网络七层杀伤链
以下笔记学习来自B站泷羽Sec:
B站泷羽Sec
1.企业网络架构
企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而异,但通常遵循一定的框架和原则。
2.高层管理
CIO(首席信息官):负责企业信息系统的战略规划、管理和优化,确保信息技术与企业战略保持一致。
CTO(首席技术官):负责运营技术的整体方向,包括技术创新、研发、技术选型等。
3.IT管理
中央系统:集中管理企业内的所有IT资源,包括软件、硬件和数据。
自带设备(BYOD):员工自带移动设备(如手机、平板电脑)接入企业网络,需要制定相应的安全策略和管理规定。
影子IT:员工可能在企业内部搭建的小网络或使用的未经授权的IT设备和软件,这增加了企业的安全风险,需要加以管理和控制。
4.中央技术团队
客户服务团队:提供技术支持和服务,包括工作站、笔记本的维护和服务台支持。
基础设施团队:负责网络、服务器机群的规划、部署和维护。
数据库管理团队:负责数据库存储、备份和恢复,确保数据的完整性和安全性。
技术团队:通常由项目驱动,负责采购系统、维护和建立技术运营团队。根据信息技术基础设施库(ITIL)进行日常操作和管理。
5.安全部门
由CISO(首席信息安全官)领导,负责企业整体的信息安全策略、规划和管理。安全部门需要向CIO、CTO、CFO(首席财务官)和CRO(首席风险官)报告,确保信息安全与企业战略、财务和风险管理保持一致。
6.企业管理技术
信息安全管理成熟度模型(ISM3):描述了企业安全运行和管理流程的成熟度等级,为企业提供了改进信息安全管理的指导。
安全职能:包含战略、战术和运营安全所有方面。由CISO负责管理运营,确保企业信息安全策略的有效实施和持续改进。
安全团队成员:应了解企业文化、组织和关键人员,以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象,提高信息安全意识和管理水平。
7.典型企业网络分区
企业网络通常划分为不同的安全区域,以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。
DMZ(非军事区):隔离内部与外部系统,提供安全的访问通道。
蜜罐:引诱和分析入侵者,收集攻击信息和行为模式。
代理:对外提供有限的服务,保护内部网络免受外部攻击。
VPN:员工与合作商通过VPN连接内网,确保远程访问的安全性和保密性。
核心网络:通常物理分离、冗余设计,确保网络的稳定性和可靠性。
内部网络:包括有线、无线和VPN接入方式,提供全面的网络覆盖和接入服务。
安管区:管理日志、告警和事件,提供实时的安全监控和响应能力。
模糊的边界
随着云计算和SaaS服务的普及,传统网络结构逐渐减少,越来越多地在云中部署基础架构或使用SaaS服务。
用户从企业工作站登录到云或SaaS服务,需要企业提供身份凭据同步机制甚至SSO(单点登录)解决方案。
云服务可能涉及在本地运行的硬件,例如Azure AD Connect系统等。
数据通过内部和外部服务进行管理,例如Oracle数据集成器等。
工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享,实现资源的灵活配置和优化利用。
8.外部攻击面
收集开源情报后,绘制网络范围内全部节点,关闭无用节点,减少攻击面。
使用nmap等工具进行网络扫描,例如nmap -Sn < subnet >/24来发现网络中的活跃主机。
重点关注开启了SSH服务的未加固设备,及时进行加固和修复。
使用nmap等工具进行服务探测和版本识别,例如nmap -PS -sV ip-address来发现目标主机上开放的服务和版本信息。
测试漏洞入口,大型网络主机和应用程序很容易缺少补丁或配置存在漏洞。使用漏扫软件(如Nessus等)验证漏洞存在性,并及时进行修复。
使用searchsploit等工具搜索相关漏洞利用脚本,例如searchsploit < service name > < version >来查找针对特定服务和版本的漏洞利用脚本。这有助于安全团队及时了解和应对潜在的威胁和漏洞。
9.身份管理
身份管理是确保企业信息安全的关键环节,它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具
9.1识别Windows典型应用
在Windows环境中,常见的应用和服务包括Microsoft Exchange(邮件服务器)、SharePoint(文档协作平台)和Active Directory(目录服务)。要识别这些应用和服务,可以使用网络扫描工具,如sudo nmap -PS -sV somesystem.com,来探测目标系统上开放的服务和端口。
9.2识别Linux典型应用
在Linux环境中,OpenSSH(安全壳协议)用于远程登录和管理,Samba则用于文件和打印共享。同样,可以使用网络扫描工具来识别这些服务。
9.3识别WEB服务
企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org 等工具来识别WEB服务的类型、版本和配置信息。
9.4识别客户端设备
在内网环境中,客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当,终端设备可能会暴露在网络中。因此,需要定期扫描和识别内网中的客户端设备,以确保它们符合企业的安全策略。
10.身份和访问管理
身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储,包括用户账号和服务账号。为了确保系统的安全性,普通用户不能执行系统级配置管理命令,而需要使用sudo权限或以管理员身份运行。
11.目录服务
LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议,它广泛应用于AD(Active Directory)和OpenLDAP等目录服务中。通过域集中管理,可以实现资源的集中存储和集中管理,包括组策略的应用和更新。
12.企业数据存储
随着数据分析的兴起和监管要求的加强,企业需要集中存储和管理大量数据。常见的存储方案包括SAN(存储区域网络)和NAS(网络附加存储)。SAN由高速网络连接多个存储设备组成,提供高性能的数据存储和访问能力;而NAS则是单个设备拥有大量存储,通过本地网络供服务器和工作站访问。
