当前位置：首页 > news >正文

蓝队基础5 -- 安全策略与防护技术

news 2025/7/8 17:29:47

声明：
本文的学习内容来源于B站up主“泷羽sec”视频“蓝队基础之网络七层杀伤链”的公开分享，所有内容仅限于网络安全技术的交流学习，不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题，请联系本人，我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能，并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动，均与本文作者和“泷羽sec”无关。请读者自觉遵纪守法，合理合法使用相关知识。

1 安全管理

1.1 安全管理概念

现代企业的安全管理是一组日常流程，致力于保障业务运营的安全性和连续性。它涵盖身份管理（IAM）、访问控制、特权管理（PAM）、媒体消毒、人事安全、证书管理以及远程访问等方面，成为企业抵御网络攻击、保护信息资产的关键措施。在此基础上，零信任架构及多层控制策略（如SABSA）构成了更加严密的安全防护体系。

1.3安全管理的关键要素

身份管理（IAM）：IAM系统是安全的基石，控制并管理用户在网络中的身份和权限。然而，这也是攻击者主要的攻击目标，企业需要保持IAM系统的持续监控和更新，以防止恶意访问。
访问控制：确保用户仅能访问与其权限相符的系统资源，并且配置规则和定期审核访问权限是企业安全的核心步骤。
特权管理（PAM）：PAM系统允许用户在需要时申请特权，以执行特定任务，避免用户在日常操作中拥有过多权限，降低权限滥用风险。
媒体消毒：在数据或硬件达到其生命周期的终点时，需确保对其进行彻底清理和销毁，防止数据泄露。
人事安全：对员工的背景审查和离职处理等程序，旨在防止内部人员威胁，是广泛接受的企业安全措施之一。
证书管理：维持企业公钥基础设施（PKI）的完整性，以确保证书的安全性和有效性。
远程访问安全：后疫情时代，远程访问成为了安全管理的重点，企业需要加强对VPN和远程访问工具的安全控制。

2 零信任网络：现代网络安全理念

2.1 零信任网络理念

零信任的概念源自谷歌在2010年受到的“极光行动”攻击后，旨在假设内部网络可能已遭受破坏，避免对任何用户或设备的默认信任。这种理念后来被NIST（国家标准与技术研究院）确立为安全标准，并逐步应用于政府机构及企业的网络安全体系。

2.2 零信任的四个关键特征：

即时访问（Just-In-Time Access, JITA）：用户或服务仅在需要时才获得访问权限，且权限具有时效性。
最小权限（Least Privilege Access, LPA）：用户或服务仅获得完成任务所需的最小权限，降低安全风险。
动态访问策略：根据用户身份、设备状态、地理位置和时间等因素动态调整权限，适应变化的安全环境。
微观分割：将网络划分为多个小型隔离区，限制攻击者在网络内的横向移动。

2.3 安全基础设施

数据备份和恢复：数据备份在灾难或攻击事件中提供恢复业务的关键手段。
变更管理：确保系统的变更过程与安全策略相关联，制定变更的详细计划和回滚方案。
物理环境管理：包括物理访问控制、机房监控等，保障数据中心的物理安全。

2.4 事件响应机制

零信任网络中，事件响应是不可或缺的部分。主要包括以下阶段：

准备阶段：通过培训和演练提升应急响应能力。
响应阶段：识别和调查安全事件，并迅速采取措施。
后续阶段：事件后总结经验教训，改进安全流程。

2.5 SABSA多层控制策略

SABSA框架通过多层次控制（如威慑、预防、检测、遏制、通知和恢复）来强化网络安全。

2.6 NIST事件管理指南

NIST 800-61 提供标准化的事件响应方法，分为检测分析、遏制根除、恢复及后续活动阶段。此外，PDCA（计划-执行-检查-行动）循环广泛应用于事件响应中的优化和持续改进。

3 应急响应准备

在构建全面的应急响应体系时，我们需要从多个维度进行准备，包括但不限于风险评估、威胁分析、人员、流程和技术配置，以及持续的控制和成熟度评估。

3.1 风险评估与威胁分析

风险评估：深入了解组织的技术资产、系统和数据，并明确它们对业务的重要性，从而确定关键保护对象。
威胁分析：通过策略、技术和实践来识别潜在的风险点，并据此制定和实施相应的控制措施。

3.2 人员、流程和技术

建立团队：组建专业的应急响应团队，明确各成员的角色和责任。
配备工具：为团队提供必要的应急响应工具和设备，如日志分析工具、网络扫描器等。
制定流程剧本：针对不同类型的安全事件，制定详细的应急响应流程和剧本。
演练：定期进行应急响应演练，以提升团队的实战能力和协同效率。

3.3 控制

响应手册：编制应急响应手册，明确在不同安全事件发生时应执行的标准操作程序。
事前流程规避：通过制定和执行严格的安全政策和流程，尽可能减少安全事件的发生。
事中数据支持：在事件发生时，提供必要的数据支持和分析工具，帮助团队快速定位问题。
事后备份恢复：确保有可靠的数据备份和恢复机制，以便在事件发生后能够迅速恢复业务。

