安全事件运营SOP:网络攻击(3)
时间:2023-03-06 17:15 来源:网络整理 作者:默认发布 点击:次
互联网侧资产监控:在外网部署资产扫描的节点,对公司所有的网段、域名和多级子域名进行全端口扫描及服务识别,7*24h的进行资产监控。关于网段和域名的收集,实际的业务场景中除了传统IDC,可能还有国内/外不同云厂商的地址,在最初的扫描前应该确定网段和域名范围。 互联网侧高危端口监控:高危端口包括21、22、23、873、1080、1433、1521、3306、6379、7001等端口,其对应的服务可能存在弱口令、未授权、已知高危漏洞等风险,常常被攻击者所关注。需要注意的是服务的端口号是可以修改的,在一些企业中懂技术的人员通常会将远程连接的端口如22做映射为2200,以逃过信息安全部的限制或检测。 互联网侧高危API监控:敏感信息泄露、管理后台、密码找回、短信发送等接口,可能会存在安全问题,也常是攻击者喜欢寻找的点位。通过对应用日志进行关键字搜索,比如管理后台可能的url为/admin、/manage、/login等。 内网发布系统:申请内网域名前,检查是否进行安全提测及是否通过; 外网发布系统:申请外网域名映射前,检查是否进行安全提测及是否通过; 已经发布系统:收集线上业务应用日志,对API资产进行监控。若出现API异常新增,就触发web漏洞漏洞扫描器进行扫描。 对于供应商产品的安全管理,业内其实已经有很多实践,如检查其产品的安全性报告(安全测试/代码审计/渗透测试)、要求其提供对外端口通信矩阵、提供系统框架及开源组件、系统上线前进行安全提测、签署应急响应协议保障其在运营阶段提供应急服务…这些都是有效的措施,但有时还是难以避免被攻击。目前做的比较好的应该是华为,对供应商进行赋能,并考量供应商自身的网络安全建设情况及产品研发流程的安全。 3.4 正确使用安全产品 想必每个企业都应该在用网络安全产品,但是否会用或用得好,估计得打个问号。从乙方中的甲方安全从业人员来看,常态化的使用安全产品、跟进告警并进行分析才是最好的打开方式,另外也别让安全产品带来额外的攻击面(尤其是边界类)。 基于白盒产品安全能力验证:保证产品发挥效果的最佳实践方法。以安全告警及有效性运营为例,设计出关心/常用的安全功能并准备场景进行测试。 产品自身安全加固能力验证:保障产品不被攻击的最佳实践方法。关注安全产品的历史漏洞修复情况、安全加固情况及重点产品(集控类&边界类)加强防护措施落地情况。 3.5 开设对外收洞渠道 SRC作为企业安全团队对外宣传、接收漏洞的官方渠道,既起到沟通桥梁的作用,又可以通过接收到的漏洞反向优化安全防护策略。建设SRC早的企业,各类规则完善、人气高,基本拥有一群稳定的白帽子为其挖洞,白帽子也对业务越来越熟悉,也能发现更多有质量的安全漏洞。对于新建的SRC,则需要通过不断的运营活动来提升行业影响力,吸引更多的白帽子加入。 (责任编辑:admin) |