此外,企业还可以使用串行局域网(SoL)协议,使串行数据基于HTTPS传输,以提高数据传输的安全性和可靠性。
13.企业虚拟化平台
虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等。这些平台可以实现资源的动态分配和优化利用,提高系统的灵活性和可扩展性。
14.数据湖
数据湖是一个保存大量不同形式数据的大型存储库,结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一,而另一种本地解决方案是DataBricks。此外,还有基于云的大数据解决方案,如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight(基于云的Hadoop)等。
围绕数据湖有一个完整的技术生态,提供数据摄取管道和数据分析服务。然而,数据湖也面临着安全风险,如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell。因此,需要加强对数据湖的安全管理和监控。
15.企业数据库
企业数据库是存储和管理业务数据的重要工具。常见的SQL数据库包括Oracle SQL、Microsoft SQL Server和MySQL等;而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。此外,还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等,它们提供了不同的数据存储和查询方式以满足企业的多样化需求。
16.传统存储形式
传统存储形式中,共享驱动器是一种常见的资源共享方式,它允许用户通过网络协议(如SMB/CIFS)访问远程服务器上的文件和文件夹。使用smbclient命令行工具,可以列出远程服务器上的共享资源,以及从共享资源中下载文件。例如,使用smbclient -L server -U user命令可以列出指定服务器上的共享资源,而smbclient \\someserver\test -U user则可以连接到名为test的共享资源,并使用get命令下载文件。
在Windows系统中,还存在一些默认的共享资源,如C(所有驱动器的默认共享)、ADMIN(管理共享)和IPC$(管道,用于与其他计算机互操作的特殊连接器)。这些默认共享通常用于系统管理和维护任务。
17.SOC管理流程
SOC(Security Operations Center,安全运营中心)是企业信息安全计划的重要组成部分,它负责监控、分析和响应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理体系,需要了解SOC如何适应ISMS(Information Security Management System,信息安全管理体系)。
ISO27001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准。ISO27001标准提供了一种基于控制方法的审计和认证框架,而NIST网络安全框架则更注重预防和应对网络攻击,包括识别、保护、检测、响应和恢复五个阶段。然而,这些标准并没有具体提出建立SOC的要求,因此每个企业安全运营的组织方法都不尽相同。
信息安全生命周期通常包括四个阶段:安全策略、能力设计、实施和运营。戴明环(PDCA)是信息安全生命周期的早期表现,它包括计划、做、检查和行动四个步骤。而SABSA框架则对信息安全生命周期进行了改进,将其划分为战略规划、设计、实施和管理测量四个阶段。
从渗透测试的角度来看,掌握SOC的日常操作活动是为了避免被检测出来;而从防御者的角度来看,掌握SOC完整的生命周期视图可以确保其有效性。SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。
SOC通常分为不同的层级,每个层级负责不同的任务。例如:
L1:提供监视告警、分类和解决小问题。
L2:提供对日常事件的分析、遏制和解决。
L3:负责损失控制、深入调查和取证分析等IR(Incident Response,事件响应)事件。
L4:安全管理,负责日常、非事件相关的程序,如开设账户、访问授权审查、定期安全报告和其他主动安全程序。
18.网络杀伤链
网络杀伤链模型描述了网络攻击的七个阶段,这些阶段共同构成了攻击者从信息收集到实现攻击目的的完整过程。以下是网络杀伤链的详细阶段:
侦察(Reconnaissance):攻击者对目标进行信息收集和探测,了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况。这一阶段旨在为后续攻击做准备。
武器化(Weaponization):根据侦察所获取的信息,攻击者将恶意软件或攻击工具进行定制和包装,使其能够利用目标系统的特定漏洞。这一阶段将普通的恶意软件或工具转化为具有攻击性的“武器”。
投送(Delivery):将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中。常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。
利用(Exploitation):一旦投送成功,恶意软件会利用目标系统存在的漏洞来触发并执行恶意代码,从而获取对目标系统的初步访问权限或控制权。
安装(Installation):在成功利用漏洞进入目标系统后,攻击者会进一步在目标系统内安装额外的恶意软件组件,如后门程序、远程控制工具等。这些组件允许攻击者长期、稳定地控制目标系统。
指挥与控制(Command & Control):安装在目标系统内的恶意软件会与攻击者所控制的外部服务器建立连接。这一连接允许攻击者远程对目标系统下达指令、获取数据以及进行进一步的操控。
行动(Action):这是网络攻击的最后阶段。攻击者通过已经建立的指挥与控制通道,在目标系统上执行其预期的恶意活动,如窃取敏感信息、篡改数据、发起拒绝服务攻击等。这些活动旨在达成攻击者的目的。
19.日志收集
日志收集是网络安全监控的基础,它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。为了有效地收集这些日志,需要配置日志源以生成日志,并将其转发给日志收集器,然后上传到SIEM(安全信息和事件管理)系统。
