XDR簡單來說就是一個統一的安全事件監測和響應平臺，它自動收集和關聯來自多個專有安全組件的數據，XDR是近年網絡安全行業的熱詞，具體指是企業現有防御無法涵蓋范圍廣泛的威脅攻擊媒介時，所使用的擴展方案。簡而言之，XDR包含至少兩種及以上類型的威脅檢測。因為企業所面臨的威脅可能來自臺式機、Web、SaaS應用程序、云提供商等，所以需要多個檢測功能來保護企業的系統。

XDR通過以下方式提高保護能力：

• 在組件安全產品之間立即共享本地威脅情報，以有效阻止所有組件之間的威脅。此外，在多種不同的檢測方法（例如，網絡和端點）中利用外部獲取的威脅情報。

• 將來自多個組件的微弱信號組合成惡意意圖的更強信號。

• 通過自動關聯和確認警報來減少錯過的警報。

• 集成相關數據以實現更快、更準確的警報分類。

• 通過加權指導提供集中配置和強化功能，以幫助確定活動的優先級。

VM安全威脅如下：

• 虛擬機鏡像文件或自身防護不足：比如在創建虛擬機時，鏡像文件已感染病毒或木馬等，以及虛擬機自身的安全防護措施不當或未啟用，導致虛擬機被黑客入侵。

• 虛擬機被濫用：虛擬機資源被攻擊者利用，即攻擊者通過該虛擬機對外發起攻擊，如DDoS攻擊。攻擊者也可以利用虛擬機發送垃圾郵件或者破解各種密碼等。

• 虛擬化安全策略的動態調整：當虛擬機動態地被創建和遷移時，安全措施卻無法相應地自動創建、自動遷移。另外，隨著虛擬機的動態增加，Hypervisor實現的虛擬安全組策略不能自動調整，無法實現真正的彈性。

• 虛擬機逃逸：攻擊者攻破Hypervisor，獲得宿主機操作系統管理權限，并進而控制宿主機上運行的其他虛擬機。此時，攻擊者還可以利用虛擬機攻擊物理機，或對外發起攻擊。

• 虛擬機間嗅探：同一物理服務器上的虛擬機之間可以不經過防火墻，實現與交換機設備的相互訪問。攻擊者可以利用簡單的數據分組探測器，輕松地讀取虛擬機網絡上所有的明文傳輸信息。

應對VM安全威脅的防護措施如下：

• 快速部署網段：使用現有網絡結構對數據中心快速分段，以在軟件中創建分區，無需重新構建網絡或部署分散的虛擬設備。

• 提供高性能和安全的應用訪問：將企業便捷擴展到分支機構、云和遠程用戶，并將網絡連接與安全性相融合，通過安全訪問服務邊緣（SASE）解決方案，保護分布式用戶和應用免受各個層面的內外部威脅。

• 安全的 Web 應用交付：利用具有智能 Web 應用防火墻（iWAF）的全面應用安全體系來保護易受攻擊的服務器免受 Web 應用的攻擊，并確保提供快速、可擴展的安全應用體驗。

• 防止攻擊橫向移動:使安全控制（包括一流的工作負載保護、入侵檢測和防御，以及 Web 應用防火墻）符合東西向數據中心流量的需求，大幅減少攻擊面。

堡壘機自身安全一般通過在使用單點登錄運維前對使用者的終端做安全合規檢查，或者使用防病毒、及時打補丁和定期對堡壘機進行漏洞掃描都是排查安全隱患、降低安全風險的重要手段。最好的解決辦法還是對進入網絡的數據進行安全過濾，可以在網絡入口處安裝防病毒網關，使用帶有IPS和ids的防火墻設備并詳細配置安全策略對進入內網的數據做檢測。

堡壘機其實是一個運維管理和審計系統，通過運用各種技術手段對運維人員在網絡內操作服務器、系統操作、安全設備、數據庫等行為進行監控和記錄，以保障網絡和數據的安全不受來自外部和內部人員的入侵和操作破壞，及時處理和審計定責。使用堡壘機前后對比如下：

