红蓝对抗之蓝队面试题part 2

OceanSec
1,026 阅读7分钟

本文已参与「新人创作礼」活动,一起开启掘金创作之路

Linux、Windows安全加固

IIS 服务器应该做哪些方面的保护措施?

整理来源:www.williamlong.info/archives/11…

  1. 保持 Windows 升级
  2. 使用 IIS 防范工具
  3. 移除缺省的 Web 站点
  4. 如果你并不需要 FTP 和 SMTP 服务,请卸载它们
  5. 有规则地检查你的管理员组和服务:
  6. 严格控制服务器的写访问权限
  7. 设置复杂的密码
  8. 减少/排除 Web 服务器上的共享
  9. 禁用 TCP/IP 协议中的 NetBIOS
  10. 使用 TCP 端口阻塞
  11. 仔细检查 .bat 和 .exe 文件:每周搜索一次 .bat
  12. 管理 IIS 目录安全
  13. 使用 NTFS 安全
  14. 管理用户账户
  15. 审计你的 Web 服务器

Linux系统安全加固需要注意的内容

  1. 关闭不必要的系统服务
  2. 更改 SSH 默认端口
  3. 禁止 root 用户远程 ssh 登录
  4. 限制用户使用 su 命令切换 root
  5. 密码复杂度策略
  6. 检查密码重复使用次数限制
  7. 检查是否存在空口令账号
  8. 禁止同时按下 ctrl+alt+del 重启
  9. 禁用 telnet 服务

框架漏洞&常见命令注入漏洞?php? Strust2 ?

  • Struts2 OGNL 注入
  • weblogic
  • fastjson
  • TP5 代码执行
  • laravel:debug mode 远程代码执行漏洞(CVE-2021-3129)
  • Spring Expression Language SPEL 表达式注入
  • Spring Security Oauth2 远程代码执行
  • Spring框架漏洞总结

常见安全工具、设备

工具

  • 端口及漏洞扫描:Namp、Masscan
  • 抓包:Wireshark,Burpsuite、Fiddler、HttpCanary
  • Web自动化安全扫描:Nessus、Awvs、Appscan、Xray
  • 信息收集:Oneforall、hole
  • 漏洞利用:MSF、CS
  • Webshell 管理:菜刀、蚁剑、冰蝎、哥斯拉

设备

网络安全设备常识

常见的 HW 设备有:公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙(玄武盾)、默安蜜罐、知道创宇蜜罐、山石防火墙

即客户拥有物理的基础设施(自建机房、自购设备、网络)

  • NGAF/NGFW:下一代 Web 应用防火墙(Next Generation Application Firewall,通防火墙和下一代防火墙的区别),聚合了以下功能

    • IDS
      • HIDS:基于主机的入侵检测系统
      • NIDS:基于网络的入侵检测系统
      • HIDS+NIDS:基于混合数据源的入侵检测系统
    • IPS:入侵防御系统
    • AV:反病毒系统

  • EDR:主机安全管理\终端检测和响应

    EDR 实时监测终端上发生的各类行为,采集终端运行状态,在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术,提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能,可第一时间检测并发现恶意活动,包括已知和未知威胁,并快速智能地做出响应,全面赋予终端主动、积极的安全防御能力

    简单来说就是给内网环境中所有主机安装管理软件终端,可以在管理平台集中管理和数据分析过滤,基本所有安全厂商都有自己的 EDR 产品

  • 运维审计和管理平台(堡垒机)

  • DAS:数据库安全审计平台

  • LAS:日志审计安全平台

  • AC:上网行为管理系统

  • 伪装欺骗系统(蜜罐、蜜网)

  • SIP:安全态势感知平台

    这个算是让整套系统性能得到提升的灵魂了,定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心,支持主流的安全设备、网络设备、操作系统等多源数据接入,利用大数据、关联分析、告警降噪等技术,实现海量数据的统一挖掘分析

云网络

云网络包括私有云和公有云

  • 云主机安全
  • 云防火墙
  • 云堡垒机
  • 云蜜罐
  • 云 DDOS 防护
  • 等等

绿盟设备

网安黄埔军校

八大实验室:星云实验室、格物实验室、伏影实验室(APT web)天机实验室(漏洞挖掘技术研究)、天枢实验室、天元实验室(新型实战化攻防对抗技术涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究)、平行实验室、威胁情报实验室

  • 堡垒机 SAS-H Series,堡垒机采用“物理旁路,逻辑串联”的部署思路
  • 绿盟威胁情报云 NTI nti.nsfocus.com/
  • 抗拒绝服务攻击系统 ADS
  • 安全和漏洞管理 AIRO
  • 网络入侵防护系统 IDPS
  • web 应用防火墙

你拿到的cnvd

工作经历

攻防演练

攻防演练中担任什么角色

护网的分组和流程?

护网的分组是在领导小组之下分为防护检测组,综合研判组,应急溯源组。流程大致分为备战,临战,决战三个阶段

备战阶段,主要任务是进行两方面的操作,一是减少攻击面,即资产梳理,减少暴露面;二是排查风险点,即通过漏洞扫描,渗透测试,弱口令等进行自查

临战阶段,主要任务也大致可以分为两个部分,一是进行内部演练,发现疏忽处并进行相应整改;二是可以适当增加安全设备,比如WAF,IPS,IDS,SOC,堡垒机等

决战阶段,作为新人,主要就是坚守岗位,有应急日志就看自己能不能解决,不能就上报,服从上级安排,优化防护,持续整改

简历有护网经历,你能谈谈护网的情况吗

参加过护网蓝队,负责事件研判工作,主要使用 ips,ids 等设备做流量监控与日志分析工作判断安全事件是否为误判

监控、研判、处置、溯源

对安全管理中心发出的态势排查单进行排查,并将排查结果反馈给安全管理中心,对安全管理中心发出的封堵工单和解封工单进行对应的封堵与解封,每两小时反馈一次排查结果、设备巡检报告、封堵情况。查看呼池 DDOS 设备,记录并排查告警信息

蓝队研判

研判工作要充分利用已有安全设备(需要提前了解客户的网络拓扑以及部署设备情况),分析其近期的设备告警,将全部流量日志(日志条件:源地址,目的地址,端口,事件名称,时间,规则 ID,发生 次数等)根据研判标准进行筛选(像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量),一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多 IP 的进行攻击

对于告警结合威胁情报库如:微步、奇安信威胁情报中心、绿盟威胁情报云等对于流量日志的原 IP 地址进行分析,判断其是否为恶意攻击,推荐使用微步的插件,如果确认为攻击行为或者不能确认是否为攻击行为,进行下一步操作,在之前准备好的表格中查找 IP 是否为客户内网部署的设备,如果不是,继续进行下一步,在事件上报平台查看是否有其他人提交过,如果没有,则上报

然后根据流量日志,对请求数据包和返回数据包分析判断其是否为误报,需要留意 X-Forwarded-For(简称XFF)和 x-real-ip 可以了解些 webshell 工具的流量特征,尤其是免杀 webshell,有可能不会被设备识别

最后上报事件时,尽可能提供完整的截图,包括源 ip、目的ip,请求包请求体,响应包响应体等重要信息,以方便后续人员研判溯源

注:不要任意忽略内网告警,适当情况下可以往前推排查时间

蓝队组成

蓝队的主要工作包括前期安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据

监控、研判、处置、溯源

avatar
文章
阅读
粉丝