在Windows系统中,可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中,则通常使用syslog来收集和聚合日志,并将其转发到指定的日志收集器。此外,随着物联网技术的发展,楼宇管理和工控网络日志也成为了重要的日志来源,这些系统现在通常连接到企业网络,并可能成为攻击者的主要目标。
20.日志搜索与分析
收集到的日志数据需要进行有效的搜索和分析,以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外,SIEM系统能够关联日志与活动,识别可疑内容,而Splunk也可以作为SIEM解决方案之一。
21.监控告警
监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统,但也可以直接来自安装在系统和网络中的传感器实时告警系统,如IDS(入侵检测系统)设备。此外,事后告警系统,如AIDE(监视系统文件的修改)等,也可以提供重要的安全信息。在某些情况下,事件可能不会从日志或警报中触发,例如攻击者更改了用户密码后,用户可能会直接联系管理员进行通告。
22.事件响应
事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后,会进行分析评估,并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域,通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证,以保护数据的完整性。
23.Cyber Hunting(网络狩猎)
网络狩猎是SOC(安全运营中心)L3级分析师的一门新兴学科。它假设网络已被渗透,通过主动寻找恶意软件(或入侵者),争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标,以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源,它提供了攻击者行为方式及其使用工具的信息,有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态,并能够识别入侵和异常活动。
24.威胁情报
威胁情报是网络安全管理的重要组成部分。妥协指标(IOC)是用于识别恶意软件或恶意活动的签名,通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模,手动获取和记录威胁情报已不再可行。因此,自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报,并将其输入IDS、SIEM等工具,从而实现威胁情报的近乎实时更新,以确保击败已知威胁。此外,AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。
25.安全管理
安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面,包括身份管理(IAM)、访问控制、特权管理(PAM)、媒体消毒、人事安全、证书管理以及远程访问等。IAM是任何安全程序的基础,也是黑客攻击的主要目标。访问控制需要配置和验证用户访问系统的权限,并制定审计规则。PAM系统使非特权用户能够请求特权访问,以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护PKI架构的完整性至关重要。而后疫情时代,远程访问已成为攻击的重点,因此需要加强对其的安全管理。
26.零信任网络
在2010年谷歌遭受极光行动网络攻击之后,其内部网络管理方式发生了深刻变革,并创造了“零信任”一词,用以描述一种始终假设内部网络可能已被破坏的运行方式。这种全新的安全理念在NIST特别出版物800-207:零信任架构中得到了正式确立,并现已成为所有美国政府机构必须强制实施的安全标准。
零信任架构的核心在于其四个关键特征:
即时访问(Just-In-Time Access, JITA):用户或服务在需要时才被授予访问权限,且权限具有时效性,一旦任务完成或时间过期,权限即被收回。
只需足够的访问权限(Least Privilege Access, LPA 或 JEA, Just Enough Access):用户或服务仅被授予完成特定任务所需的最小权限集,以减少潜在的安全风险。
动态访问策略:访问控制策略根据用户身份、设备状态、位置、时间等多种因素动态调整,以适应不断变化的安全环境。
微观分割:将网络划分为多个小型的、相互隔离的安全区域,以限制攻击者在网络内的横向移动能力。
安全和基础设施
在构建零信任网络的同时,还需关注以下安全和基础设施方面的要素:
数据备份/恢复:作为重要的运营技术,数据备份在发生灾难或攻击事件时,是恢复业务连续性和数据完整性的关键安全资产。
变更管理:安全策略需要与系统的变化过程紧密关联,确保在提交变更前已充分评估风险,并制定详细的变更管理计划,包括推出计划、回滚计划、影响评估和依赖关系清单。
管理物理环境:数据中心环境的物理和电子安全同样重要,包括物理访问控制、机房环境监控(如功率、温度、气压等)。
27.事件响应
有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期通常包括以下几个阶段:
准备:了解系统及现有控制措施,通过培训和演练提高组织的应急响应能力。
响应:识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。
后续:事后进一步调查、形成报告、总结经验教训,并据此改进安全流程和策略。
28.SABSA多层控制策略
SABSA(Sherwood Applied Business Security Architecture)多层控制策略提供了一种全面的安全框架,包括威慑、预防、遏制、检测和通知恢复等多个层次的控制措施。
29.管理事件响应的方法
NIST特别出版物800-61:计算机安全事件处理指南提供了一种标准化的事件响应方法,包括检测和分析、遏制、根除和恢复以及事件后活动等阶段。此外,PDCA(Plan-Do-Check-Act)循环也被广泛应用于事件响应生命周期的优化和持续改进中。