云系統統一接入機制有以下功能：

• 身份的有效管理：統一接入機制支持用戶賬號生命周期管理，用戶身份管理要遵循賬號的生命周期管理，該用戶可以是外部用戶、系統、管理人員。生命周期管理必須包括賬號注冊、角色權限分配、角色權限變更、賬號刪除全過程的管控。賬號注冊、變更等均需有相應的審批過程。可以通過建立用戶組，對用戶進行集中的身份管理，為集中訪問控制、集中授權、集中審計提供便利。

• 密碼及認證管理：該機制需建立統一的認證系統，提高訪問認證的安全性，并對不同級別用戶的密碼進行系統管理，可根據云計算系統的安全策略來統一設定相應的密碼策略，如密碼長度、密碼復雜度等。同時，云系統需支持密碼同步服務和密碼重置服務。

• 訪問授權：系統支持根據身份標識及訪問策略（如角色或訪問控制列表）訪問系統資源。用戶賬號訪問授權精確到自然人，用戶通過賬號進行標識，每個用戶一個賬號，每個賬號只屬于一個人。系統支持集中控制用戶訪問根據用戶、用戶組、用戶級別進行集中授權和分級授權，控制用戶可以執行的操作。

• 審計：云服務提供商提供的云系統根據已定義的訪問策略在企業或機構內對用戶訪問資源合規性進行及時的監控、審計。例如，支持用戶賬號權限的集中審計，用戶賬號集中審計能發現、阻止私設賬號或賬號逾期未收回，利用已經作廢或假冒的賬號進行登錄嘗試，試圖利用合法賬號訪問未經授權的資源等非法行為。

• 身份與訪問管理API：身份管理的功能要支持API的方式來實現，部署API安全受控機制，由云系統安全管理員操作云系統安全監控設備監控系統API訪問受控行為，預防、阻止黑客操控惡意應用進行非法API攻擊。

防止個人信息泄露我們要：

• 盡量在安全級別較高的物理或邏輯區域內處理個人敏感信息。

• 盡量不要在可訪問互聯網的設備上保存或處理個人敏感信息。

• 郵包寄送時選擇可信賴的郵寄公司，并要求回執。

• 個人敏感信息需帶出公司時要防止被盜、丟失。

• 只將個人信息轉移給合法的接受者。

• 電子郵件發送時要加密，并注意不要錯發。

• 避免傳真錯誤發送。

• 紙質資料要用碎紙機銷毀。

• 廢棄的光盤、U盤、電腦等要消磁或徹底破壞。

• 敏感個人信息需加密保存。

• 不使用U盤存儲交互個人敏感信息。

在window操作系統下想要使用linux操作系統：

第一種方式就是使用虛擬機，虛擬機的方式也有很多比如win10自帶的虛擬機hyper-v和一些其他的虛擬機比如VMware。這兩款虛擬機軟件不是單純可以安裝linux操作系統，只要有合適的鏡像就可以安裝不同的操作系統比如OS系統等。

另一種方法叫做子系統方式叫做wsl，它和虛擬機的區別是，虛擬機是一個完整的操作系統，而它是建立在windows上的一個虛擬環境，具體的使用方法可以參考官方文檔。如果你使用Mobaxterm的話，打開該軟件，它會自動識別出你系統里面的wsl，和真實的linux操作系統相比的，區別是，這個遠程連接沒有左側的目錄可視化管理界面。

需要特別注意的是，windows自帶的虛擬方案，不管是hyper-v還是子系統，都和VMware不兼容，二者只能選其一。如果不小心開啟了這倆功能，導致你的VMware不可用，那么就在啟用或關閉Windows功能中關掉下面的兩個服務，就可以正常使用，但是這樣hyper-v和wsl就無法正常使用了。

