多域名安全傳輸協議證書的優點:
單張SSL證書可以保護多個不同的域名:如果必須保護多個不同的域名,則必須為每個域名分別購買SSL證書,這是一件非常麻煩的事情,耗時耗力。而多域名SSL證書可以防止這種情況的發生,只要申請一張多域名SSL證書就可以保護2-250個不同的域名,主域或子域都可以的。
節省資源,節約成本:無需進行大量眾多相似證書的研究,而不必再選擇其中幾個證書。最便宜的多域SSL證書最大程度地減少了與多個供應商之間的關系管理麻煩。如果您從單個供應商處購買,您還可以獲得較低的價格。
無需多個續訂提醒,方便管理:用戶必須設置提醒更新SSL證書。否則,SSL證書一旦過期該站點將變得不安全。對于多個SSL證書,將需要設置多個續訂提醒。如果是多域名SSL證書,用戶就不必再承擔多個續訂的麻煩。您可以輕松管理多個域的證書。
企業網絡安全建設穩定階段作用如下:
部署終端安全管控和上網行為管控系統,針對不同的業務部門或崗位職責設置設置不同的安全策略,尤其是掌握高密級數據或核心資料的人員(如財務、高管、運維、人力、開發等)。
采用網絡準入和域控對接入企業內部網絡進行限制,防止非法人員非法接入企業內網進行滲透和數據盜取。
對數據各生命周期(數據采集、數據傳輸、數據處理、數據分析、數據共享、數據銷毀)階段進行安全防護,開展SDLC活動,保證數據安全。
對整體網絡架構和業務系統及數據系統進行優化,設置冗余架構和備份容災系統,包括:電力、網絡線路、服務器、應用系統、數據備份。
考慮安全審計功能,開啟設備或系統本身的審計功能以及部署專門的審計設備,對進出網絡的流量和行為進行審計,保證發生安全事件后能夠溯源追蹤,同時為下一階段做態勢感知、威脅情報和大數據分析提供基礎數據。
關注安全動態,特別是已公布的漏洞、病毒預警等信息,進行驗證和復盤,同時對標企業自身進行檢查和防護。
建立攻防演練平臺,開展紅藍對抗。目的是提高內部人員安全技術能力的同時也提高業務系統的安全性,培養人員和發現安全風險一舉兩得。
制定應急預案,并定期進行應急演練,包括模擬實際業務中斷和沙盤推演或桌面演練。
UDP(用戶數據報協議)是一種無連接協議,當數據包通過UDP發送時,所有的數據包在發送和接收時不需要進行握手驗證。當大量UDP數據包發送給受害系統時,可能會導致帶寬飽和從而使得合法服務無法請求訪問受害系統。遭受DDoS UDP洪泛攻擊時,UDP數據包的目的端口可能是隨機或指定的端口,受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程序在目標端口運行,受害系統將對源IP發出ICMP數據包,表明“目標端口不可達”。某些情況下,攻擊者會偽造源IP地址以隱藏自己,這樣從受害系統返回的數據包不會直接回到僵尸主機,而是被發送到被偽造地址的主機。有時UDP洪泛攻擊也可能影響受害系統周圍的網絡連接,這可能導致受害系統附近的正常系統遇到問題。然而,這取決于網絡體系結構和線速。
ICMP(互聯網控制消息協議)洪水攻擊是通過向未良好設置的路由器發送廣播信息占用系統資源的做法。
死亡之Ping是產生超過IP協議能容忍的數據包數,若系統沒有檢查機制,就會宕機。
每個資料要發送前,該數據包都會經過切割,每個小切割都會記錄位移的信息,以便重組,但此攻擊模式就是捏造位移信息,造成重組時發生問題,造成錯誤。
安全風險評估的因素有以下三個:
基線:如果組織的商業運作不是很復雜,并且組織對信息處理和網絡的依賴程度不是很高,或者組織信息系統多采用普遍且標準化的模式,基線風險評估(Baseline Risk Assessment)就可以直接而簡單地實現基本的安全水平,并且滿足組織及其商業環境的所有要求。
詳細:詳細風險評估要求對資產進行詳細識別和評價,對可能引起風險的威脅和弱點水平進行評估,根據風險評估的結果來識別和選擇安全措施。這種評估途徑集中體現了風險管理的思想,即識別資產的風險并將風險降低到可接受的水平,以此證明管理者所采用的安全控制措施是恰當的。
組合:基線風險評估耗費資源少、周期短、操作簡單,但不夠準確,適合一般環境的評估;詳細風險評估準確而細致,但耗費資源較多,適合嚴格限定邊界的較小范圍內的評估。基于在實踐當中,組織多是采用二者結合的組合評估方式。
