動態

詳情 返回 返回

讀紅藍攻防:技術與策略24網絡安全上 - 動態 詳情

1. 網絡安全

1.1. 保網絡基礎設施的安全,而做到這一點的第一步就是確保網絡的分段與隔離,並且這種做法提供了減少入侵的機制

1.2. 藍隊必須充分了解網絡分段的不同方面,從物理到虛擬,再到遠程訪問

1.3. 即使公司不是完全基於雲的,仍然需要考慮在混合場景下與雲的連接,這意味着還必須實施安全控制以增強環境的整體安全性,而網絡基礎設施安全是這一點的前提和基礎

2. 深度防禦方法

2.1. 深度防禦方法背後的總體思想是確保有多層保護,並且每層都有自己的一組安全控制,這種機制最終會延遲攻擊並且每層中可用的傳感器將提醒是否有情況發生

  • 2.1.1. 在任務完全執行之前就打破了攻擊殺傷鏈

2.2. 分層深度防禦方法

  • 2.2.1. 數據

    • 2.2.1.1. 訪問控制列表、加密、權限管理

  • 2.2.2. 應用

    • 2.2.2.1. 安全開發生命週期、應用程序控制

  • 2.2.3. 主機

    • 2.2.3.1. 操作系統強化、身份驗證、補丁管理、主機入侵檢測系統

  • 2.2.4. 網絡

    • 2.2.4.1. 網絡分段、防火牆、IPSec

  • 2.2.5. PPP--人員、策略和程序

    • 2.2.5.1. 安全意識培訓、合規、文檔

2.3. 可以攻擊基礎設施和服務、傳輸中的文件和端點,這意味着你需要在每個可能的情況下增加攻擊者的成本

  • 2.3.1. 成本包括攻擊者為突破不同層而必須進行的投資

2.4. 基礎設施與服務

  • 2.4.1. 攻擊者可以通過攻擊公司的基礎設施和服務來破壞公司的生產力

  • 2.4.2. 即使在僅限內部部署的場景中仍擁有服務,只不過這些服務由本地IT團隊控制

  • 2.4.3. 存儲用户使用的關鍵數據,如果變得不可用,將直接影響用户的工作效率,這將對組織造成負面的財務影響

  • 2.4.4. 一旦確定了攻擊媒介,就需要添加安全控制來緩解這些漏洞(如通過補丁管理強制合規,通過安全策略、網絡隔離、備份保護服務器等)​

    • 2.4.4.1. 所有這些安全控制都是保護層,它們是基礎設施和服務領域內的保護層

    • 2.4.4.2. 需要為基礎設施的不同區域添加其他保護層

  • 2.4.5. 如果已經創建了威脅建模並在內部實施了安全控制,那麼現在需要重新評估是否包含內部雲連接

  • 2.4.6. 基礎設施安全必須降低漏洞數量和嚴重程度,減少暴露時間,增加攻擊難度和成本

2.5. 傳輸中的文件

  • 2.5.1. 可以是任何類型的數據,並且這些數據在傳輸(從一個位置到另一個位置)時通常很容易受到攻擊

  • 2.5.2. 要確保利用加密手段來保護傳輸中的數據

  • 2.5.3. 不要認為傳輸中的文檔加密只應該在公共網絡中進行,它也應該在內部網絡中實現

  • 2.5.4. 如果需要跨網絡傳輸文檔,請確保整個傳輸路徑加密,當數據最終到達目的地時,還要對存儲中的靜態數據進行加密

  • 2.5.5. 除了加密之外,還必須添加用於監控和訪問控制的其他安全控件

  • 2.5.6. 在增加不同的保護和檢測層,這就是深度防禦方法的全部精髓,也就是你需要考慮的保護資產的方式

  • 2.5.7. 在混合場景中,攻擊媒介將發生變化,你應該考慮整個端到端的通信路徑,以便識別潛在的威脅和緩解它們的方法

2.6. 端點

  • 2.6.1. 在規劃端點的深度防禦時,你需要考慮的不僅僅是計算機

    • 2.6.1.1. 如今,端點實際上是任何可以使用數據的設備

    • 2.6.1.2. 應用程序決定了支持的設備,只要與開發團隊同步工作,你就應該知道支持哪些設備

    • 2.6.1.3. 大多數應用程序將可用於移動設備,也可用於計算機

  • 2.6.2. 必須執行威脅建模以發現所有攻擊媒介,並相應地規劃緩解措施

    • 2.6.2.1. 分離企業和個人數據/應用程序(隔離)