• 運維人員管理

  通過對運維人員進行新增、修改、注銷等全周期跟進，通過公安key、人臉、聲紋等生物識別技術對運維人員進行身份鑒別，明確來往人員身份。

• 運維終端管理

  對于進行運維操作的管理終端，需安裝“一機兩用”、殺毒軟件等公安網信息要求的相關控件，同時通過軟件程序黑白名單功能，限制惡意軟件、流氓軟件等在終端中安裝和運行。

• 運維工具管理

  遵循最小安裝的原則，通過統一運維軟件下發和軟件程序白名單的管理，僅安裝需要的運維軟件，相關的運維軟件必須經過審核才能入網。

• 一般業務系統 終端準入管控

  根據用戶接入的終端類型、操作系統版本、接入IP、接入時間、軟件安裝情況等條件設置接入訪問策略，不滿足安全監測要求則不允許接入，通過設置特殊策略或臨時策略，滿足在重要時期的特殊要求。

• 重要業務系統 終端準入管控+外聯管控

  禁止使用非法移動存儲介質外設，通過接入和放通、只讀和讀寫權限、單向或雙向拷貝等精細化限制策略，實現細粒度安全管控。

• 數據敏感業務系統終端準入管控+外聯管控+泄密管控

  采用虛擬桌面技術保證數據不落地，運維數據統一集中存放在數據中心端，只將圖像信息通過網絡傳輸到于運維用戶終端，以屏幕水印方式防止拍照、截屏等行為。結合錄屏審計軟件，提供所有桌面操作行為審計。

• 全面審計監測

  提供人員、操作等多個維度審計，保障整個運維過程全程可監測，系統會記錄所有用戶的登錄信息，包括登錄賬號、終端IP地址、MAC地址、終端型號、登錄登出時間等，并全程記錄維護操作流程，對數據、網絡、終端、應用等操作進行審計。對運維人員行為進行實時監測，對于異常行為進行及時提示與告警。

• 智能分析預測

  通過場景化建模分析，如針對數據泄密等場景，可以通過機器學習算法識別機密文件特征，分析文件流轉過程，監測外發文件涉密程度及機密文件相似度。通過對多維用戶行為分析評估，給出綜合的風險評分，并優先關注風險高的用戶，降低安全管理員的運維管理壓力。

網絡應急演練是指用戶組織相關人員，依據有關網絡安全應急預案，開展應對網絡安全事件的活動。通過模擬真實的安全事件呈現單位內部應對應急事件處置過程，檢驗應急響應中各方的協同反應水平和實戰能力、評估應急響應預案的實用性、可行性、可靠性為目的。開展應急演練的原因可以從以下兩個方面分析：

從合規角度出發

《網絡安全法》第 25 條規定：網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

從業務角度出發

如今，政府機關、企事業單位等組織業務運營高度依賴信息化，一旦出現安全事件時，會造成重大經濟損失和社會影響。制定相關單位的應急預案是在發生網絡安全事件時及時快速響應、處置事件的必要手段，而應急演練工作的開展恰恰是檢驗應急預案的合理性、及時性、有效性的實質性檢驗標準。

黑盒測試是在測試過程中把把程序或者網站服務器看作一個不能打開的黑盒子，在完全不考慮程序內部結構和內部特性的情況下，在程序接口進行測試，它只檢查程序功能是否按照需求規格說明書的規定正常使用，程序是否能適當地接收輸入數據而產生正確的輸出信息，或者在完全模擬黑客的情況下對網站服務器進行測試。

滲透測試包括以下這些階段：

• 情報的搜集階段：情報是指目標網絡，服務器，應用程序等的所有信息,如果是黑盒測試，信息搜集階段是最重要的一個階段，一般通過被動掃描或主動掃描兩種技術。

• 威脅建模階段：如果把滲透測試看做一場對抗賽，那么威脅建模就相當于指定策略。

• 漏洞分析階段：漏洞分析階段是從目標網絡中發現漏洞的過程。這個階段我們會根據之前搜集的目標網絡的操作系統，開放端口及服務程序等信息，查找和分析目標網絡中的漏洞。這個階段如果全靠人手工進行，那么會非常累。不過Kali Linux 2提供了大量的網絡和應用漏洞評估工具。不光是網絡的漏洞，還要考慮人的因素長時間研究目標人員的心理，以便對其實施欺騙，從而達到滲透目標。