未經請求的RAT一般通過如下兩個方法進入系統:
上述辦法可以在自己搭建的環境下測試,請不要非法破壞否則后果自負。
使用CS生成Shellcode
單擊“Attacks”菜單,單擊其中的“Packages”選項,再單擊“Payload Generator”選項。在輸出格式內選擇“C”,單擊生成之后,復制即可,輸出C格式。我們需要通過腳本對CS生成的Shellcode進行分段處理,然后再進行免殺,最后使用Visual Studio 2017進行編譯生成即可。
配合Veil進行免殺
在Cobalt Strike內自帶生成Veil格式的Shellcode,可以通過Cobalt Strike工具制作Veil格式的免殺木馬。
選擇Payload的方法都是一樣,在“Packages”選項的“Payload Generator”選項中選擇格式,生成Payload,輸出格式選擇Veil格式,單擊生成的Shellcode代碼,生成Payload后,打開Veil工具進行免殺處理。首先選擇Payload,這里使用的是“python/shellcode_inject/aes_encrypt.py”。打開Veil工具,進入Veil-Evasion,再選中Payload即可。
捆綁免殺
Cobalt Strike內有捆綁的功能,當然如果僅用這個功能進行免殺則效果一般。捆綁功能在“Package”選項的“Windows Dropper”選項中,有以下幾個選項:
Listener:監聽器。
Embedded File:正常的程序。
File Name:捆綁之后的名字。
單擊“Generate”生成即可,生成的“pythontest.exe”為帶有惡意木馬的程序,捆綁生成后選擇路徑。
網絡安全劃分安全域的方法有:
按照業務系統來劃分:這種方法依據業務系統的分類來區分支持不同業務系統的網絡區域,從而把網絡劃分成不同的網絡安全域。如承載辦公系統的辦公網、生產系統的生產網、管理系統的管理網等等。這種劃分方法自然簡單,對現有系統改動最小,最容易實施。但由于類似的業務系統都面對相同的安全威脅,需要采用同樣的防護手段,防護復雜而且技術投人必然重復,增加了網絡安全系統的建設成本。
按照防護等級來劃分:這種方法依據網絡中信息資產的價值劃分不同的防護等級,相同等級構成相同的網絡安全域。這種劃分方法中每個等級的安全域的安全防護要求是一致的,防護手段是統一的,不同等級的安全域采用不同的安全手段,有效地減少了重復投資,同時也體現了安全縱深防御的思想。但是由于按安全等級形成的網絡區域與按業務特性形成的網絡區域有較大的差別,對已有系統重新調整整合的難度會很大,可能會影響業務系統的正常運營和性能。因此這種方法比較適合新建業務系統的網絡安全區域規劃和劃分。
按照系統行為來劃分:這種方法按照信息系統的不同行為和需求來劃分相應網絡安全域,并根據信息系統的等級和特點選擇相應的防護手段。這種方法由于從業務系統現狀出發,充分考慮了承載業務系統的信息系統的行大和外部威脅,能夠設計出比按業務系統劃分方法更為細致的網絡安全域,同時又可以避免業務系統大規模調整,而且也兼顧到了防護等級,是國際上常見的安全域劃分方法。但由于要對每一個承載業務的信息系統都要進行系統行為的分析,對于信息系統繁多的大型企業,劃分工作量較大,安全區域太細也影響了安全投人的經濟性。盡管如此,按照系統行為劃分安全域的方法仍然是國際上常見的方法。例如美國國家安全局的IATF(信息保障技術框架)就建議采用按系統行為的方法來劃分網絡安全域。IATF據此將每個信息系統劃分為4個安全域:邊界接人域、計算環境域、網絡基礎設施域、支撐設施域。IATF的方法論是基于同構性簡化的方法。同構性簡化是將復雜的環境歸結成一個或者幾個簡單單元的組合。其基本思路是認為一個復雜的網絡應當由一些相通的網絡結構單元拼接、遞歸所組成,而IATF是通過對網絡系統所承載的信息系統的數據處理行為分析出這些單元的。
實施物理安全隔離會產生以下風險:
網絡非法外聯:一旦處于隔離狀態的網絡用戶私自連接互聯網或第三方網絡,則物理隔離安全措施失去保護作用。
U盤擺渡攻擊:網絡攻擊者利用U盤作為內外網絡的擺渡工具,攻擊程序將敏感數據拷貝到盤中,然后由內部人員通過盤泄露。其次,采用這種方式進行數據傳輸也為不法分子進行主動竊密提供了有效途徑。
