100条安全原则来制定安全策略
-
最小化原则,网络最小化,权限最小化,能看到的资源最小化,应用最小化等等
-
隐藏原则,一切都对黑客隐藏就可以了;
-
二次验证,还要经常改密码;
-
打补丁,重大的要立刻打,不然一天内就被黑客利用了。
-
监控、报警系统要有,入侵检测的报警
-
所有操作都要有审计,用于溯源,不然怎么发生的安全事故完全就不知道。
-
零信任原则,白名单登录;
-
加密原则,加密是安全的核心基础;其他才是CIA。抓包是攻击的核心基础;
-
只给工作需要的权限,不给一点多余权限;
-
三权分立。管理权限的账号,操作的账号,审计的账号;
-
所有点都要做防御,分4方面:网络、系统和内核、应用、人、物理。网络要不出网;
-
保障信息完整性,不能被篡改,确认是合法的。CIA
-
防0day,一定要有这个策略;还要防止Xshell用的是破解版的,间谍软件专门把这些信息外传
-
要做所有员工安全意识培训。安全与人人都相关。还要做人的防范,认识最薄弱的安全一环;
-
做备份,随时可更换系统和服务器。这是安全给运维提的需求。
-
网路哦监控、系统监控、应用监控、三合一入侵监控,也就是SIEM。不然入侵来的时候的时候反应不过来。
-
访问频率限制。这也是最小化原则里的一种;
-
信息防泄密;
-
主动渗透测试、反复确定安全配置,不要让技术没按照安全提的策略少配置了。还要经常查找日志里的入侵痕迹;
-
紧急应急、24小时立刻要做。
-
木马后门扫描,这个要周期性做;
-
访问凭据的保护,防中间人;
-
防互联网随意扫描。这个要用策略防住;
-
安全防御就是"靠策略、补丁管理、安全系统、紧急应急"组成的;
-
始终有一个心态"内网有一个肉机"。始终要有一个心态"有一个漏洞"。
-
始终有内鬼心态,包括远程办公人员;
-
限制访问路径,不能直接就访问了。
-
被远控了。一定要第一时间发现,这个是必须的。
-
内网渗透,一定要发现;
-
使用软件要官网的,包括开发库;
-
找程序的业务逻辑漏洞;
-
不准乱用软件,要有应用白名单。禁止敏感信息外发网盘,gitlab等。有的软件上传敏感信息;
-
结合行业的安全守则和规范来做安全。
-
发现异常就要联系安全,有的异常就是安全引起的,比如cpu飙高。比如网页被挂马,网络有flash更新提示。日志有异常日志
-
不合法内容不要点,这是基本的安全意识;
-
一定要找出最薄弱点,那个点没做安全的,忽略的,才是重点。安全就是要全面,木桶原理,取决于最薄弱环节;
-
多看安全新闻,掌握最新威胁情报;
-
一旦被攻击或爆漏洞,一定要紧急处理;
-
多看应用的日志;
-
遵循安全行业规范,比如picc比如等保。
-
到市场上看有没有自己的敏感信息在卖。比如暗网,比如telegram等。如果有就是被入侵或内鬼了。需要重视。
-
分权管理,所有权限或敏感信息不要放在同一个人手上。要分摊到两个人一起做才可以。这就防止一个人独大了。
-
要部署一套全面的安全系统,并且统一管理;
-
充分熟悉业务和开发运维网络dba的技术。才能做好安全;
-
安全无小事,宁可错杀一百,也不放过一个。因为一出事就是大事,损失金钱和数据。甚至用户;
-
安全要从上往下执行,让领导和老板来推。小公司不会有安全,因为就算不做,也不会损失惨重,就不花这个钱了。技术能做多少就多少。
-
安全要和业务在一起工作。平时他们操作访问的应用和操作习惯,用的软件等,安全要做到心中有数。这样有帮助于找弱点和漏洞;
-
安全必须建立在业务稳定基础上,领导重视的基础上;
-
日志要全面,5W1H原则。时间地点谁,怎么干的,干了什么,导致什么影响。
-
安全重要是防止重大丢钱时间,重大损失,和小概率事件的。不是没事和大家找事的。
-
对常见攻击要有防御方案和应急方案。并且部署完整,和经常做红蓝对抗。平时重点关注新的攻击和异常。还有新闻;
-
安全处理要彻底不要有残留,不要心慈手软怕得罪别人。
-
安全要对所有技术都熟悉,才能渗入到每个环节,因为每个环节都要做安全;
-
纵深防御。每个环节都要防御,网络架构的每个点、运维架构的每个点、应用程序的每个方法、系统和安全软件。还有内核。每层都要做安全防御,这就是纵深防御。不是说,内部就安全了,不用防御的,旨在外壳做一点。那就是传统对安全错误的理解。
-
技术人员的安全意识培训很重要。但前提就是他们得有时间,不能业务都没做好就做安全。
-
对所有异常情况都判断一下,是不是安全事故。
-
要能做木马分析。
-
要对安全系统优化,提升漏报、误报、迟报;
-