• 漏洞利用階段：找到目標網絡的漏洞后，就可以對其進行測試了。在漏洞利用階段我們關注的重點是，如果繞過網絡的安全機制來控制目標網絡或訪問目標資源。如果我們在漏洞分析階段順利完成任務，那么我們就可以在此階段準確，順利的進行。漏洞利用階段的滲透測試應該有精確的范圍。這個階段我們主要的目標就是獲取我們之前評估的重要的資產。進行滲透測試時還需要考慮成功的概率和對目標網絡造成的最大破壞。

• 后滲透攻擊階段：后滲透攻擊階段和漏洞利用階段連接十分密切，作為滲透測試人員，必須盡可能地將目標網絡滲透后可能產生的結果模擬出來。

• 報告階段：報告階段是滲透測試最后一個階段。要簡單，直接且盡量避免大量專業術語向客戶匯報測試目標網絡出現的問題，以及可能產生的風險。這份報告應該包括目標網絡最重要的威脅，使用滲透數據產生的表格和圖標，以及對目標網絡存在問題的修復方案，當前安全機制的改進建議等。

對于一個日志審計系統，從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能：

• 日志采集功能：系統能夠通過某種技術手段獲取需要審計的日志信息。對于該功能，關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細致程度）。

• 日志分析功能：是指對于采集上來的信息進行分析、審計。這是日志審計系統的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術可以是基于數據庫的信息查詢和比較；復雜的技術則包括實時關聯分析引擎技術，采用基于規則的審計、基于統計的審計、基于時序的審計，以及基于人工智能的審計算法，等等。

• 日志存儲功能：對于采集到原始信息，以及審計后的信息都要進行保存，備查，并可以作為取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

• 信息展示功能：包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。

滲透測試橫向移動方法有以下這些：

• 遠程定時任務執行方法：這種方式可以通過IPC和計劃任務的缺陷進行移動，可以先與目標主機的IPC進行連接，連接后把命令執行的腳本傳到目標主機(本地copy命令，或者用CS可以直接上傳)，同時創建執行命令腳本的計劃任務，最后刪除IPC連接來進行橫向移動。

• 借助工具方法：一般是借助遠程命令執行工具，在不需要對方主機開啟3389端口只需要對方開啟共享即可在目標主機創建一個遠程服務，然后在跳板機上利用遠程命令構建shell然后即可實現橫向移動。

• 利用WMI方法：WMI是系統上自帶的一系列工具集，但是這個工具集提供了node選項，可以借助135端口上的RPC服務進行遠程訪問，或者執行遠程命令來進行信息收集、探測、反病毒、虛擬機檢測、命令執行、權限持久化、橫向移動等操作。

• 利用哈希傳遞攻擊方法：哈希傳遞攻擊也稱為PTH（Pass The Hash），是一種在內網滲透中很重要的一種橫向移動方法，通過PTH攻擊者可以在不需要知道明文密碼的情況下，利用NTLM Hash和LM HASH直接登錄目標機或者反彈Shell。而且需要注意的是，這里的目標機通常是域控（DC）。

• 票據傳遞攻擊方法：票據傳遞攻擊也成為PTT，之前我們講的PTH是基于NTLM認證的，除了這種認證方法外，還有一種認證方法是基于Kerberos協議的，而PTT就是基于Kerberos協議進行攻擊。除了協議不同外，兩種攻擊方法還有一個不同點那就是所需目標機的權限不同。在滲透測試中，想要成功進行PTH攻擊，必須獲得目標機器的管理權限，而PTT則不需要。