網絡物理隔離產品安全隱患:網絡隔離產品的安全漏洞,導致DoS/DDoS攻擊,使得網絡物理隔離設備不可用。或者,網絡攻擊者通過構造惡意數據文檔,繞過物理噪離措施,從而導致內部網絡受到攻擊。
針對物理隔離的攻擊新方法:針對網絡物理隔離的竊密技術已經出現,其原理是利用各種手段,將被隔離計算機中的數據轉換為聲波、熱量、電磁波等模擬信號后發射出去,在接收端通過模數轉換復原數據,從而達到竊取信息的目的。
容易產生內部人員攻擊:物理隔離后容易缺乏身份驗證或者授權機制,導致內部人員享有不受限制的訪問權限。無論他們是無意犯錯,還是心懷不滿而故意破壞,造成的結果都與外部敵人帶來的相當(甚至還更多更嚴重)。即使網絡被完全物理隔離,對內部人士威脅都是不免疫的。對這種攻擊方法的唯一防護措施,就是通過不間斷的監控和更好的訪問控制。
漏洞和人為過失:某些情況下,網絡架構或配置上的缺陷,也會創造出可被黑客利用的漏洞。例如,為集成者建立的臨時遠程訪問連接,如果不小心忘了關閉,會造成嚴重的安全風險。另外,需要遠程接入ICS網絡,而又沒有安全接入機制可用的員工,有可能會訴諸“創造性的備選方案”來完成自己的工作。這些計劃外的連接,都可能成為滲漏點,將工業網絡暴露在外。
提升物理隔離技術安全措施有以下這些:
加強人員培養與管理,完善制度法規。嚴格按照國家保密標準中有關物理隔離的具體規定,建設獨立的與外網毫無連接的單位內網,并符合國家相關安全技術標準。采用物理隔離和其他保密技術產品需要經過國家保密部門批準。
安裝智能防護軟件,提升內網的監控能力。利用自動化的安全防護軟件對內網的入侵行為進行預警和監控,用技術手段采取強制阻斷方式,禁止違規外聯行為,來有效確保內網的安全。
嚴格內網軟硬件的使用,降低安全隱患。由于計算機的硬件與軟件設計十分復雜與繁瑣,加之設計技能設計水平的限制,必須對內網中所使用的各類硬件與軟件系統進行嚴格的審查與測試,盡可能將安全漏洞與后門屏蔽在內網之外。
研究內外網共享打印機設備,嚴禁使用帶復印功能的傳真機,嚴禁隨意更換內網計算機的配件。要充分利用身份認證、授權訪問、加密防護等措施,嚴格控制內網計算機的外部接口。
終端統一安全運行支撐能力建設包括以下四種支撐能力平臺:
分級策略管理平臺:建設分級策略管理平臺,將信息世界的企業數字化終端與物理世界的企業員工進行一一對應,并通過物理世界的組織屬性來實現信息世界中數字化終端的有組織管理,從而實現物理世界與信息世界的員工同構管理。
威脅鑒定平臺:建設本地威脅鑒定平臺,將終端威脅情報引入內部網絡,使得企業終端既使無法連通互聯網,也可以相互之間共享威脅情報。
事件調查分析平臺:建設事件調查分析平臺,在不增加終端計算能力,不影響用戶體驗的前提下,實現對可疑樣本的深入分析和安全事件的追蹤調查。
流程化運營操作平臺:建設流程化運營操作平臺,結合規范化的標準操作流程(SOP),實現對當前終端安全整體狀態的準確洞察以及運營工作的高效支撐,并輔助管理者的指揮與決策。
Linux提供了各種賬號,用戶可能不需要,對于不需要的賬號,可采用如下方法處理:
刪除系統上的用戶,使用下面的命令:userdel username;
刪除系統上的組用戶賬號,使用下面的命令:groupdel username;
刪除特權用戶賬號,使用下面的命令:userdel adm、userdel lp、userdel sync等;
如果不用sendmail服務器,就刪除如下幾個賬號:userdel news、userdel uucp、userdel operator、userdel games;
如果不用X Windows服務器,就刪除如下賬號:userdel gopher;
如果不允許匿名FTP,就刪除這個用戶賬號:userdel ftp。
信息系統定級工作應按照“自主定級、專家評審、主管部門審批、公安機關審核”的原則進行。網絡安全等級主要由等級保護對象受到破壞時所侵害的客體和客體造成侵害的程度決定。
第一步: 確定定級對象
第二步:確定受侵害客體
第三步:確定對客體的侵害程度
第四步:確定業務信息安全等級和系統服務安全等級
第五步:初步確定系統安全保護等級
