组织部署
设置作战指挥部
负责组织、指挥和考核全XXX整体 HW 保障工作,组织重大网络攻击事件的应急处置,对接国家 HW 组织部门,协调公司集团上下整体的防御工作。
设置小组
作战指挥部下设七个工作小组,分别为监测预警组、应急处置组、溯源分析组、业务组、情报协调组、技术专家组、保障组
1)监测预警组
安全监控人员负责分区域实时监控防火墙、WAF、XX系统、XX态势感知平
台等各类安全设备,报送安全告警并记录;分析研判人员负责对安全告警进行分
析验证,结合受攻击资产重要程度与攻击链阶段确定事件级别及影响范围,报送
至处置溯源组。
2)应急处置组
负责对报送的告警信息、异常行为数据进行汇总、整理、分析,对已发生的
安全事件在第一时间进行处置,对相关系统进行隔离(或断网),及时切断攻击
链条并让损害降到最低,形成事件处置报告然后报送至溯源分析组。
3)溯源分析组
负责在应急事件启动后迅速按照安全预案内容,根据事件处置报告,开展全
面排查,追溯攻击路径,联合相关单位进行取证、处置及恢复,最终形成防守成
果报告并报送至技术专家组。
4)业务组
负责定期巡检重要业务系统的运行情况并形成业务巡检报告,包括系统登录
是否正常、运行日志是否正常等;协助处置、溯源组进行相关应急处置操作及有
风险操作的授权确认等工作;及时修复发现的安全漏洞。
5)情报协调组(前线指挥部)
负责收集、整理内外部威胁情报、攻击情报,并在XXX范围内进行情报共
享;接收、汇总各二级单位的防守成果报告并报送至技术专家组;响应各二级单
位的安全事件协同处置请求并协调相关资源;监督各级安全事件的闭合情况并及
时向前线指挥部上报重要安全事件的处置进度。
6)技术专家组(前线指挥部)
由专职安全人员和临时业务骨干组成,负责对存在较大风险或无头绪事件处
置进行综合分析与研判,每日针对公司攻防整体态势,结合内外部攻击情报进行
综合研判,形成当日工作建议和明日工作重点,辅助指挥部针对性配置防守资源。
7)保障组由保障人员组成,负责提供各项后勤保障。
应急处置机制
对于监测预警组报送的安全事件告警信息,由应急处置组安排处置人员跟进事件进行处置。针对不同类型安全事件,严格按照应急预案中处置流程执行,涉及敏感操作须向当班组长沟通请示,并再得到业务组评估确认后实施。涉及中断业务等较大风险操作,须同时上报前线指挥部,再收到明确授权后实施。
针对漏洞利用攻击事件,由应急处置组联系相关业务组人员开展溯源分析,进行漏洞排查,明确根因,并指导开展漏洞修复工作;针对主机失陷事件,由处置组联系业务组沟通确认网络隔离影响,由现场网络处置人员实施,并将受控系统取 消外网发布或将其所在网段与其他网络进行网络逻辑隔离。
针对内网渗透事件, 经技术专家组评估情节严重的,须上报前线指挥部,同时由现场网络处置人员实施网络断开等特殊处置方式。
前期加固
外部信息梳理
互联网侧资产,WEB,API,微信小程序等或公司网段内错误对外开放的WEB服务等信息,对收集到的IP及其端口信息进行全端口扫描测确保暴露点的安全性能和可控性。
以web服务为资产单位进行资产发现,通过内部资产发现工具结合人工分析发现端口、web服务器、开发语言、部分前置WAF信息、web服务情况等,支持Struts2、elasticsearch、Jira等常见开源应用的识别和 Tomcat、JBoss、Weblogic等应用服务器的识别。
内部资产梳理
以主机为资产单位进行资产发现,通过内网资产发现工具结合人工分析进行扫描,发现新增资产、资产变更、新增端口、端口变更等信息,识别操作系统、IP地址、域名等信息,可输出资产信息报告。
对现网运行的服务器、终端、网络设备、安全设备、网站及应用系统进行漏洞扫描,加固已知的安全漏洞。
协助梳理客户方内部联网的IT资产,充分了解内部资产的风险,并进行必要的整改。
漏洞扫描与整改
对互联网的指定的业务系统进行WEB应用渗透测试,发现WEB业务系统存在的安全隐患和漏洞,并给出对应的整改建议。
利用漏洞扫描器和手工测试的方式对内外网环境进行漏洞扫描,并进行人工验证,出具漏洞扫描报告及分析,对所报的漏洞进行定级,出具漏洞整改建议及方案,协助相关方进行漏洞跟踪及修复。范围包括主机漏洞、web漏洞、网络设备漏洞等。
漏洞复测与准备
应用风险自查:重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查;
漏洞扫描和渗透测试:对应用系统、操作系统、数据库、中间件等进行检测;
安全基线检查:对网络设备(路由器、交换机等)、服务器(操作系统、数据库、中间件等)做安全基线检查;
安全策略检查:对安全设备(WAF、防火墙、IDS等)做安全策略检查。
溯源反制方案
反制团队建设:安全溯源反制工作是信息安全本质的体现,是一个高度依赖攻防两端人员能力的较量,为了不断提升客户安全溯源反制能力,客户需要不断的构建和完善客户的溯源反制团队,这将是一个长期的过程,不是一次投入就可以解决,需要客户在下面两个方面完善和建设团队。
反制工具及环境建设:为了做到安全的反制,客户需要在现有的办公网络中单独建设一个反制环境网络,并对其做好相对的隔离措施,保证对客户现有的业务影响做到最小化。同时,如果从互联网测可以建设多个VPS来保护攻击IP,这样可以降低客户的溯源反制风险。同时要在客户方面建设一些便要的工具,包括但不限于:
定制蜜罐环境,MSF,Cobalt Strike,冰蝎,哥斯拉,IDA
反制服务:为了快速的建设安全溯源反制团队,借助外部的培训,对客户现有的人员进行培训后在选拔出几名人员形成客户的安全溯源反制工作组。同时,客户也可以提供专业的攻击队协助客户完成溯源反制工作。
前期演练
实施模拟顶级黑客的红队评估,针对人员、软件和设备同时执行的多混合、基于对抗性的攻击模拟,以此来发现技术、人员和基础架构中的漏洞
钓鱼演练
加强员工的安全意识培训,可以适应性的加入钓鱼演练作为前期演练的一个子项目
强弱口令排查
口令回收机制,对不具备权限的相关人员进行越权的口令回收,如堡垒机,相关网络测试,加固时候提供的密码,需要统一并且及时修改,所有关键信息系统文件或网络拓扑图应隔离网络存放,常用系统密码可纸质化保存。
联系方式
WeChat:ZXZpbF9SemtpZA==