當進行內網橫向移動前，需要對以下可能出現的問題進行預防：

• 預防權限丟失：webshell被發現，網站關站，木馬后門被查殺，主機改為不出網環境等。當遇到這些問題，需要做好應對措施，多方位的做好權限維持。

• 注意安全防御設備：內網防火墻，內網態勢感知，內網流量監控，ids，ips等安全設備都會給橫向攻擊的開展造成很大的麻煩。

• 防止被蜜罐等設備捕捉蹤跡：近年來攻防演練越來越多的防守方啟用蜜罐主機，蜜罐系統，一旦蜜罐捕捉到攻擊行為，并及時發現和處置，會導致權限丟失，前功盡棄。

• 避開運維管理人員工作時間：內網橫向攻擊盡可能與運維管理人員的工作時間錯開，盡量避免長時間登錄administrator用戶，如激活guest用戶登錄。降低被發現的幾率。

• 盡可能獲得權限：盡量在有限時間內和不影響系統正常工作的前提下獲取更多權限，這些可以為接下來橫向移動時更輕松和入侵方位更多。

網絡安全當前攻擊溯源研究面臨的問題有以下這些：

• 當前互聯網核心協議，無論是IPv4還是IPv6協議，都沒有對數據分組的源IP地址進行驗證，因此攻擊者在發出攻擊數據包的時候，可以隨意指定其數據分組的源地址。這樣就使得攻擊者在發動攻擊的時候不必擔心受害者會利用攻擊數據包中的源地址信息溯源到攻擊者。

• 互聯網已從最初的單純的專業用戶網絡變為社會各行業都在使用的大眾化網絡，這不僅使得其網絡結構更加復雜，網絡服務中潛在的各種利益也吸引了越來越多的攻擊者，這些攻擊者利用網絡漏洞逃避追蹤，逃避法律責任。

• 實施犯罪活動的設備往往是無辜者。當前互聯網用戶眾多，絕大多數用戶是缺少安全經驗和安全意識的普通用戶。惡意行為發起者很容易通過用戶留下的這些漏洞控制這些無辜者的計算機（僵尸機），作為惡意行為的跳板。需要溯源的IP分組或者網絡行為對應的IP源地址是無辜者的地址，使得真正意義上的溯源變得愈加困難。

• 新技術的推出雖然給廣大用戶帶來了好處，但是也給追蹤帶來了困難。為提高網絡傳輸速度，路由器一味地追求轉發數據包的速度，這意味著在路由器中存儲溯源信息難以保存太長時間，否則會超出路由器的存儲能力。

• 此外，網絡中存在大量的NAT設備和代理設備。由于互聯網IPv4地址缺乏以及部分安全原因，因此世界各國（我國尤其如此）互聯網大量使用NAT設備。此外，互聯網上還有很多志愿者提供代理設備。網絡上IP分組經過NAT設備或者代理服務器后會將源地址改寫成NAT設備或者代理服務器所擁有的地址，這樣IP分組源地址就不是原始分組發送者真正的地址。此外，NAT設備或者代理設備上特定源地址可能同時為不同的用戶服務。如果不在NAT設備或者代理服務器設備上作例如日志等要求，就不可能找到分組真正的來源。如果存在多重代理或者多重NAT時，情況更復雜，如果多個NAT/代理不屬于一個管理主體，例如其中一個NAT/代理位于國外或者沒有記錄日志，網絡溯源將成為不可能完成的任務。

• 溯源能力部署與互聯網文化、隱私保護難以協調。網絡溯源原意是針對網絡犯罪，查找惡意行為發起者。但是技術只是工具，既然能查找惡意行為的發布者，當然也能查找一般行為的發起者。如果出現濫用溯源系統的話，網絡隱私很難保障。網絡行為可以溯源，這與互聯網文化似乎相悖，因為互聯網長久以來一直堅持匿名的傳統，一般認為寬松的互聯網文化是導致互聯網快速發展和巨大成功的基礎。因此，部署溯源能力會引發有悖互聯網文化和阻礙互聯網發展的擔憂。單純依靠技術手段無法解決問題。

