应急响应篇——安全加固

2024-07-24 12:35:23 浏览数 (1)

经过前几篇的应急响应篇章,相信各位师傅们按着做的话也该来到了加固,加固是一个后处理工作,主要是为了防止攻击者二次入侵、同样的问题发生两次。安全加固其实是一个稍微泛一些的词,做基线检查整改、等保整改也可以叫加固,加个杀软也可以叫安全加固,本篇主要讨论与应急响应相关的安全加固方向。

一、基线检查

这里写出基线检查不是真的必须做一次基线检查,而是基线检查是针对操作系统层面进行的安全检查,到了应急层面的事故大概率波及到服务器本身,主要验证以下几点:

1.最小权限要求,能不给的权限就不给。

2.越权风险,是否有低权限用户获取高权限风险;是否有不同用户之间可以越权访问彼此资源。

3.敏感文件权限、敏感路径权限。

4.改写权限。

(虽然之前分享过了,但还是发出来给各位师傅参考一下,自写安全加固脚本for基线检查的,仅参考,为测试版本,请勿在真实环境直接运行。放在文章结尾,需要自取。)

二、安全设备

冲钳法则,能上则上,没有的都上,上网行为管理、全流量、防病毒、防火墙、waf,正常来说可能不是那么囊中羞涩的甲方,至少满足百分之八十的,能穿那就是设备还不够满!当然了,也不能无脑上,以下设备及功能仅供参考!资金充裕的甲方可以考虑看看:

1.上网行为管理:突出一个内部管控,对接入网络的所有个人主机进行管控,可以管控上网行为、监控上网行为,你看了什么小网站、打开了什么软件完全可以检测到,且需要多重验证(正常都会开双因子,有可能没有),安全系数拉至百分之七十!

2.waf:全称web应用防火墙,暴露面web资产多的、安全人手不足的,waf解君愁!常见的难修复的sql注入、命令注入、代码注入各种注入,还有文件上传,只要牌子够响亮,厂家响应够及时,安全系数再次上升,拉至百分之八十!

3.全流量分析:内网自带日志记录的小鲨鱼,抓取各种协议数据包并记录,一旦出事,锁定范围,一键筛选,定位威胁,再加上现在的全流量分析不仅界面方便、逻辑清晰,还自带了一部分安全追溯功能,一定范围的规则库匹配,安全系数升级至百分之九十啊!

4.其他安全设备:这部分大家查漏补缺吧,正经的什么edr、防病毒网关等、蜜罐,或者一些新颖一些的安全概念设备,不差资金的情况下尽管上,直接把安全系数拉爆到99.99%。

三、安全处置记录&应急流程文档

文档类性质的工作请不要轻视,从整体出发来说安全工作不是以某一人为主体去开展的,从大局角度出发建立健全的安全记录机制是应对未来威胁的准备,本来想给大家分享一下up自己写的,但实在不好脱敏,就大致列出需要的内容给大家吧。

1.网络拓扑结构(尤其是涉及安全设备和业务系统的部分),需要明确的表现出业务系统和安全设备的连接,最好能附加说明,从互联区以及内部业务网络区域到达核心服务器需要经过哪些设备、做哪些策略和调整放行。

2.场景建立:建立特殊场景,例如服务器被入侵、页面篡改、系统安全告警等紧急情况下如果处理的流程:

①事件追踪及上报

②事件判断

③事件详细处置流程(包括联系响应管理员获取相关权限、服务器处置流程或数据库处置流程,按照应急响应步骤进行编写。)

④事后处置:包括恶意文件清除、痕迹清除、安全加固等

⑤业务验证(针对该行为利用行为进行验证,是否还对业务产生影响或是否还存在该威胁)

⑥形成处置记录,对该事件处理全过程进行复盘。

四、漏洞扫描&渗透测试

这一阶段进行的工作相当于自查,检测前几步安全加固的结果,以及发现新问题并进行整改,提高安全系数,防范风险。漏扫之间单独发过一篇了就不赘述了,感兴趣的师傅们一样,请自行前往历史文章查看。

0 人点赞