读红蓝攻防：技术与策略24网络安全上

1. 网络安全

1.1. 保网络基础设施的安全，而做到这一点的第一步就是确保网络的分段与隔离，并且这种做法提供了减少入侵的机制
1.2. 蓝队必须充分了解网络分段的不同方面，从物理到虚拟，再到远程访问
1.3. 即使公司不是完全基于云的，仍然需要考虑在混合场景下与云的连接，这意味着还必须实施安全控制以增强环境的整体安全性，而网络基础设施安全是这一点的前提和基础
2. 深度防御方法

2.1. 深度防御方法背后的总体思想是确保有多层保护，并且每层都有自己的一组安全控制，这种机制最终会延迟攻击并且每层中可用的传感器将提醒是否有情况发生

• 2.1.1. 在任务完全执行之前就打破了攻击杀伤链
  

2.2. 分层深度防御方法

• 2.2.1. 数据
  
  
  
  • 2.2.1.1. 访问控制列表、加密、权限管理
    
  
  
• 2.2.2. 应用
  
  
  
  • 2.2.2.1. 安全开发生命周期、应用程序控制
    
  
  
• 2.2.3. 主机
  
  
  
  • 2.2.3.1. 操作系统强化、身份验证、补丁管理、主机入侵检测系统
    
  
  
• 2.2.4. 网络
  
  
  
  • 2.2.4.1. 网络分段、防火墙、IPSec
    
  
  
• 2.2.5. PPP--人员、策略和程序
  
  
  
  • 2.2.5.1. 安全意识培训、合规、文档
    
  
  

2.3. 可以攻击基础设施和服务、传输中的文件和端点，这意味着你需要在每个可能的情况下增加攻击者的成本

• 2.3.1. 成本包括攻击者为突破不同层而必须进行的投资
  

2.4. 基础设施与服务

• 2.4.1. 攻击者可以通过攻击公司的基础设施和服务来破坏公司的生产力
  
• 2.4.2. 即使在仅限内部部署的场景中仍拥有服务，只不过这些服务由本地IT团队控制
  
• 2.4.3. 存储用户使用的关键数据，如果变得不可用，将直接影响用户的工作效率，这将对组织造成负面的财务影响
  
• 2.4.4. 一旦确定了攻击媒介，就需要添加安全控制来缓解这些漏洞（如通过补丁管理强制合规，通过安全策略、网络隔离、备份保护服务器等）​
  
  
  
  • 2.4.4.1. 所有这些安全控制都是保护层，它们是基础设施和服务领域内的保护层
    
  • 2.4.4.2. 需要为基础设施的不同区域添加其他保护层
    
  
  
• 2.4.5. 如果已经创建了威胁建模并在内部实施了安全控制，那么现在需要重新评估是否包含内部云连接
  
• 2.4.6. 基础设施安全必须降低漏洞数量和严重程度，减少暴露时间，增加攻击难度和成本
  

2.5. 传输中的文件

• 2.5.1. 可以是任何类型的数据，并且这些数据在传输（从一个位置到另一个位置）时通常很容易受到攻击
  
• 2.5.2. 要确保利用加密手段来保护传输中的数据
  
• 2.5.3. 不要认为传输中的文档加密只应该在公共网络中进行，它也应该在内部网络中实现
  
• 2.5.4. 如果需要跨网络传输文档，请确保整个传输路径加密，当数据最终到达目的地时，还要对存储中的静态数据进行加密
  
• 2.5.5. 除了加密之外，还必须添加用于监控和访问控制的其他安全控件
  
• 2.5.6. 在增加不同的保护和检测层，这就是深度防御方法的全部精髓，也就是你需要考虑的保护资产的方式
  
• 2.5.7. 在混合场景中，攻击媒介将发生变化，你应该考虑整个端到端的通信路径，以便识别潜在的威胁和缓解它们的方法
  

2.6. 端点

• 2.6.1. 在规划端点的深度防御时，你需要考虑的不仅仅是计算机
  
  
  
  • 2.6.1.1. 如今，端点实际上是任何可以使用数据的设备
    
  • 2.6.1.2. 应用程序决定了支持的设备，只要与开发团队同步工作，你就应该知道支持哪些设备
    
  • 2.6.1.3. 大多数应用程序将可用于移动设备，也可用于计算机
    
  
  
• 2.6.2. 必须执行威胁建模以发现所有攻击媒介，并相应地规划缓解措施
  
  
  
