企业官网建设流程全解析

中国电信网站备案流程,四个字广告公司名字,做搜狗网站点击赚钱,网页设计作业素材‍正文#xff1a; HW行动#xff0c;攻击方的专业性越来越高#xff0c;ATTCK攻击手段覆盖率也越来越高#xff0c;这对于防守方提出了更高的要求#xff0c;HW行动对甲方是一个双刃剑#xff0c;既极大地推动了公司的信息安全重视度和投入力量#xff0c;但同时…‍正文HW行动攻击方的专业性越来越高ATTCK攻击手段覆盖率也越来越高这对于防守方提出了更高的要求HW行动对甲方是一个双刃剑既极大地推动了公司的信息安全重视度和投入力量但同时对甲方人员的素质要求有了很大提升被攻破轻则批评通报重则岗位不保大的金融、央企可能不担心有很强的防护很全面的安全值守但是相当多的二级单位或者中型公司可能没那么专业然后听从乙方来忽悠上一堆设备上大屏展示图很酷炫数字很夸张每天防守几万次攻击不是说这些没用而是首先要立足于将产品和服务用好比如资产梳理比如防火墙waf策略优化这个应该是甲方最基础的事情也不应该全部交给乙方有的单位被忽悠上了态势感知但是连基本的waf策略也没有优化报表表面上很客观实际的攻击含金量很低。作为参与了2年HW的甲方总结了一些防御尤其是边界防御的基本要素简单明了抛砖引玉给大家参考。一、HW战略与战术首先在HW期间其实平时也需要这样都是战略上藐视敌人、战术上重视敌人敌暗我明敌众我寡这个现实是摆在眼前的而且我方是一定存在漏洞的这个也是必然的兵来将挡水来土掩的方式不再适用于现代化的网络战基于这样考虑我们可以做如下假设1.我方是一定存在漏洞的攻方也一定存在破绽高手对决就看谁先露出破绽2.一次成功的攻击背后必定有10次以上的失败攻击3.拥有0day类的核弹、能够一发制敌的绝世高手是很少的4.将敌人由暗转明只要发现敌人露出破绽绝不恋战立即封堵ip歼灭敌人有生力量5.攻击者都是有成本的也都是检软柿子捏打不过一定不会投入巨大的时间和人力成本一定会换目标攻击。以上的假设也适应于真实的黑客攻击尤其是勒索类、病毒木马类这类攻击往往是广撒网弱者上钩因为他们不在乎攻击的是啥行业啥客户最终的目标是经济利益。基于这样的考虑我们要作出详细的战术规划动作1.知己知彼谁是我们的朋友谁是我们的敌人是HW的首要问题朋友当然指的就是安全设备、安全体系和安全人员包括监控、分析研判、应急等谁是我们的敌人就是指我们要第一时间识别攻击者并作出响应。这个方面还要加一条就是谁是我们要保护的目标如果我们连自己的资产都不清楚就谈不上保护所以资产摸底互联网暴露面收窄一定是我们要做的第一要务互联网暴露面大战线拉得过长仗就不好打这个道理都懂。2.避敌锋芒、绝不恋战防守方往往要分兵四处防守而攻击方只需攻其一处所以要在有限的时间和有限的空间内反击该封堵ip绝不手软该下线系统绝不含糊。3.诱敌深入、攻其薄弱让攻方露出破绽立马出局。攻方不按套路出牌防守方也不能够规规矩矩作战蜜罐使用的好就是一个非常好用的场景封IP甚至溯源能够御敌于国门之外最好决战于境外但大多数场景阵地战是打不过的边界失守时有发生这时候就靠纵深防御体系来拉锯战了。4.稳扎稳打有效联动快速响应让自己的各种安全设备发挥出最大效能敌我双方都有漏洞的情况下就比谁的的响应快谁响应快谁就赢。攻方发现漏洞之后他们利用漏洞打通一个通往内网的道路也需要时间而且即使通向了内网进行游弋渗透也一定会有露出破绽的时候所以就需要比响应这个时候就要看安全监控和值守来发挥作用。上面说的可能还是比较虚下面就详细描述一些防御细节首先当然是HW设备套餐哪些是最基本的然后将设备策略优化发挥到极致极致的关键就是封IP而且是自动化的封堵最后就是通过监控类策略人工介入来弥补防御类设备的不足等等。二、HW设备套餐在HW前各种安全公司都会推销花样很多的HW套餐如果不差钱的主当然是多多益善但是相当多的企业估计也没那么土豪所以从自身条件出发选择一个合适的HW套餐必须的套餐包括防火墙WAF蜜罐威胁监测系统流量分析回溯或态势感知类安全值守一个人的信息安全部也得至少7*9小时值班这个我认为是所有企业必须上的那么豪华套餐就包括防火墙WAF蜜罐威胁监测系统流量分析回溯或态势感知类威胁情报 主机HIDS 安全服务渗透测试、安全监控组、分析组、处置组、报告总结组等。各个企业可以根据自己情况有针对性的上一些设备这些设备和服务不只是为了HW临阵磨枪而是真的是要常态化运营。虽然有了这些设备还是万里长征走完第一步很多企业啥设备都上用简单的产品堆叠最终效果不好影响了老板对信息安全的看法会认为信息安全团队能力不行所以有了设备还需要响应的策略、配置和服务进行运营好。三、拦截策略优化对安全设备的策略优化是一个很细且长期的过程一般安全设备商他们的kpi是卖设备让设备去上线验收而甲方的kpi是要防止信息安全事件的发生所以这就是一个矛盾除非特别有钱的甲方常驻一个安全团队来进行运营一般很多公司都是靠甲方自己去做安全策略的优化下面我们分这几个维度来分享一下几个经验技巧1.拦截事件分类2.防火墙拦截策略3.Waf拦截策略4.