做产品选型和架构设计时,就要考虑安全。不然有的产品本身就有安全问题,后期不好改。
-
每台server和服务都要有台历。并且周期性做手动检测也记录到台历里面。这样一出问题能很熟悉这台服务器的情况。
-
注意团队的敏感信息处理和离职人员安全处理,还有竞争对手。
-
安全处理要彻底,不要心软,不要怕麻烦;
-
安全人员要有基本自我修养或工作素质,才能做好安全,如责任心,爱学习和兴趣;
-
安全事件处理要深入业务,找到入侵原因(溯源和漏洞复现),彻底解决类似安全事故以及应用到其他项目中去;
-
安全和业务技术要很好的沟通;
-
熟悉安全产品和功能,还有看安全新闻;
-
防止社工
-
经常找黑客团队做渗透测试,也要内部做白盒渗透测试;
-
信息安全标准学习 27000
-
最好做到每个文件怎么来的,每个进程外联的IP,及历史都有记录,不然出故障很难溯源;
-
重点系统做重点防御,不是所有都一样的,比如Jenkins,比如harbor;
-
重点网络区域也要单独一个防御策略,比如DB的,比如重要服务器区域;直接单独防火墙;
-
要注意默认安全,该端口,该默认账号,默认访问路径等;
-
安全要能把常见弱点和漏洞找出来,让技术去修改就行。找的漏洞点越多越好;
-
K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全,一个都不能有遗漏;哪套漏了就会被入侵;
-
基线检测要重视紧急修复,重大高危补丁也要紧急修复,一刻都不能等;
-
安全问题第一时间就是关机,反正要屏蔽远控为第一要务;
-
所有人要有一个好的安全习惯,不要为了方便和效率,关电脑锁屏;
-
安全防御就是靠安全系统(产品)和经验;
-
安全是从上往下推的,必须要有领导支持,要给权力,而且一切都基于日常的业务稳定。只要不忙才能更好的做安全;
-
安全需要彻底执行,说不能上网就不能上网,不要觉得无所谓就开放一下;
-
安全没有百分百,就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。
-
定期做安全培训和规范编制;
-
供应链和社工是黑客的未来。
-
安全要做DevSecOps;
-
安全师零信任的,不要相信任何人给你的文件或程序或任何信息;
-
要做代码审计;
-
安全要求业务,随时可以关机,替换。比如IP、sever、Docker应用等;
-
安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。
-
要做访问控制:认证、授权、白名单IP等
-
多做预案;
-
一切操作和工作都落实到文件,要有记录,以后出事随时可以拿出来参考。这个很重要
-
一切都落地到文件(所有操作全部由表格记录)(指定到个人和时间),要有计划方案,实施方案,进度详情,事故报告,漏洞统计,每日扫描记录,每日巡检记录。
-
多做威胁模型:网络安全模型:ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(零信任模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。
-
做一个限制或策略,绝对不是在只在一个点能做,要思维打开,在每一个点都有可能做,要相信会有更好的。比如限制出网白名单,在iptables上能做,在网络防火墙上也能做,在上网代理服务器上也能做。做安全思路一定要打开
-
安全不是做某一个部分的安全,比如运维,要做运维所有事都息息相关的安全,从办公电脑到服务器全部做。取决于最弱的一环;
-
安全要优先处理原则,开发运维要对安全信息透明;
-
任何安全机制,可以先用非强制模式,permissive ,跑出来日志了,二周左右,把正常合法操作都开启允许,其他的都黑名单就行了。
-
安全一定要有预案,webshell怎么处理,木马怎么处理,confluence被入侵怎么处理等等;
-
协助运维判断是否是安全导致的故障,比如cpu暴增,服务器重启,内网无缘无故有个ping命令。安全要24小时紧急应急;101 还要注意安全事故处理要有临时解决方案,一定要影响小还能解决问题;
做安全又一大原则:强硬原则,强烈要求原则。有的意见提了,运维不做,那就强硬提出,并且说清楚利弊。强烈要求一定要做;
安全一大原则:不要想当然原则。有的事,你觉得不可能,实际就是可能的,还得和技术去确认。比如10.0.0.8网段的机器,根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的,误报。实际,确实如此,网络就这么做的。