  • 2.6.2.1. 分离企业和个人数据/应用程序（隔离）
    
  • 2.6.2.2. 使用TPM硬件保护
    
  • 2.6.2.3. 强化操作系统
    
  • 2.6.2.4. 存储加密
    
  
  
• 2.6.3. 端点保护应考虑到企业自有设备和自带设备
  
• 2.6.4. 在端点的另一个重要安全控制是端点检测和响应系统(Endpoint Detection and Response，EDR)
  
  
  
  • 2.6.4.1. 请确保评估市场上现有的EDR，以及哪一个更适合你的组织需求
    
  • 2.6.4.2. HIDS和HIPS对端点保护也很有用，尽管这些技术不应视为EDR系统的替代品
    
  
  

2.7. 微分段

• 2.7.1. 深度防御方法强调了根据潜在访问点划分防御的作用，但它也提出了一种使用微分段划分防御的替代方法
  
• 2.7.2. 另一种实施深度防御的方法是网络微分段
  
  
  
  • 2.7.2.1. 这种方法依靠策略和权限来增加基于资源身份的额外保护层
    
  • 2.7.2.2. 微分段规则不依赖于底层基础设施
    
  • 2.7.2.3. 你不需要在基础架构中添加物理设备来提供微分段，它可以完全基于从低级的基础设施中抽象出来的软件
    
  • 2.7.2.4. 这种方法被零信任网络充分利用
    
  
  

3. 物理网络分段

3.1. 在处理网络分段时，蓝队可能面临的最大挑战之一是准确了解网络中当前实施的内容
3.2. 在大多数情况下，网络会根据需求增长，其安全功能不会随着网络的扩张而被重新审视
3.3. 建立适当物理网络分段的第一步是，根据公司的需求了解资源的逻辑分布

• 3.3.1. 可以为每个部门创建一个虚拟局域网(Virtual Local Area Network，VLAN)，并隔离每个部门的资源
  
  
  
  • 3.3.1.1. 隔离将提高性能和整体安全性
    
  
  
• 3.3.2. 设计的问题在于用户/组和资源之间的关系
  
  
  
  • 3.3.2.1. 多数部门在某个时候都需要访问文件服务器，这意味着这些部门必须跨越VLAN才能访问资源
    
  • 3.3.2.2. 跨VLAN访问需要多个规则、不同的访问条件和更多的维护措施
    

    3.3.2.2.1. 业务目标：使用此方法，你可以创建具有基于共同业务目标的资源的VLAN
    

    3.3.2.2.2. 敏感级别：假设你对资源进行了最新的风险评估，你可以根据风险级别（高、低、中）创建VLAN
    

    3.3.2.2.3. 位置：对于大型组织，有时基于位置组织资源会更好
    

    3.3.2.2.4. 安全区：通常，出于特定目的，此类型的分段与其他类型的分段相结合
    

    
    
  
  

3.4. 具有VLAN功能的工作组交换机

• 3.4.1. 它们连接到将对这些VLAN执行路由控制的中央路由器
  
• 3.4.2. 理想情况下，该交换机将具有可用于限制来自不受信任的2层端口的IP流量的安全功能，这是一种称为端口安全的功能
  
• 3.4.3. 路由器包括访问控制列表，以确保只有授权的流量才能通过这些VLAN
  
• 3.4.4. 跨VLAN的分段是使用不同的方法完成的，只要你规划了当前状态以及未来的扩展方式，这是完全可以实现的
  

3.5. 最佳实践

• 3.5.1. 使用SSH管理你的交换机和路由器
  
• 3.5.2. 限制对管理界面和管理VLAN的访问
  
• 3.5.3. 禁用不使用的端口
  
• 3.5.4. 利用安全功能来防止MAC泛洪攻击，并利用端口级安全来防止攻击
  
• 3.5.5. 确保更新交换机和路由器的固件和操作系统
  
• 3.5.6. 有助于保护物理网络并对其进行分段，但如果你还不知道生产环境中的所有网络，那么使用网络映射工具来发现你的网络可能是有用的
  

3.6. 使用网络映射工具发现你的网络

• 3.6.1. 挑战是了解拓扑和关键路径，以及网络的组织方式
  
• 3.6.2. 方法是，使用可以显示当前网络状态的网络映射工具
  
  
  
  • 3.6.2.1. SolarWinds的Network Topology Mapper
    
  • 3.6.2.2. 当发现你的网络时，请确保记录了它的所有方面，因为你稍后将需要这些文档来正确实施分段
    
  
  

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！