流量监控类策略拦截事件分类这块我们一定要有这么三类**阻止会话、阻止会话并短暂封堵IP、阻止会话并长期封堵IP**防火墙是边界全部防护waf则是针对具体每个站点来设置策略为了误报设备上线时候乙方都推荐不会用封堵类策略但是在实战场景是一定要有封堵类的策略的因为在HW中红方高手很多而且可能有很多我们不知道的神兵利器我们的设备有可能能够防住他一招两式但是没法保证说对方所有绝招能够拦截所以我们在策略上也要进行封堵发现敌人破绽就封堵ip立马让其下线敌人要继续攻击就得换个ip来这样抬高了攻击成本。一定要自动封ip自动封ip自动封ip能永久封就永久封重要的事情说三遍。那么问题来了如何封堵ip并不产生误报了封堵ip如果是靠人工一个一个判断再操作也是不可取的所以一定要进行策略优化自动进行封堵操作。我们通过优化每天自动化封堵1000个ip左右永久封堵而且基本上无误报如何自动化封堵我们将下一个文章详细介绍。3.1 防火墙拦截策略首先在防火墙上对来自于互联网的以下端口拦截并永久封堵或长期封堵ip的策略。|端口|策略|封堵|| — | — | — ||445|拦截|永久封堵||3389|拦截|永久封堵||1433|拦截|永久封堵||6379|拦截|永久封堵||2181|拦截|永久封堵||11211|拦截|永久封堵||27017|拦截|永久封堵||50070|拦截|永久封堵||11211|拦截|永久封堵||5900|拦截|永久封堵|以上为高危端口包括远程桌面、VNC、常见数据库服务等端口以上是攻方必攻之地对于这样的端口一定要封而且要封堵来源IP。对于数据中心外联互联网一定要采取限制策略禁止外联互联网对于很多企业来说由于历史原因可能直接放通了互联网的对外访问那么就要仔细梳理哪些是必要的访问要采用白名单方式。服务器外访有个攻方常用的攻击方式就是dns回显式注入那么就将dnslog.cn等域名加入拦截和监控。3.2 WAF拦截策略WAF在使用中最大的问题也就是误报与漏报,同时waf绕过是红方必然要求的一个技能所以在实战中waf是必然会被绕过但是不代表waf策略就不需要优化那么waf策略优化可以有这么几点3.2.1 user-agent防止扫描器红方在踩点过程中必然要用扫描器连接高危端口的扫描器方式在上面的防火墙策略已经拦截那么就开始用web应用扫描器常见的扫描器user-agent如下策略都是永久封堵。类似如上user-agent包含上述关键字的都将拦截并封堵源ip在这些user-agent中有一个非常重要的user-agent为python这个对于很多扫描甚至是poc都是用python开发所以封堵这个很有必要。当然这个也存在误报那么就是在软件开发过程中也可能有测试人员模拟测试场景那么就要进行区分。3.2.2 url参数中防止高危POC攻击很多高危漏洞一出来针对该漏洞的poc扫描就非常多针对这些poc的扫描攻击可以建立一个url列表来拦截waf本身策略更新也有这方面的配置可以拦截但是由于waf策略本身是需要有通用性他会将策略做的更严格我们自定义策略可以更宽松比如前段时间F5的远程代码执行漏洞爆发 (CVE-2020-5902) 那么我们已经确定没有使用F5或者F5不会暴露在公网那么我们可以将url关键字如下进行拦截发现即封堵。/tmui/login.jsp/…;/tmui/locallb/workspace/tmshCmd.jsp常见的poc攻击url特征清单如下以下基本上发现为攻方必然扫描的url当然有一些需要根据企业情况分析比如我们企业没有使用php作为开发语言那么大量php的漏洞可以直接拦截并封堵/phpmyadmin/wls-wsat/CoordinatorPortType/_async/AsyncResponseService/_async/AsyncResponseServiceSoap12uddiexplorer/SearchPublicRegistries.jsp/_async/bea_wls_deployment_internalNCFindWeb?serviceIPrealertConfigServicefilenameactionnc.ui.iufo.release.InfoReleaseActionmethodcreateBBSReleaseTreeSelectedIDTableSelectedID/uapws/service.svn/formatWEB-INF/web.xml/cgi-bin/libagent.cgi/config.phpfckeditor/editor/filemanager/connectors/FCKeditor/editor/filemanager/connectors/asp/connector.asp/FCKeditor/editor/filemanager/browser/default/browser.htmlfckeditor/editor/filemanager/connectors/test.html/secure/ContactAdministrators!default.jspa/phpinfo.php/ispirit/interface/gateway.php/weaver/bsh.servlet.BshServlet/console//wls-wsat/solr/admin/cores?wtjson/install.txt/install.php/plugins/weathermap/editor.php/?qnodedestinationnode/hedwig.cgi/device.rsp?cmdlistoptuser/node/?