最基础的是做好物理/逻辑隔离,禁止外联,弱口令,异常行为处理
防守策略
收缩攻击面、修复漏洞、规避漏洞、缕清资产、记录正常流量访问关系、关键时刻封C段、重要时刻拔网线、危机时刻拔电源
1、重保时期用户业务添加腾讯云、阿里云、华为云、亚马逊云等云主机和境外归属地访问监测
2、外网蜜罐单独划分vlan,做好隔离
3、https流量设备解密,有解密设备的注意透明透传还是透传xff问题
4、流量检测设备在waf后面,拦截封禁的,减少报警设备告警,不要一味相信基于规则的单设备告警,比如天眼(分重点监控设备和高危告警设备)
5、做红队测试前做好常规应用漏洞挖掘测试(应用前面再多安全设备,一个应用漏洞打到最深处)
6、增加针对ipv6的自动告警和封禁处置能力
7、dmz区增加横向流量监控
8、dmz区及边界业务设备,增加edr和内网蜜罐,重要系统,包括可能有洞的安全设备加融合式蜜罐,集权系统强随机口令和限制白名单访问端口
9、外网业务系统做好纯静态镜像,应急时候替换
10、统计安全设备、网络设备(业务网关、交换机、dns服务器),有些流量会经过这些设备,会产生告警信息。梳理业务,处置和加白,减少误报。更改随机口令,及时应对0day(漏洞多的安全厂家就换了吧)
11、统计内外网资产、服务器、应用
12、将dns归束,提高ioc告警处置(微步在线ioc标签很大程度上依赖于各防御侧收上来的数据)
13、业务系统白名单微隔离
14、办公区、域认证、零信任都是soar的场景
15、蜜罐把密码填充的都传回来,username有可能被抓到
16、制作沙箱,桌面放置恶意程序、浏览器放入溯源浏览记录。主动跑恶意程序,等黑客上当
17、mysql蜜罐,抓/etc/passwd,有可能抓到mac电脑常用用户名
18、别瞎溯,不知道脏了多少红队
19、没啥事就扫扫cs口令吧,有惊喜
20、所有带附件、链接的邮件一律拦截
最后,
攻击的兄弟们辛苦了
来源:freebuf.com 2020-09-25 16:13:36 by: lyjsyqw
请登录后发表评论
注册