从企业纵深防御体系认知工作小事《一》
2021-07-13 17:45:55 Author: www.freebuf.com(查看原文) 阅读量:62 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

当我还是个孩子的时候,一群大佬就在一些论坛、峰会上,说着一整串摸不着头脑的词汇:APT、纵深防御、零信任、水坑攻击、木桶理论、stride模型、PDCA戴明环。。。那时候头脑中就在想,我与大佬之间的差距就像萨克雷于老科,就只够递毛巾的,yyds。

社会的毒打,于菜鸡来说就是最好的成长。也是在不断的毒打过程中,小菜鸡终于成为一个老菜鸡了。好了,闲话不说了,下面开始举例阐述正题:我所理解的企业纵深防御体系,在日常安全工作中的价值体现。

开放过多端口

收集信息

检测操作系统类型、开放端口

1625109366_60dd337615b51822846ac.png!small?1625109409819

常见端口对应的服务

序号

端口

服务

1

80

http

2

135/139/445

smb

3

3306

mysql

4

3389

rdp

检测存在的漏洞1625109386_60dd338a5ad9ea557406c.png!small?1625109430076

漏洞利用

系统漏洞层面

进一步用检测工具测试,是否存在ms17-010永恒之蓝漏洞。

1625109406_60dd339e4aca8d5f1bea8.png!small?1625109450196

1625109420_60dd33ac24d463ba97911.png!small?1625109463985

直接拿到Win7的Shell,之后便可以通过Shell对目标靶机进行控制。1625109434_60dd33ba5475fd494e7f4.png!small?1625109477904

新建账号test,密码test,添加至管理员组。1625109442_60dd33c253f747675cdef.png!small?1625109486062

kali 远程桌面连接Win7

1625109458_60dd33d2a5bf558f6d0d7.png!small?1625109502582

1625109474_60dd33e2982e08363d6db.png!small?1625109518548

1625109493_60dd33f50bf1d80a8e555.png!small?1625109536761

弱口令层面

1625109502_60dd33fe0c8f138013031.png!small?1625109545936

如何防御?

网络流量层面,IPS针对特定特征予以阻断。

类似网络防火墙,仅允许白名单机器:168.98.143机器连接445端口。

1625109520_60dd34102ac78f24e01fc.png!small?16251095638211625109541_60dd34255d431603b7f9e.png!small?1625109585180

1625109549_60dd342d2f7efc7fa840d.png!small?1625109592877

1625109553_60dd3431b25d7a75d7322.png!small?1625109597345

端口无法检测、漏洞无法利用、弱口令无法利用1625109560_60dd34380ccdaef44b4cb.png!small?1625109603706

1625109570_60dd3442089efc1accca9.png!small?1625109613769

1625109621_60dd34751233cd4c4f725.png!small?1625109664645

修复ms17_010漏洞

1625109641_60dd3489b9b09f3309176.png!small?1625109685615

1625109672_60dd34a8d283e59a9c9fb.png!small?1625109716638

通过本地终端防护软件:针对暴力破解和网络入侵防护。1625109672_60dd34a8d39c374729ac5.png!small?1625109716638

禁用smb服务,如不需使用。1625109680_60dd34b0a49e638b2a1f1.png!small?1625109724467

端口无法检测、漏洞无法利用、弱口令无法利用

1625109703_60dd34c7bcdb409466618.png!small?1625109747426

1625109709_60dd34cd4c17fa9b75314.png!small?1625109752853

1625109714_60dd34d263af5f56fecd8.png!small?1625109758437

如何检测?

1、网络流量层面

通过汇聚交换机镜像流量给IDS,监测内网东西向流量,监测内部机器横向移动。

2、系统日志层面

服务器日志记录账号test新增及加入管理员组1625109743_60dd34ef99d569439bc41.png!small?16251097873711625109749_60dd34f58b7cf28d855ff.png!small?1625109793264

仅开放业务端口

收集信息

1、检测开放开放端口

1625109760_60dd3500730b8dd73d93b.png!small?1625109804503

2、检测存在的漏洞

敏感数据明文传输,通过未加密信道发送敏感数据。1625109770_60dd350a29a55503cef8e.png!small?1625109813868

漏洞利用

敏感信息明文传输。1625109779_60dd351377c7f44f189f9.png!small?1625109823079

1625109785_60dd351987a02241af8b6.png!small?1625109829123

如何防御?

进行数据传输时,对用户名和密码信息进行先加密、再使用https传输的模式,可以有效的规避登陆凭证被攻击者截取利用。

上述开放过多端口仅开放业务端口测试场景,仅列举部分可利用的漏洞作为阐述,未覆盖的部分在这里不做详细赘述了。通过现象对比,发现端口暴露过大的危害,为此需要在日常工作中加强专项审计。

加强技术专项审计

①对外高危端口或者服务的暴露;

②未修复高危漏洞的清单;

③弱口令;

④生产环境绕过;

⑤主机层面安全防御。

纵深防御该如何做?

技术要硬、管理上也不能过软;

永远不要把鸡蛋放在一个篮子里,除强调局部强点,有必要还需拉长战线;

对于虚拟或者真实,坚持零信任观点;

收敛攻击面,增加漏洞利用的成本,为业务赢得喘息的时间。


文章来源: https://www.freebuf.com/articles/neopoints/279217.html
如有侵权请联系:admin#unsafe.sh