_formathal_json/_users/org.couchdb/mailsms/s?dumpConfig%2FfuncADMIN%3AappStatemailsms/s?funcADMIN:appStatedumpConfig//plus/download.php/druid/index.htmlorg.apache.dubbo/tmui/login.jsp/…;/tmui/locallb/workspace/tmshCmd.jsp这些url代表啥含义就不再描述了基本上踩点扫描中如上的地址都是跑不掉的。3.2.3http请求中高危特征值字段还有一类poc是通过http请求中包含恶意代码来执行的比如struts2漏洞比如fastjson漏洞所以也需要对类似特征值进行防范,比如我们用部分包含特征样例如下part“com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource”,part“java.lang.ProcessBuilder”,part“command”part“getRuntime”,part“exec”,part“java.lang.Runtime”part“typejava.net.InetSocketAddress”part“dataSourceNamermi”part“#ognlUtil#container.getInstance(com.opensymphony.xwork2”part“.OgnlContext”,part“DEFAULT_MEMBER_ACCESS”3.2.4信息泄露类的扫描对于部分扫描在很多waf产品策略中可能将其列为低危或者仅仅拦截而不封堵。那么我们应该自定义一些信息泄露的url直接拦截并封堵样例如下/configuration/config.php/.bash_history/.git/config/.htpasswd/admin.rar/admin.sql/backup.gz/backup.rar/backup.sh/backup.sql/backup.zip/database.rar/database.sql/wwwroot.rar以上策略都是拦截并封堵ip这个在我们实战中很有效基本上能够封堵大部分的扫描如果能够将扫描拦截住那么就将大部分的低层次的攻击给拦截了。3.3流量监控类策略上面也说到了流量监控设备如流量分析回溯、态势感知、威胁检测系统基本上还是一个必需品这些产品主要是流量镜像方式那么他们自带了一些特征库可以监测到经过了安全设备之后还遗存的攻击所以上面的所有特征库依然适用于流量监控设备当流量监控设备上设置了如上告警特征依然还存在那么就要反过来查查防火墙和waf的配置是不是策略没配置对还是说站点没配置全等等。3.3.1Webshell监控Webshell监控是一个很难的事情尤其是冰蝎等这类加密而且快速升级在流量层面监控的确比较复杂且容易误报而且当到了webshell这个层面说明敌人已经深入腹地那么只有主机安全和流量监控系统是最后一道防线。常见webshell上传中特征值如下可以在流量监控中进行告警。%execute request(%execute(request(%ExecuteGlobal request(%%Eval(Request(chr(%if(request.getParameter(eval(base64_decode($_POSTclass U extends ClassLoader{U(ClassLoader cSystem.Text.Encoding.GetEncoding(936).GetStringcom.sun.rowset.JdbcRowSetImplgetClass().forName(“java.lang.Runtime”).getRuntime().exec(#dmognl.OgnlContextDEFAULT_MEMBER_ACCESS).(#_me当我们的流量中出现如上特征的时候那么就要小心可能就真的有webshell上传在尝试。其实流量监控和防火墙、waf要形成有益补充防火墙和waf策略优化的好那么流量监控设备中告警数量是非常少的这样也方便安全监控人员进行值守否则一天几千条几万条告警是没办法从中找到真实的蛛丝马迹的。通过流量监控系统反过来优化防火墙、waf策略也是一个长期要做的事情。每当流量监控出现一个告警而且告警来自于边界的话我们就要问问这个告警真实吗为何边界设备未能拦截如何优化等等。四、日志统一收集并自动化处置推荐使用日志收集系统来实现防火墙、waf、蜜罐等统一的日志收集和分析并将攻击ip进行统一呈现我们已经使用了graylog来做这个事情详细可见我的另外一个文章《利用graylog收集各类安全设备日志实现大屏展示》同时将攻击ip统一呈现还有一个好处可以实现自动化的永久封堵我们是通过脚本将攻击ip入库然后脚本调用防火墙api每5分钟实施黑名单永久封堵。