第一級(自主保護級),網絡和信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標準進行保護。
第二級(指導保護級),網絡和信息系統受到破壞后,對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級(監督保護級),網絡和信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級(強制保護級),網絡和信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級(專控保護級),網絡和信息系統受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
MITM攻擊是中間人攻擊的簡稱,是一種“間接”的入侵攻擊,這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間,這臺計算機就稱為“中間人”。簡而言之,所謂的MITM攻擊就是通過攔截正常的網絡通信數據,并進行數據篡改和嗅探,而通信的雙方卻毫不知情。所以很難檢測到這種攻擊,因為它不會直接影響網絡。
中間人最佳的保護措施包括:
黑客獲得執行中間人攻擊最常見的方式之一是通過不安全的連接點,比如公共wifi。因此,用戶小心連接點是非常重要的。應該避免使用公共wifi(如果系統連接到公共網絡,當然不會登錄到任何系統),并使用VPN對網絡連接進行加密。
網絡釣魚攻擊是中間人攻擊的另一個常見入口,最好的網絡釣魚攻擊可能令人非常信服。教育用戶關于這些攻擊以及它們是如何發展的,可以幫助他們發現網絡釣魚攻擊,避免成為受害者。
通過輸入URL而不是點擊鏈接導航到網站是幫助防止釣魚攻擊成功的最佳做法,因為黑客的常用策略是通過將用戶引導到虛假網站或嵌入惡意軟件來啟動中間人攻擊。這樣做可以避免黑客發送一個稍微修改過的鏈接,從而打開攻擊的大門。
當用戶輸入一個網站的URL地址時,他們還應該包括HTTPS,并確保他們訪問的任何網站都具有這種級別的安全性。檢查HTTPS協議可能看起來很簡單,但在共享敏感信息之前,它可以幫助驗證站點的合法性和安全性。
最近幾次中間人攻擊要求用戶通過某些步驟登錄一個實際上非正常登錄過程的網站,盡管他們看起來完全合法。教育用戶關于正常的登錄過程所做的和不需要的事情,可以幫助他們更容易地識別出不尋常的情況。
在安全團隊方面,了解用戶的正常登錄習慣可以幫助更容易地標記任何異常的模式。例如,如果大多數用戶傾向于在工作日登錄,但突然之間在周末的活動激增,這可能令人擔憂,需要進一步的調查。
要求用戶使用多因素身份驗證登錄可以提供另一層保護,防止中間人攻擊,即使黑客設法獲得用戶名/密碼組合,沒有其他的驗證,他們也無法登錄賬戶。(比如通過短信發送的信息。)
這種方法并不是無懈可擊的,因為最近一些處于中間人攻擊已經破解了這種方法,但它確實提供了明顯的保護。
強制用戶在完成安全會話后就退出是一個重要的做法,因為關閉會話將結束從合法和非法來源對它的任何訪問。換句話說,一個會話持續的時間越長,黑客能夠以任何方式訪問它的風險就越大。
最后,一個強大的PKI程序對于驗證用戶(包括人類和機器)之間的連接和加密他們的通信是至關重要的。PKI的最佳實踐方法需要一個高度敏捷的系統,能夠跟上快速增加的身份數量,一致應用安全標準,并定期更新加密密鑰,以避免密鑰泄露等風險。
安全運營技術體系建設中針對功能層需要進行如下管理:
資產管理:資產管理主要包含對主機、應用、終端、網絡設備、安全設備及外設等網絡信息相關的資產管理。主要實現的功能包括支持發現、注冊、標記、梳理和管理等功能。
漏洞管理:漏洞管理主要是指在平臺內設置本地漏洞庫,接收大量的漏洞信息,用于與本地的資產進行匹配、安全事件關聯分析等。主要的功能包括漏洞接收、漏洞審核、漏洞分析、漏洞修復及漏洞驗證等。
