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而异，但通常遵循一定的框架和原则。

高层管理

CIO(首席信息官): 负责企业信息系统的战略规划、管理和优化，确保信息技术与企业战略保持一致。

CTO(首席技术官): 负责运营技术的整体方向，包括技术创新、研发、技术选型等。

IT管理

中央系统

集中管理企业内的所有IT资源，包括软件、硬件和数据。

自带设备(BYOD)

员工自带移动设备(如手机、平板电脑) 接入企业网络，需要制定相应的安全策略和管理规定。

影子IT

员工可能在企业内部搭建的小网络或使用的未经授权的IT设备和软件，这增加了企业的安全风险，需要加以管理和控制。

中央技术团队

客户服务团队

提供技术支持和服务，包括工作站、笔记本的维护和服务台支持

基础设施团队

负责网络、服务器机群的规划、部署和维护

数据库管理团队

负责数据库、备份和恢复，确保数据的完整性和安全性

技术团队

通常由项目驱动，负责采购系统、维护和建立技术运营团队。根据信息技术基础设施库（ITIL）进行日常操作和管理。

安全部门

由CISO（首席信息安全官）领导，负责企业整体信息安全测类、规划和管理。安全部门需要想CIO、CTO、CFO (首席财务官) 和CRO (首席风险官) 报告，确保信息安全与企业战财务和风险管理保持一致。

企业管理技术

信息安全管理成熟度模型 (ISM3) 

描述了企业安全运行和管理流程的成熟度等级，为企业提供了改进信息安全管理的指导。

安全职能

包含战略、战术和运营安全所有方面。由CIS负责管理运营，确保企业信息安全策略的有效实施和持续改进。

安全团队成员

应了解企业文化、组织和关键人员，以及推动业务成功的关键流程。这有助手安全团队在企业内部树立积极形象，提高信息安全意识和管理水平。

典型企业网络分区

企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击

DMZ (非军事区)

隔离内部与外部系统，提供安全的访问通道。

蜜罐

引诱和分析入侵者，收集攻击信息和行为模式。

代理

对外提供有限的服务，保护内部网络免受外部攻击。

VPN

员工与合作商通过VPN连接内网，确保远程访问的安全性和保密性

核心网络

通常物理分离、冗余设计，确保网络的稳定性和可靠性。

内部网络

包括有线、无线和VPN接入方式，提供全面的网络覆盖和接入服务

安管区

管理日志、告警和事件，提供实时的安全监控和响应能力。

模糊的边界

随着云计算和SaaS服务的普及，传统网络结构逐渐减少，越来越多地在云中部署基础架构或使用SaaS服务。

用户从企业工作站登录到云或SaaS服务，需要企业提供身份凭据同步机制甚至SSO(单点登录) 解决方案。

云服务可能涉及在本地运行的硬件，例如Azure AD Connect系统等

据通过内部和外部服务进行管理，例如Oracle数据集成器等。

工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享，实现资源的灵活配置和优化利用

外部攻击面

收集开源情报后，绘制网络范围内全部节点，关闭无用节点，减少攻击面。
使用nmap等工具进行网络扫描，例如nmap -Sn <subnet>/24来发现网络中的活跃主机。
重点关注开启了SSH服务的未加固设备，及时进行加固和修复。
使用nmap等工具进行服务探测和版本识别，例如nmap -PS -sV ip-address来发现目标主机上开放的服务和版本信息。
N83器器表应想序得客少补丁或配置存在漏洞。使用漏扫软件测试漏洞入口并及时进行修复。
使用searchsploit等工具搜索相关漏洞利用脚本，例如searchsploit <service name>
<version>来查找针对特定服务和版本的漏洞利用脚本。这有助于安全团队及时了解和应对
潜在的威胁和漏洞。

身份管理

身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具

识别Windows典型应用

在Windows环境中，常见的应用和服务包括Microsoft Exchange(邮件服务器)、SharePoint (文档协作平台) 和Active Directory (目录服务)。要识别这些应用和服务可以使用网络扫描工具，如sudo nmap -PS -sV somesystem.com，来探测目标系统上开放的服务和端口。

识别Linux典型应用

在Linux环境中，OpenSSH(安全壳协议) 用于远程登录和管理，Samba则用于文件和打印享。同样，可以使用网络扫描工具来识别这些服务。

识别WEB服务

企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使whatweb：http://someweb.org等工具来识别WEB服务的类型、版本和配置信息。

识别客户端设备

在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的客户端设备，以确保它们符合企业的安全策略

身份和访问管理

身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储，包括用户账号和服务账号。为了确保系统的安全性，普通用户不能执行系统级配置，而需要使用sudo权限或以管理员身份运行

目录服务

LDAP (轻量级目录访问协议) 是一种用于访问目录信息的协议，它广泛应用于AD (Active Directory)和OpenLDAP等目录服务中。通过域集中管理，可以实现资源的集中存储和集中
管理，包括组策略的应用和更新。

企业数据存储

随着数据分析的兴起和监管要求的加强，企业需要集中存储和管理大量数据。常见的存储方案包括SAN(存储区域网络) 和NAS (网络附加存储)。SAN高速网络连多个存储设备组成提供高性能的数据存储和访问能力; 而NAS则是单个设备拥有大量存储，通过本地网络供服务器和工作站访问。此外，企业还可以使用串行局域网 (SoL) 协议，使串行数据基于HTTPS传输，以提高数据传输的安全性和可靠性。