內聯注釋是指任何文本中被編譯器忽略而不執行的注釋，它用于向用戶傳遞一些信息，并且僅用于文檔，用于描述應用程序中命令的用途。注釋可以放在語句中任何關鍵字、參數或標點符號之間的任意位置。本身不參與SQL語句的執行只是用于對用戶或者程序中的注釋。

sql 注入防范措施有以下這些：

• 把應用服務器的數據庫權限降至最低，盡可能地減少 SQL 注入攻擊帶來的危害。

• 避免網站打印出SQL錯誤信息，比如類型錯誤、字段不匹配等，把代碼里的SQL語句暴露出來，以防止攻擊者利用這些錯誤信息進行SQL注入。

• 對進入數據庫的特殊字符（’’尖括號&*;等）進行轉義處理，或編碼轉換。

• 所有的查詢語句建議使用數據庫提供的參數化查詢接口，參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中，即不要直接拼接SQL語句。

• 在測試階段，建議使用專門的 SQL 注入檢測工具進行檢測。網上有很多這方面的開源工具，例如sqlmap、SQLninja等。

• 善用數據庫操作庫，有些庫包可能已經做好了相關的防護，我們只需閱讀其文檔，看是否支持相應的功能即可。

X.800定義的安全機制可以分成兩類：一類在特定的協議層實現，另一類不屬于任何的協議層或安全服務。前一類被稱做特定安全機制，共有8種；后一類被稱為普遍安全機制，共有5種。

特定安全機制可以嵌入合適的協議層以提供一些 OSI 安全服務。

• 加密:運用數學算法將數據轉換成不可知的形式。數據的變換和復原依賴于算法和一個或多個加密密鑰。

• 數字簽名:附加于數據單元之后的數據，它是對數據單元的密碼變換，可使接收方證明數據的來源和完整性，并防止偽造。

• 訪問控制:對資源實施訪問控制的各種機制。

• 數據完整性:用于保證數據元或數據流的完整性的各種機制。

• 認證交換:通過信息交換來保證實體身份的各種機制。

• 流量填充:在數據流空隙中插入若干位以阻止流量分析。

• 路由控制:能夠為某些數據動態地或預定地選取路由，確保只使用物理上安全的子網絡、中繼站或鏈路。

• 公證:利用可信的第三方來保證數據交換的某些性質。

普遍安全機制

• 不局限于任何OSI安全服務或協議層的機制。

• 可信功能度:根據某些標準(如安全策略所設立的標準)被認為是正確的，就是可信的。

• 安全標志:資源(可能是數據元)的標志，以指明該資源的屬性。

• 事件檢測:檢測與安全相關的事件。

• 安全審計跟蹤:收集潛在可用于安全審計的數據，以便對系統的記錄和活動進行獨立的觀察和檢查。

• 安全恢復:處理來自諸如事件處置與管理功能等安全機制的請求，并采取恢復措施。

華為的入侵檢測又稱入侵防御，是防火墻自帶的一個功能，入侵防御是一種安全機制，通過分析網絡流量，檢測入侵（包括緩沖區溢出攻擊、木馬、蠕蟲等），可以實時地中止入侵行為，保護企業信息系統和網絡架構免受侵害。入侵防御是一種既能發現又能阻止入侵行為的安全防御技術，發現網絡入侵后，能夠自動丟棄入侵報文或者阻斷攻擊源，從根本上解決攻擊行為。

華為防火墻的入侵防御和反病毒區別和聯系如下：

• 入侵防御與反病毒都是基于特征進行檢測。

• 入侵防御與反病毒支持的協議范圍不同。反病毒支持的協議有FTP/HTTP/POP3/SMTP/IMAP/NFS/SMB。入侵防御支持的協議更多。

• 入侵防御與反病毒檢測對象不同。

• 在病毒檢測能力上，反病毒更強大。

• 入侵防御與反病毒都需要License支持。