基線管理:基線配置模塊支持對基線的監測、整改、驗證的閉環管理,包括網絡設備安全配置基線、安全設備安全配置基線、操作系統安全配置基線、數據庫安全配置基線、中間件安全配置基線、云平臺安全配置基線等。通過信息系統安全基線及基線核查策略庫的構建,可以提升安全事件管理、預案管理、安全監測管理、安全通報管理的安全運行管理能力。隨著業務系統的不斷變化,基線需要核查和更新,基線核查的主要研究內容就是如何通過機器語言,采用高效、智能的識別技術,以實現對網絡資產設備自動化的安全配置檢測和分析,并提供專業的安全配置建議與合規性報表,在提高安全配置檢查的方便性、準確性并節省時間成本的同時,讓安全配置維護工作變得有條不紊且易于操作。
知識庫管理:知識庫為應急處置提供相關資料信息,包含常用命令、小技巧、漏洞分析等內容,以滿足不同場景下對應急處置工具及相關知識的需求,輔助網絡安全事件的取證溯源和快速恢復。
策略管理:策略控制實現對安全告警、安全風險、安全態勢等信息的匯總,并進行關聯分析、智能推理、分析研判和決策,形成安全防護控制策略和業務安全控制策略,基于決策結果進行服務的編排、調度和配置,包括業務安全策略控制和安全防護策略控制。
事件管理:對監測到的安全事件,按照不同安全事件級別進行應急響應處置,可對監測到的攻擊事件進行合并匯總、分析研判等操作;可將攻擊事件與取證應用相關聯,獲取事件相關的取證信息。
安全編排:將客戶不同的系統或一個系統內部不同組件的安全能力通過可編程接口(API)和人工檢查點,按照一定的邏輯關系組合到一起,用以完成某個特定的安全操作,達到安全編排的效果。同時,通過可視化的劇本編輯器自定義編排安全操作的流程來實現自動化執行、人工編排及部分化(混合)編排。
等級保護以下企業要做:
政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等。
金融行業:金融監管機構、各大銀行、證券、保險公司等。
電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等。
能源行業:電力公司、石油公司、煙草公司。
企業單位:大中型企業、央企、上市公司等。
其它有信息系統定級需求的行業與單位。
數據中心機房建設標準如下:
機房要求:機房、走廊等有關地段的土建工程須全部竣工,室內墻壁充分干燥、機房地面負荷:每平方米不小于450kg、機房凈高:2.7米以上、機房主要門的大小應滿足設備的搬運需要,房門鎖和鑰匙齊全、具備通風設備、機房頂棚、墻、門、窗、地面應不脫落,不易起塵,不易積灰,并能防塵砂侵入、要求屋頂不漏水,不掉灰,裝飾材料應用非燃燒材料或難燃材料、各種溝槽采用防潮措施,其邊角應平整,地面與蓋板應縫隙嚴密,照明線與電力管線應盡量采用暗鋪設、機房顏色墻、頂顏色以明朗淡雅為宜,涂料應為無光漆或不含硅化物的油漆、機房地板:水泥地面應鋪設防靜電地板,防靜電地板應經限流電阻及連接線與接地裝置相連,限流電阻的阻值為1MΩ、機房地面平整光潔、電源已接入機房,滿足施工要求、機房內應有地線排,以便設備地線連接;
機房環境要求:環境清潔、無塵,防止任何腐蝕性氣體、廢氣的侵入,機房內不允許水、氣管道通過,空氣調節設備應能滿足設備正常運行的溫度與濕度要求;
防塵要求:直徑大于5微米灰塵的濃度小于3×10粒/m3,灰塵粒子為非導電、非導磁和非腐蝕性;
溫濕度要求:機房內需安裝空調,設備在長期工作條件下,室內溫度要求15℃~30℃,相對濕度要求40%~65%;
噪聲要求:室內噪聲≤70分貝;
防干擾要求:無線電干擾場強,頻率為0.15-500MHz時,應不大于126dBv/m;磁場干擾場強應不大于800A/m (相當于10奧斯特);
空氣要求:機房內無腐蝕性氣體及煙霧,機房內禁止吸煙;
安全要求:施工現場應有性能良好的消防器材、機房內不同電壓的電源插座,應有明顯標志、機房內嚴禁存放易燃、易爆等危險物品、樓板預留孔洞應配有安全蓋板;
地線要求:交流配電系統安全地、設備工作地和總配線架防雷地應采用聯合接地,接地電阻不大于1Ω;
終端設備接地要求: 給計算機終端提供交流電源只需火線與零線 ,計算機終端保護地線不得使 用交流配電系統的保護地線,需與交換機GND相連;
總配線架防雷地線要求:能泄放異常情況引起的過剩電荷,滿足國標對配線架的接地的要求,外線電纜屏蔽層在總配線架處應與防雷地相連;
接地要求:從接地樁到設備上接地螺杠的連接電纜應采用銅芯,盡可能縮短長度、所有的接地連接件應加防腐保護、接地螺杠必須用機械方法加以緊固;