3.4 成熟度评估

CREST成熟度评估工具：利用CREST提供的成熟度评估工具，对组织的应急响应能力进行持续评估和改进。
流程培训+实践技能培训：结合理论培训和实践技能培训，提升团队的整体应急响应水平。

3.5 应急响应手册概述

该手册详细规定了在不同安全事件发生时应执行的标准操作程序，涵盖了扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。

3.6 演练与沟通

演练：通过红蓝对抗等模拟真实攻击场景的方式，锻炼团队的应急响应能力，并验证应急计划的有效性。
沟通：在应急响应过程中，及时、充分、准确的信息沟通至关重要。沟通对象包括内部员工、外部合作伙伴、客户、媒体和政府等。

3.7 事件检测与响应

事件上报：一旦发现安全事件，立即进行上报。
系统监控与检查日志告警：利用系统监控工具和日志分析技术，及时发现并响应安全事件。
确定事件级别：根据事件的严重程度和影响范围，确定事件的级别。
调查事件：对事件进行深入调查，包括溯源取证等。
采取遏制措施：根据调查结果，采取必要的遏制措施，防止事件进一步扩大。

3.8 报告与总结

编写应急响应报告：详细记录事件的经过、处理过程和结果，以及后续的调查计划和改进建议。
经验总结与改进建议：对事件处理过程中的经验和教训进行总结，并提出针对性的改进建议。

4 入侵检测与防御

入侵检测与防御技术在现代网络安全中至关重要，通过实时流量监控、告警生成和流量阻断等手段，帮助网络管理员识别并阻止潜在的网络威胁。本文将介绍如何利用Snort等入侵检测系统（IDS）和入侵防御系统（IPS）进行流量分析、规则配置和In Line部署，以实现高效的网络防护。

4.1 Snort简介：实时流量监控与分析

Snort作为一种知名的开源入侵检测与防御系统，能够对网络流量进行实时监控和分析。通过部署Snort，网络管理员可以实时识别和阻止各种网络威胁，保障网络的安全性和稳定性。

流量分析：利用流量分析技术，识别恶意流量，及时触发告警并采取阻断措施。
IDS与IPS：根据需求选择带外监视（IDS）或串联部署（IPS），实现灵活的入侵检测与防御方案。

4.2 安装依赖包与配置Snort

在部署Snort之前，需要安装相关依赖以确保系统的流畅运行。

安装DAQ数据采集库：为Snort提供必要的数据采集支持。
安装内存分配器：确保Snort在运行过程中有足够的内存资源。
安装并配置Snort3：根据实际需求安装Snort3，并进行规则自定义配置。

4.3 Snort规则配置

在网络安全监控中，Snort规则的定义至关重要。规则描述了如何检测和处理网络流量，并触发相应的告警。下面是一些关键字段的详细介绍。

4.3.1 Snort规则配置字段

alert：告警规则，匹配流量后生成告警。例如：alert icmp any any -> $HOME_NET any (msg:"Test Ping Event"; ...)
icmp/tcp/udp：指定要监控的协议类型（如ICMP、TCP、UDP）。例如：alert icmp ... 或 alert tcp ...
any：用于表示任意IP地址或端口。例如：any any（任意源IP和端口）
< >（方向运算符）：指定流量的方向，如->表示从源到目标。例如：-> 表示从源到目标的流量。
$HOME_NET：Snort配置中定义的本地网络。例如：$HOME_NET 替代具体的IP范围。
msg：告警的描述性名称。例如：msg"Test Ping Event"
sid：规则的唯一签名ID。例如：sid:1000001
rev：规则的版本号。例如：rev:1
classtype：告警的分类类型。例如：classtype:icmp-event
content：用于在流量中查找特定内容。例如：content:"Login incorrect"

4.3.2 本地账号与Snort条件子句

Snort支持通过条件子句监控本地账号活动，例如登录失败尝试。当条件满足时，将触发告警或执行相应操作。

示例：检查失败的Telnet登录尝试

alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)

alert tcp：TCP协议告警。
$HOME_NET 23：本地网络，端口23（Telnet）。
-> any any：流量目标为任意IP和端口。
msg：告警名称为“Failed login attempt”。
content：流量中需包含“Login incorrect”字符串。
sid：规则的唯一ID。
rev：规则版本号。
classtype：告警分类。

4.4 外部规则集

Snort支持使用外部规则集来丰富检测规则，例如：

Proofpoint：提供多种网络安全规则。
Emerging Threats：覆盖新兴威胁的规则集，帮助管理员应对最新的攻击。

4.5 In Line部署与阻断操作

在In Line部署模式下，Snort直接处理网络流量，实现实时监控和阻断。
阻断操作：

D drop：丢弃符合特定条件的流量。
sdrop：类似于D drop。
reject：拒绝流量并返回拒绝响应给源端。

4.6 总结

通过Snort的规则配置、外部规则集的支持以及In Line部署和阻断操作，管理员能够实现全面的网络监控与防护。深入理解Snort的配置字段和条件子句，可以帮助管理员根据网络需求灵活调整规则，确保网络的安全性和稳定性。