如何开展护网行动
https://blog.csdn.net/sunxingstar/article/details/100036145
原创番茄庄园 发布于2019-08-23 13:54:31 阅读数 1211 收藏
展开
一、攻击队(蓝队)分类
军火商级:掌握0day漏洞、具备编写工具的能力。甚至有vpn的漏洞。攻击特点:直接攻击,如导弹、大炮一般,攻击猛烈,效果极强。
间谍级:长期APT钓鲸攻击,打入红队内部,通过木马控制重要用户终端,从而控制目标服务器。与系统管理员同工同息,极难被发现。
摊贩级:使用攻击工具,利用已有漏洞进行攻击,打击效果一般。
二、攻防队伍对比
600人组成的蓝方,红方需12万人参与防御。
得分标准:
蓝队:获取权限、穿透网络隔离、发现被控线索。
红队:发现木马、钓鱼邮件、溯源、应急处置。
三、红方攻略
收敛攻击面
漏洞补丁修补
建立纵深防御体系
安全设备冗余、多重已构
部署高交互蜜罐
回溯分析
四、重点防御
APT攻击
零日漏洞
违规外联
五、体现的问题
弱密码,密码复用。
VPN,邮箱系统0day漏洞。
域控、堡垒机、云平台、杀毒后台。
主机普遍零防御。
非法外联。
第三方接入。
供应链安全。
手机app安全。
六、防御措施
DMZ区防护:白名单防0day。
隔离
集权类设备:关键人识别APT攻击。
威胁情报共享、集体防御。
非法外联监控。
————————————————
版权声明:本文为CSDN博主「番茄庄园」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/sunxingstar/article/details/100036145