护网复习
web安全漏洞
owasp top 10x
- A01- Broken Access Control(失效的访问控制)
- A02- Cryptographic Failures(加密机制失效)
- A03- Injection(注入)
- A04- Insecure Design(不安全设计)
- A05- Security Misconfiguration(安全配置错误)
- A06- Vulnerable and Outdated Components(自带缺陷和过时的组件)
- A07- Identification and Authentication Failures(身份识别和身份验证错误)
- A08- Software and Data Integrity Failures(软件和数据完整性故障)
- A09- Security Logging and Monitoring Failures(安全日志和监控故障)
- A10- Server-Side Request Forgery(服务端请求伪造)
安全设备日志
安全监控与日志分析
涉及防火墙,ids,waf,全流量设备,天眼,态势感知等
防火墙设备
前期准备(梳理防火墙访问控制规则)
源ip处理(添加访问控制,阻断攻击源ip)
IDS设备
IDS主要部署模式为旁路部署,旁路接镜像流量,各厂商的IDS
设备功能没有大的区别,主要是对经过IDS
的流量进行检测、匹配规则然后产生告警事件。
IDS
操作简单,实时监控发现有高危攻击事件、异常攻击事件后导出日志及对应
的pacp包进行分析,如有攻击特征的就可以确认为攻击事件可以对攻击源IP
进行上报封禁,无攻击特征的告警事件一定不要封禁IP
避免误判对业务造成影响。
常见事件: web
攻击、拒绝服务攻击、远程代码执行攻击、扫描事件、
弱口令、暴力破解等
IDS-SQL注入
HW常见攻击手段
社会工程学
VPN
业务逻辑
弱口令
注入攻击
Nday
上传getshell
未授权访问
邮件
APP
边角系统
Wi-Fi
Weblogic
反序列化
废弃资产
数据库
Struts 2
应用安全
- 网页篡改-非法子页面-暗链
- web漏洞(sql,xss.csrf,ssrf,上传)
- 中间件漏洞(weblogic反序列化,fastjson反序列化,shiro反序列化,jboss反序列化,strust2反序列化,thinkphp5反序列化,iis apache解析等)
- 数据库漏洞(mysql提权,redis未授权访问)
- 产品漏洞(泛微oa,致远oa,金蝶erp,用友erp,confluence等等)
- cc攻击
- 服务器安全(勒索病毒,挖矿木马,口令破解,高危漏洞,
- 网络安全(ddos攻击,dns劫持,arp欺骗,配置错误)
事件识别
- 特别重大事件
- 重大事件
- 较大事件
- 一般事件
识别安全事件-判断范围
内接入区
外来接入区\
单台主机or多台主机
已被感染or处于危险中
识别安全事件-用途
个人办公主机
特殊权限主机
工控主机
应用服务器
数据库服务器
域控服务器
识别安全事件-取证过程
保护第一现场
避免攻击痕迹被清除
经验法
回溯攻击法
三要素法
不轻信一面之词
与目击者交流相关细节
亲自核实所述,转述情况
识别安全事件-取证对象
病毒/木马文件
日志文件
主机日志
应用日志
安全设备日志
攻击者残留文件
在主机上抓取的流量包
应急响应常见排查思路
收集信息:收集客户信息和中毒主机信息,包括样本
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
抑制范围:隔离使受害⾯不继续扩⼤
深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
产出报告:整理并输出完整的安全事件报告
windows入侵事件应急响应
- 网络 netstat -ano
- 账户 lusrmgr.msc
- 日志 eventvwr.msc
日志路径: C:\Windows\System32\winevt\Logs、C:\windows\Minidump
必看日志: Security.evtx、System.evtx、Application.evtx
- 进程 启动项 计划任务 服务
- 文件
- 内存
linux入侵常见排查思路
- 网络 netstat -anlp
- 进程 ps aux|grep pid
- 账户 uptime who w(查看某一刻用户的行为)
- 计划任务 crontab -l -u root
- 登录日志检测 /var/log lastlog var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息
- web日志检测
- 系统服务 service --status-all
- 文件
- 内存模块
- rootkit检测
linux 系统接入日志
多个程序会记录该日志记录到/var/log/wtmp和/var/run/utmp文件中telnet、ssh
等程序会更新wtmp和utmp
文件系统管理员可以根据该日志跟踪到谁在何时登录到系统。
/var/log/secure
该日志文件为Linux系统安全日志,记录用户和工作组变换情况、用户登陆认证情况
日志审计总结
1.
需要检查的系统日志文件主要包括一般信息日志、网络连接日志、文件传输日志
以及用户登录日志等。在检查这些日志时要特别注意时间记载分析日志产生的时
间是否合理;
2.可疑的日志记录;
3.非正常时间凌晨的用户登录;
4.笑键日志记录损坏尤其是记录用户登录登出信息的wtmp文件;
5.非正常IP的用户登录;
6.用户登录失败甚至一再尝试登录并失败的日志记录;
7.非正常的超级用户权限切换su指令;
8.非正常的控制进程启动或重启记录;
9.等等.
Linux基线规范
每个公司有每个公司的基线规范体系,但是答题分为下列五个方面
账号管理和授权
检查特殊账号,是否存在空密码的账户和 root 权限账户
禁用或删除无用账号
添加口令策略:/etc/login.defs修改配置文件,设置过期时间、连续认证失败次数
禁止 root 远程登录,限制root用户直接登录。
检查 su 权限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test
服务
关闭不必要的服务
SSH 服务安全
不允许 root 账号直接登录系统,PermitRootLogin=no
修改 SSH 使用的协议版本为 2
修改允许密码错误次数(默认 6 次),MaxAuthTries=3
文件系统
设置 umask 值 vi /etc/profile 添加行 umask 027
设置登录超时 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为 TMOUT=180
日志
启用 syslogd 日志,配置日志目录权限,或者设置日志服务器
记录所有用户的登录和操作日志,通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查
https://www.alibabacloud.com/help/zh/faq-detail/49809.htm
IP 协议安全要求
远程登录取消 telnet 采用 ssh
设置 /etc/hosts.allow 和 deny
禁止 ICMP 重定向
禁止源路由转发
防 ssh 破解,iptables (对已经建立的所有链接都放行,限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问)
##Windows 安全基线检查
主要包括五个方面:身份鉴别、访问控制、安全审计、资源控制、剩余信息保护
身份鉴别
更改缺省账户
检查Guest用户是否禁用
密码复杂性要求
密码长度最小不能小于8位
访问控制
共享账户检查
远程关机授权
本地关机
授权帐户登陆
安全审计
用户登录日志记录
系统日志完备性检查
登录超时管理
资源控制
登录超时管理
远程登录超时配置
剩余信息保护
不显示上次的用户名
关机前清除虚拟内存页面
不启用可还原的加密来存储密码
常用隔离办法
已经发生安全事件的对象
●采取例如断网、下线等可行措施进行隔离,避免影响其它主机
●通过边界控制设备,防止网络区域间相互影响
对于处在危险中的对象
●采取及时的补救加固措施
●相关漏洞的扫描修补与跟踪
●进行黑盒/白盒安全测试
应急响应
通常指一个组织为了各种意外事件发生所做的准备,以及在事件发生后孙才去的措施.
准备阶段
应急团队建设
应急方案制定
渗透测试评估
安全基线检查
检测阶段
判断事件类型
判断事件级别
确定应急方案
抑制阶段
阻断(ip,连接)
关闭(服务等)
删除()
根除阶段
增强(策略)
修复(漏洞)
还原(备份等等)
恢复阶段
业务系统
通信系统
用户数据