企业虚拟化平台

虚拟化平台是企业数据存储和管理的重要工具之一。常见的虑拟化平台包括VMware的Sphere和vCenter、Proxmox等。这些平台可以实现资源的动态分配和优化利用，提高系统的灵活性和可扩展性。

数据湖

数据湖是一个保存大量不同形式数据的大型存储库，结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一，而另一种本地解决方案是DataBricks。此外，还有基于云的大数据解决方案，如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight (基于云的Hadoop) 等。

围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析服务。然而，数据湖也面临着安全风险，如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell。因此需要加强对数据湖的安全管理和监控。

企业数据库

企业数据库是存储和管理业务数据的重要工具。常见的SQL数据库包括Oracle SQL、Mlicrosoft SQL Server和MySQL等: 而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。此外还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB:它们提供了不同的数据存储和查询方式以满足企业的多样化需求。

传统存储形式

传统存储形式中，共享驱动器是一种常见的资源共享方式，它允许用户通过网络协议 (如SMB/CIFS) 访问远程服务器上的文件和文件夹。使用smbclient命令行工具，可以列出远服务器上的共享资源，以及从共享资源中下载文件。例如，使用smbclient -L server -U user命令可以列出指定服务器上的共享资源，而smbclient \\\\someserver\\test -U user则可以连接到名为test的共享资源，并使用get命令下载文件。还存在一些默认的共享资源，如C(所有驱动器的默认享)在Windows系统中ADMIN管理共享)和IPC$(管道用于与其他计算机互操作的特殊连接器) 。这些默认共享通常用于系统管理和维护任务

SOC管理流程

SOC (Security Operations Center，安全运营中心) 是企业信息安全计划的重要组成部它负责监控、分析和响应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理需要了解SOC如何适应ISMS (Information Security Management System，信息安全管理体系)

ISO27001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准。IS027001标准提供了一种基于控制方法的审计和认证框架，而NIST网络安全框架则更注重预防和应对网络攻击，包括识别、保护、检测、响应和恢复五个阶段。然而，这些标准护没有具体提出建立SOC的要求，因此每个企业安全运营的组织方法都不尽相同

信息安全生命周期通常包括四个阶段:安全策略、能力设计、:实施和运营。戴明环 (PDC)信息安全生命周期的早期表现，它包括计划、做、检查和行动四个步骤。而SABSA框则对信息安全生命周期进行了改进，将其划分为战略规划、设许、实施和管理测量四个段。

SOC不同层级

SOC通常分为不同的层级，每个层级负责不同的任务。
1、提供监视告警、分类和解决小问题
2、提供对日常事件的分析、遏制和解决
3、负责损失控制、深入调查和取证分析等IR (Incident Response，事件响应) 事件
4、安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全报告和其他主动安全程序。

网络杀伤链

网络杀伤链模型描述了网络攻击的七个阶段，这些阶段共同构成了攻击者从信息收集到实
现攻击目的的完整过程。以下是网络杀伤链的详细阶段:

侦察 (Reconnaissance)

攻击者对目标进行信息收集和探测，了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况。这一阶段旨在为后续攻击做准备。

武器化 (Weaponization))

根据侦察所获取的信息，攻击者将恶意软件或攻击工具进行控制和包装，使其能够利用目标系统的特定漏洞。这一阶段将普通的恶意软件或工具转化具有攻击性的“武器

投送 (Delivery) 

将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中恶意链接、受感染的移动存储设备等。常见的投送方式包括通过电子邮件附件、恶意连接、受感染的移动储存设备等

利用 (Exploitation)

一但投送成功，恶意软件会利用目标系统存在的漏洞来触发并技行恶意代码，从而获取对目标系统的初步访问权限或控制权。

安装 (Installation) 

在成功利用漏洞进入目标系统后攻击者会进一步在目标系统内安装额外的恶意软件组件，如后门程序、远程控制工具等。这些组件允许攻专者长期、定地控制目标系统。
 

指挥与控制 (Command & Control) :

安装在目标系统内的恶意软件会与攻击者所控制的外部服务器建立连接。这一连接允许攻击者远程对目标系统下达指令、获取数据以及进行进一步的操控

行动 (Action) :

这是网络攻击的最后阶段。攻击者通过已经建立的指挥与控制通道，在目标系统上执行其预期的恶意活动，如窃取敏感信息、篡改数据、发起拒绝服务攻击等。这些活动旨在达成攻击者的目的。

日志收集

日志收集是网络安全监控的基础它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机，以及应用程序服务器和工作站。为了有效地收集这些日志，需要配置日志源以生成日志，并将其转发给日志收集器，然后上传到SIEM(安全信息和事件管理) 系统

在Windows系统中，可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中则通常使用syslog来收集和聚合日志，并将其转发到指定的日志收集器。此外，随着联网技术的发展，楼宇管理和工控网络日志也成为了重要的日志来源，这些系统现在通常连接到企业网络，并可能成为攻击者的主要目标