网络七层杀伤链

news/2024/12/24 1:44:17 标签: 安全

声明!

学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

一、企业技术和信息团队管理架构

  1. 高层管理
    • CIO(首席信息官):主导企业信息系统战略规划、管理与优化,保障信息技术与企业战略契合。
    • CTO(首席技术官):把控运营技术整体方向,涵盖技术创新、研发及选型等事务。
  2. IT 管理
    • 中央系统:集中管控企业内软件、硬件及数据等 IT 资源。
    • 自带设备(BYOD):员工自带移动设备接入企业网络时,需制定对应安全策略与管理规定。
    • 影子 IT:员工私自搭建小网络或使用未经授权的 IT 设备和软件,会增加企业安全风险,需加以管控。
  3. 中央技术团队
    • 客户服务团队:负责提供工作站、笔记本维护及服务台支持等技术服务。
    • 基础设施团队:承担网络、服务器机群的规划、部署与维护工作。
    • 数据库管理团队:专注数据库存储、备份恢复,确保数据完整性与安全性。
    • 技术团队:受项目驱动,负责采购系统、维护及依据信息技术基础设施库(ITIL)开展日常操作管理、建立运营团队。
  4. 安全部门:由 CISO(首席信息安全官)领导,负责企业整体信息安全策略、规划与管理,需向 CIO、CTO、CFO(首席财务官)和 CRO(首席风险官)汇报,保障信息安全与企业多方面战略协调一致。

二、典型企业网络分区及相关要点

  1. 网络分区
    • DMZ(非军事区):起到隔离内外部系统作用,为内外交互提供安全访问通道。
    • 蜜罐:用于引诱和分析入侵者,收集攻击信息及行为模式。
    • 代理:对外提供有限服务,防护内部网络免遭外部攻击。
    • VPN:保障员工与合作商远程访问内网的安全性与保密性。
    • 核心网络:通常采用物理分离与冗余设计,确保网络稳定可靠。
    • 内部网络:涵盖有线、无线及 VPN 接入方式,实现全面网络覆盖与接入服务。
    • 安管区:负责管理日志、告警及事件,实时监控安全状况并及时响应。
  2. 边界变化情况:随着云计算和 SaaS 服务普及,传统网络结构改变,在云部署基础架构或使用 SaaS 服务增多,涉及身份凭据同步、SSO(单点登录)等需求,且部分云服务会关联本地硬件,数据管理也跨内部和外部服务,工作负载可跨混合环境共享以优化资源配置。

三、外部攻击面相关应对措施

  1. 节点管理:收集开源情报后绘制网络节点图,关闭无用节点以缩小攻击面。
  2. 网络扫描与探测
    • 运用 nmap 等工具进行网络扫描,如 “nmap -Sn<subnet>/24” 可发现活跃主机,“nmap -PS -sV ip-address” 能探测目标主机开放服务及版本信息。
    • 关注开启 SSH 服务的未加固设备并及时加固修复。
  3. 漏洞检测与应对
    • 使用漏扫软件(如 Nessus 等)验证漏洞存在情况并修复。
    • 借助 searchsploit 等工具搜索对应漏洞利用脚本,助力安全团队掌握潜在威胁并应对。

四、身份管理相关内容

  1. 识别不同环境典型应用
    • Windows 环境:常见应用如 Microsoft Exchange、SharePoint、Active Directory,可用网络扫描工具(如 “sudo nmap -PS -sV somesystem.com”)探测开放服务与端口来识别。
    • Linux 环境:OpenSSH 用于远程登录管理,Samba 用于文件和打印共享,同样可借助网络扫描工具识别。
    • WEB 服务:可用 whatweb 等工具识别其类型、版本及配置信息。
    • 客户端设备:内网中客户端设备身份管理重要,需定期扫描识别,确保符合安全策略。
  2. 身份和访问管理要点:基本工作站和服务器维护自身身份存储,普通用户执行系统级配置管理命令需 sudo 权限或管理员身份,保障系统安全性。
  3. 目录服务:LDAP(轻量级目录访问协议)广泛应用于 AD(Active Directory)和 OpenLDAP 等目录服务,通过域集中管理实现资源集中存储与管理以及组策略应用更新。

五、企业数据存储相关内容

  1. 常见存储方案
    • SAN(存储区域网络):由高速网络连接多个存储设备,提供高性能数据存储与访问能力。
    • NAS(网络附加存储):单个设备含大量存储,通过本地网络供服务器和工作站访问。
    • 还可使用串行局域网(SoL)协议基于 HTTPS 传输串行数据,提升传输安全性与可靠性。
  2. 虚拟化平台:如 VMware 的 vSphere 和 vCenter、Proxmox 等,可实现资源动态分配与优化利用,增强系统灵活性与可扩展性。
  3. 数据湖相关
    • 常见解决方案:包括 Hadoop 等本地方案,以及 Cloudera、Google BigQuery 等基于云的大数据解决方案,围绕其有完整技术生态提供数据摄取和分析服务,但存在如 Hadoop 的 YARN 服务配置错误等安全风险,需加强安全管理与监控。
  4. 企业数据库:涵盖常见 SQL 数据库(如 Oracle SQL、Microsoft SQL Server、MySQL 等)、嵌入式 SQL 数据库(如 Mar iaDB、PostgreSQL、SQLite 等)以及非 SQL 数据库(如 MongoDB、Redis、Azure CosmosDB、AWS DynamoDB 等),满足多样化数据存储与查询需求。
  5. 传统存储形式:共享驱动器可通过网络协议(如 SMB/CIFS)实现资源共享,可用 smbclient 命令行工具操作,如列出共享资源、下载文件等,Windows 系统还有默认共享资源用于系统管理维护。