这样的好处是显而易见的攻击者在没有摸清你的家底之前只有通过不断的探测来摸底但是探测过程中被你不断的封堵ip那么他就知道碰到行家了按照攻击队找软柿子捏的惯例他们是不会再一个价值不高的目标花费太大的时间和精力这个对于勒索、黑产团队也同样适用黑产团队也是广撒网的方式来攻击比如攻击是有成本的只有当安全达到一定基线那么就能够减少很多不应该的信息安全事件。如上事情优化完成之后就进入了安全监控、分析阶段这个时候需要专家值守通过全量日志分析系统提升安全分析效率输入第三方HW情报、自己的HW发现的问题及时共享联动处置。如上为蓝方HW期间经验总结其实不只是HW期间作为常态化安全运营均需要上述的一些基本优化动作做完上述动作基本上HW可以达到70%的不出事情剩下的30%一个是对手太强大0day层出不穷另外就是我们的应用开发包括弱口令、运维漏洞、钓鱼邮件等依然存在有时候我们做了大量工作一个弱口令让我们所有做的工作都归零。这些漏洞的解决也不是一朝一夕也是需要长期的过程。网络安全的知识多而杂怎么科学合理安排下面给大家总结了一套适用于网安零基础的学习路线应届生和转行人员都适用学完保底6k就算你底子差如果能趁着网安良好的发展势头不断学习日后跳槽大厂、拿到百万年薪也不是不可能初级网工1、网络安全理论知识2天①了解行业相关背景前景确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。非常重要2、渗透测试基础一周①渗透测试的流程、分类、标准②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础一周①Windows系统常见功能和命令②Kali Linux系统常见功能和命令③操作系统安全系统入侵排查/系统加固基础4、计算机网络基础一周①计算机网络基础、协议和架构②网络通信原理、OSI模型、数据转发流程③常见协议解析HTTP、TCP/IP、ARP等④网络攻击技术与网络安全防御技术⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作2天①数据库基础②SQL语言基础③数据库安全加固6、Web渗透1周①HTML、CSS和JavaScript简介②OWASP Top10③Web漏洞扫描工具④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等恭喜你如果学到这里你基本可以从事一份网络安全相关的工作比如渗透测试、Web 渗透、安全服务、安全分析等岗位如果等保模块学的好还可以从事等保工程师。薪资区间6k-15k到此为止大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗【“脚本小子”成长进阶资源领取】7、脚本编程初级/中级/高级在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中面对复杂多变的网络环境当常用工具不能满足实际需求的时候往往需要对现有工具进行扩展或者编写符合我们要求的工具、自动化脚本这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中想要高效地使用自制的脚本工具来实现各种目的更是需要拥有编程能力.零基础入门建议选择脚本语言Python/PHP/Go/Java中的一种对常用库进行编程学习 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP IDE强烈推荐Sublime ·Python编程学习学习内容包含语法、正则、文件、 网络、多线程等常用库推荐《Python核心编程》不要看完 ·用Python编写漏洞的exp,然后写一个简单的网络爬虫 ·PHP基本语法学习并书写一个简单的博客系统 熟悉MVC架构并试着学习一个PHP框架或者Python框架 (可选) ·了解Bootstrap的布局或者CSS。8、超级网工这部分内容对零基础的同学来说还比较遥远就不展开细说了贴一个大概的路线。感兴趣的童鞋可以研究一下不懂得地方可以【点这里】加我耗油跟我学习交流一下。网络安全工程师企业级学习路线如图片过大被平台压缩导致看不清的话可以【点这里】加我耗油发给你大家也可以一起学习交流一下。一些我自己买的、其他平台白嫖不到的视频教程需要的话可以扫描下方卡片加我耗油发给你都是无偿分享的大家也可以一起学习交流一下。结语网络安全产业就像一个江湖各色人等聚集。相对于欧美国家基础扎实懂加密、会防护、能挖洞、擅工程的众多名门正派我国的人才更多的属于旁门左道很多白帽子可能会不服气因此在未来的人才培养和建设上需要调整结构鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”才能解人才之渴真正的为社会全面互联网化提供安全保障。特别声明此教程为纯技术分享本书的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本书的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失