    • 2.6.2.2. 使用TPM硬件保護

    • 2.6.2.3. 強化操作系統

    • 2.6.2.4. 存儲加密

  • 2.6.3. 端點保護應考慮到企業自有設備和自帶設備

  • 2.6.4. 在端點的另一個重要安全控制是端點檢測和響應系統(Endpoint Detection and Response,EDR)

    • 2.6.4.1. 請確保評估市場上現有的EDR,以及哪一個更適合你的組織需求

    • 2.6.4.2. HIDS和HIPS對端點保護也很有用,儘管這些技術不應視為EDR系統的替代品

2.7. 微分段

  • 2.7.1. 深度防禦方法強調了根據潛在訪問點劃分防禦的作用,但它也提出了一種使用微分段劃分防禦的替代方法

  • 2.7.2. 另一種實施深度防禦的方法是網絡微分段

    • 2.7.2.1. 這種方法依靠策略和權限來增加基於資源身份的額外保護層

    • 2.7.2.2. 微分段規則不依賴於底層基礎設施

    • 2.7.2.3. 你不需要在基礎架構中添加物理設備來提供微分段,它可以完全基於從低級的基礎設施中抽象出來的軟件

    • 2.7.2.4. 這種方法被零信任網絡充分利用

3. 物理網絡分段

3.1. 在處理網絡分段時,藍隊可能面臨的最大挑戰之一是準確瞭解網絡中當前實施的內容

3.2. 在大多數情況下,網絡會根據需求增長,其安全功能不會隨着網絡的擴張而被重新審視

3.3. 建立適當物理網絡分段的第一步是,根據公司的需求瞭解資源的邏輯分佈

  • 3.3.1. 可以為每個部門創建一個虛擬局域網(Virtual Local Area Network,VLAN),並隔離每個部門的資源

    • 3.3.1.1. 隔離將提高性能和整體安全性

  • 3.3.2. 設計的問題在於用户/組和資源之間的關係

    • 3.3.2.1. 多數部門在某個時候都需要訪問文件服務器,這意味着這些部門必須跨越VLAN才能訪問資源

    • 3.3.2.2. 跨VLAN訪問需要多個規則、不同的訪問條件和更多的維護措施

      3.3.2.2.1. 業務目標:使用此方法,你可以創建具有基於共同業務目標的資源的VLAN

      3.3.2.2.2. 敏感級別:假設你對資源進行了最新的風險評估,你可以根據風險級別(高、低、中)創建VLAN

      3.3.2.2.3. 位置:對於大型組織,有時基於位置組織資源會更好

      3.3.2.2.4. 安全區:通常,出於特定目的,此類型的分段與其他類型的分段相結合

3.4. 具有VLAN功能的工作組交換機

  • 3.4.1. 它們連接到將對這些VLAN執行路由控制的中央路由器

  • 3.4.2. 理想情況下,該交換機將具有可用於限制來自不受信任的2層端口的IP流量的安全功能,這是一種稱為端口安全的功能

  • 3.4.3. 路由器包括訪問控制列表,以確保只有授權的流量才能通過這些VLAN

  • 3.4.4. 跨VLAN的分段是使用不同的方法完成的,只要你規劃了當前狀態以及未來的擴展方式,這是完全可以實現的

3.5. 最佳實踐

  • 3.5.1. 使用SSH管理你的交換機和路由器

  • 3.5.2. 限制對管理界面和管理VLAN的訪問

  • 3.5.3. 禁用不使用的端口

  • 3.5.4. 利用安全功能來防止MAC泛洪攻擊,並利用端口級安全來防止攻擊

  • 3.5.5. 確保更新交換機和路由器的固件和操作系統

  • 3.5.6. 有助於保護物理網絡並對其進行分段,但如果你還不知道生產環境中的所有網絡,那麼使用網絡映射工具來發現你的網絡可能是有用的

3.6. 使用網絡映射工具發現你的網絡

  • 3.6.1. 挑戰是瞭解拓撲和關鍵路徑,以及網絡的組織方式

  • 3.6.2. 方法是,使用可以顯示當前網絡狀態的網絡映射工具

    • 3.6.2.1. SolarWinds的Network Topology Mapper

    • 3.6.2.2. 當發現你的網絡時,請確保記錄了它的所有方面,因為你稍後將需要這些文檔來正確實施分段

信息安全
點贊

Add a new 評論

Some HTML is okay.