六、SOC 管理流程相关内容

  1. 相关标准与框架:ISO27001 标准提供审计认证框架,NIST 网络安全框架侧重预防应对网络攻击,信息安全生命周期含不同阶段(如戴明环的计划、做、检查、行动,SABSA 框架的战略规划、设计、实施、管理测量等),各企业建立 SOC 的组织方法因情况而异。
  2. SOC 层级及任务
    • L1:负责监视告警、分类及解决小问题。
    • L2:承担日常事件分析、遏制与解决工作。
    • L3:聚焦损失控制、深入调查及取证分析等事件响应事务。
    • L4:负责日常非事件相关程序,如账户开设、访问授权审查、定期安全报告等主动安全程序。

七、网络杀伤链模型

描述网络攻击的七个阶段,依次为侦察(收集目标相关信息)、武器化(将恶意软件制作为可利用漏洞的 “武器”)、投送(将恶意软件投送至目标)、利用(利用漏洞获取目标初步访问控制权)、安装(在目标安装更多恶意组件)、指挥与控制(建立远程操控连接)、行动(执行恶意活动达成攻击目的)。

八、日志收集与分析相关内容

  1. 日志收集:关键日志来源众多,涵盖各类服务器、网络设备及应用程序服务器等,Windows 系统用事件日志机制收集转发,Linux 系统常用 syslog 收集聚合并转发到日志收集器,且随着物联网发展,楼宇管理和工控网络日志也成为重要来源。
  2. 日志搜索与分析:利用 Splunk 等日志管理工具及 SIEM 系统,实现日志收集、存储、搜索、分析及可视化,关联日志与活动来识别可疑内容,及时发现安全威胁。

九、监控告警

通常是深信服,奇安信,360等产品进行(具体信息参考各大厂商,可推测其与基于上述收集分析的日志等信息,对网络安全状况进行实时监控,在发现异常时发出告警相关,以保障企业网络安全环境)。


http://www.niftyadmin.cn/n/5797206.html

相关文章

Linux SHELL脚本中的变量与运算

一.SHELL脚本中的变量 1.1.什么是变量 在编写程序时&#xff0c;通常会遇到被操作对象不固定的情况 我们需要用一串固定的字符来表示不固定的值这就是变量存在的根本意义 变量的实现原理就是内存存储单元的一个符号名称 1.2.变量的命名规则 变量的名称中只能包含数字、大…

QT_Demo(1)之实现多线程实现简单的电脑摄像头视频流开关

QT_Demo&#xff08;1&#xff09;之实现多线程实现简单的电脑摄像头视频流开关 使用qt中的多线程进行功能控制&#xff1a;继承QThread直接通过代码进行UI搭建简单示例使用信号与槽 1. 功能介绍 首先想搭一个界面可以交互&#xff0c;从而实现手动开关笔记本摄像头的目的 想…

C#经典算法面试题

网络上收集的一些C#经典算法面试题&#xff0c;分享给大家 # 递归算法 ## C#递归算法计算阶乘的方法 > 一个正整数的阶乘&#xff08;factorial&#xff09;是所有小于及等于该数的正整数的积&#xff0c;并且0的阶乘为1。自然数n的阶乘写作n!。1808年&#xff0c;基斯顿…

MySQL InnoDB 存储引擎详解

InnoDB 是 MySQL 中最常用、最强大的存储引擎之一&#xff0c;其支持事务、外键、行级锁等特性&#xff0c;非常适合对可靠性、并发性要求较高的场景。本文将详细解析 InnoDB 的核心特性、内部机制以及使用场景&#xff0c;帮助你更好地理解和优化 MySQL 数据库。 1. 为什么选择…

【C#】WebSoket 演示(使用websocket-sharp库)

Example 3服务器 Example1 客户端 示例3 此源代码片段包含了如何使用WebSocketSharp库来创建一个HTTP服务器&#xff0c;并提供WebSocket服务。 分析整个代码&#xff0c;我们可以归纳出以下关键信息&#xff1a; 导入了一系列重要的命名空间&#xff0c;包括系统配置、加密库…

【数据安全】如何保证其安全

数据安全风险 数字经济时代&#xff0c;数据已成为重要的生产要素。智慧城市、智慧政务的建设&#xff0c;正以数据为核心&#xff0c;推动城市管理的智能化和公共服务的优化。然而&#xff0c;公共数据开放共享与隐私保护之间的矛盾日益凸显&#xff0c;如何在确保数据安全的…

HTTPS如何通过CA证书实现安全通信,以及HTTPS的局限性

关键概念&#xff1a; HTTPS&#xff1a; 超文本传输安全协议&#xff0c;是HTTP的安全版本&#xff0c;通过SSL/TLS协议对数据进行加密&#xff0c;提供身份验证、数据加密和数据完整性。CA&#xff08;证书颁发机构&#xff09;&#xff1a; 受信任的第三方机构&#xff0c;…

类OCSP靶场-Kioptrix系列-Kioptrix Level 5(2014)

一、前情提要 二、实战打靶 1. 信息收集 1.1. 主机发现 1.2. 端口扫描 1.3.目录遍历 1.4. 敏感信息 2.漏洞发现 2.1. 任意文件访问 2.2. web服务8080端口访问限制绕过 2.3. 远程命令执行 2.4. webshell进行getshell 2.5. 提权 一、前情提要 kali黑客-利用searchsp…