安全一大原则:不要怕麻烦原则 有的事就怕麻烦别人,或者自己麻烦,没有去仔细判断,结果导致重要线索浪费了。就像找特征码的时候,没有反复让运维查服务器,特征码没找到准确的。
安全一大重要工作:通过木马分析找特征码,进行所有服务器扫描。
安全一大原则:提出的需求就反复追问,必须要完成原则,不要因为怕麻烦别人就不做了,就忘记了;
被动攻击总结 常规和非常规漏洞点:
-
常规软件漏洞;
-
爆破
-
木马文件执行;
-
身份欺骗
-
数据篡改;
-
信息泄露;
-
提权;
-
可否人性;
-
拒绝服务;
-
人为泄露信息(内应)
-
社工库爆破
-
运营商劫持;
-
水坑攻击;
-
供应链攻击;
-
社会工程学
-
业务逻辑漏洞
-
故人干私活,从而把员工电脑给黑了,也就黑了他的公司资料;
-
获取网盘等信息;
-
植入前端广告,入flash下载;
-
网站挂马
-
发送垃圾邮件、短信等;
-
入侵路由器,默认安全;
-
全网批量扫漏洞;24 被动入侵手法:
-
获得密码后,直接连服务器
-
遗留木马,自己触发了
-
登陆云平台,操作了服务器
-
内网中间人信息收集,登录了虚拟化平台,操作服务器
-
运维电脑被黑,远控服务器
-
使用有木马的应用程序
-
中间人劫持
-
黑客做完免杀,做进程注入,在做端口复用,完全没有痕迹
-
运维管理服务器被黑后,从而操作其他技术,比如杀软远程安装,Jenkins 远程执行命令
-
劫持 黑客攻击途径:
-
URL网址直接渗透,或旁站渗透;
-
互联网狂扫,扫到什么算什么;
-
先入侵办公内网在入侵机房网络,或先入侵远程办公电脑;
-
水坑攻击:运营商、服务提供商,下载站,pom代码提供商,路由器服务商,软件提供商,键盘、usb、xshell提供商
-
内应:透漏所有敏感信息,直接攻击弱点,并无法溯源;
-
有白名单的厂家,比如安骑士、dns、ntp、和应用程式需使用的第三方厂家(支付、监控)都是咱们白名单ip。可以更好实施攻击。
-
云平台账号
-
CDN厂家,就劫持和利用白名单渗透;
-
物理攻击:直接进机房或办公室,办公室WiFi用玩具直升机渗透。badusb、键盘等等。
-
其他:云服务器、防火墙、自建CDN服务器等等;
防0day(靠的是策略):访问路径。访问控制机制:都用vpn,二次密码,用远程桌面在使用应用程序或虚拟应用;普通用户启动;加密 白名单。应用白名单,进程白名单,网络白名单。不出网不入网;假设应用有一个RCE,看能获得多大的攻击;尽全力打补丁,不能让黑客两个漏洞联合起来利用;出网用代理,木马都没网络。只有知道代理服务器的应用才能出网;防御0day最好的方法就是隐藏。也就是隐藏端口,域名,IP 及时发现入侵,这样就算有0day,他黑进来也不能获取多大的利益;采用java的应用,不要用php的,更加能防0day
-
以非root启动
-
访问域名和ip 隐藏
-
禁止出网
-
应用程序出网采用代理的方式,用request库的proxy方式
-
防火墙禁止入网和白名单配置
-
把bash命令和wget 等命令权限去掉,用的时候再添加。7 世界杯期间容易发生的安全问题:
-
流量异常,网络运维都怀疑是安全事故,而且服务器无响应,现象和勒索软件一样
-
服务器安全告警过多,误报和警告会暴增,又不能关机等大动作,只能靠系统配置尽量修复,系统层处理不好就导致业务宕机
-
世界杯期间运维非常忙,很多操作只能我自己做,我不能有误操作
-
开发部分的安全一点都没做,世界杯期间肯定爆发,都不知道哪里来的,配合起来需要很久
-
如果有遗留木马爆发,或者运维配置不完整的地方,世界杯期间一旦发生,就是大动作。尤其是内网肉鸡一直都存在,windows 系统跟容易死机蓝屏,甚至启动不起来。
-
世界杯期间由于大量的利益驱使,导致所有安全问题集中发生,一个月等于一年。需要提前做好应急预案,和把这几年遇到的安全问题从头到尾熟悉一遍,安全是一个系统工程,不在于某一个点,在于疏忽哪一个点。
-
高防机房带宽2g,有一个cc攻击点被利用,或某个接口能重放回源,他就是最大的瓶颈,很快就跑满,得提前写cc攻击脚本测试,抓代理做攻击系统,最后还要配合运维和机房做策略。8 运维安全七要素:
-
服务器不主动出网
-
服务进程不用root启动
-
补丁都打全
-
白名单,对黑客隐藏。启用内网间防火墙,只开放业务端口;
-
入侵检测系统(安骑士)
-
堡垒机系统,对一切输入有审计;
-
所有登录,必须有二次验证,比如阿里云比如zabbix等;
-
只开放有用的端口,比如22、80、443;