2019年护网行动必备防御手册(V1).pdf

2019 年 【护网行动】必备防御手册 北京赛克艾威科技有限公司 文档版本：V1 发布日期：2019-05-13 © 2019 赛克艾威 - 1 - 密级：商业机密 版权所有 © 北京赛克艾威科技有限公司 2019 包括一切权利。 非经过本公司书面许可，任何单位和个人不得擅自摘抄、复制和任何形式传播本文档全部或 者部分内容 商标声明： 本商标为北京赛克艾威科技有限公司所有，本文档提起的其他所有人商标，归各 自所有人所有 注意事项： 由于技术升级或其他原因，本文档内容会不定期进行更新，除非有特殊约定，本文档只作为 技术使用指导。 北京赛克艾威科技有限公司 地址：北京市昌平区科技园区创新路 27 号 1B 楼二层 1B-3-212 室 网址: 客户服务邮箱：service@ 客户服务电话：0108002) © 2019 赛克艾威 - 2 - 密级：商业机密 一. 整体思路分析 不知攻焉知防，如果了解白帽子的攻击手法和常规思路，针对性的做出防御措施，往往事半 功倍，整个防御过程总结为技术层面的防御和管理层面应急响应处理，技术层面首先是确定 对外提供服务的资产情况，然后在网络层面、主机层面和 web 应用层面进行整体技术加固。 管理层面建立保障团队体系、应急解决方案、攻击流量监控等。只有各方面工作准备充分， 才能第一时间解决问题，话不多说进入正题。 二. 技术部分的防御手段 2.1 确定风险窗口 风险窗口是哪些提供对外服务的服务器，要知道自己的风险窗口有多大，就必须掌握整个系 统对外的资产情况，因此需要梳理资产情况，清楚自己系统的风险窗口在哪里，那么梳理哪 些资产呢？怎么去梳理呢？ 2.1.1 梳理哪些资产？ 系统资产往往涉及多个部门，一个完整的、准确的资产应该来自运维部门/系统管理员 、 开 放测试人员和运维部门/ 网络管理员。具体如下： ◼ 服务器基础信息资产 © 2019 赛克艾威 - 3 - 密级：商业机密 服务器基础信息表运维系统管理员提供，发现问题可以第一时间找出主机相关信息，并进行 处理。 ◼ 应用系统信息资产 此表由开发人员提供更加准确，包括了数据库、Web 中间件、域名、后台地址、使用框架和 是否使用 CMS ，敏感目录有公司安全部门同信息收集工具收集所得。 ◼ 网络策略管理 运维部门的网络工程师需要对防火墙对主机策略进行统计，目前核心是网络设备为防火墙和 WAF 设备和开启策略进行统计。 A. 对外主机的端口策略 B. WAF 是否对业务网址进行保护 © 2019 赛克艾威 - 4 - 密级：商业机密 2.1.2 收集资产的方法 很大部分资产公司部门提供，但是也要通过黑盒方式，去获得一些资产，避免公司统计资产 疏漏，资产收集可用如下方法： ◼ whois 信息: 站长之家、爱站、/ ◼ 子域名: 子域名挖掘机 Layer、subDomainsBrute、phpinfo.me ◼ 目标IP : /、nslookup ◼ 旁站 C 段查询: http://www.webscan.cc/、Nmap、Zenmap ◼ 邮箱搜集: theharester ◼ CMS 类型: 云悉、BugScaner ◼ 敏感目录: 御剑、dirbuster、wwwscan、IIS_shortname_Scanner ◼ 端口信息: Nmap、masscan ◼ 服务器和中间件信息: Nmap、Zmap、whatweb 2.1.3 收集资产的工具和简单介绍 ◼ 站长之家:在线 whois 查询网站 © 2019 赛克艾威 - 5 - 密级：商业机密 爱站: 在线whois 查询网站 /:在线whois 查询网站 © 2019 赛克艾威 - 6 -