攻击队攻击方式复盘总结
1)互联网突破总结。复盘红队是否提前研究了互联网突破的攻击方式,是否针对各类突破方式解读被攻击时的监测行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
2)旁站攻击总结。复盘红队是否提前研究了旁站攻击的突破方式,是否针对各类旁站攻击方式解读被攻击时的监测行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
3)传统渗透攻击总结。复盘红队是否提前研究了攻击队经常使用的传统渗透攻击方式(如经常使用的 WebLoigc 反序列化命令执行攻击、JBoss 远程代码执行攻击、Struts2 远程命令执行攻击、Redis 未授权访问攻击、永恒之蓝漏洞攻击、Windows 操作系统漏洞攻击、数据库弱口令和操作系统弱口令攻击、FTP 匿名登录攻击、rsync 未授权访问攻击、HTTP OPTIONS 方法攻击、SSL/TLS 存在 BarMitzvah Attack 漏洞攻击、X-Forwarded-For 伪造攻击等),是否针对各类突破方式解读被攻击时的监测行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
4)物理攻击总结。复盘红队是否提前研究了物理攻击的攻击方式,是否针对物理攻击类型制订了管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
5)利用大型内网做跨区域攻击总结。复盘红队是否提前研究了攻击队利用大型内网做跨区域攻击的方式,是否针对各类跨区域攻击方式部署了监控设备,是否解读了被攻击时的监测行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
6)集权类设备或系统攻击总结。复盘红队是否提前研究了集权类设备或系统的攻击方式,检查攻防演练活动的防守备战阶段是否对集权类设备和系统进行了安全加固,在监控系统中是否针对集权类设备和系统制定了定制化监测规则和策略,是否解读了集权类设备和系统被攻击时的流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
7)专挖 0day+1day 总结。复盘红队是否提前研究了 0day+1day 漏洞攻击方式,是否针对此类漏洞攻击方式解读被攻击时的监测行为和流量提示状态,是否安排专人定期对重要设备和系统读取日志、新增进程、新增文件巡检,是否制订了发生攻击和产生流量提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
8)供应链攻击总结。复查是否建立了供应链厂商、产品清单台账,是否制定了供应商安全维护管理规范并禁掉或最小化供应商远程维护系统的管理权限,是否有本地维护的未经许可自带设备接入内网,是否对供应链企业清单进行自查(包括但不限于产品品类、开发商名称、开发商资本结构、产品名称、主程序名与安装路径、版本号、是否 OEM、软件开发规范、软件工程规范、开发语言、运行环境、涉及的操作系统、涉及的开源项目、版本控制系统、已知系统漏洞、是否有信息传回开发商、回传信息及位置、授权模式、开发环境代码审查机制、开发环境漏洞扫描机制等)。
9)邮箱系统攻击(获取信息)总结。复盘红队是否提前研究了邮箱系统攻击方式,是否针对邮箱系统突破方式解读被攻击时的监测行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
10)免杀、加密隧道等隐蔽攻击总结。复盘红队是否提前研究了免杀和加密隧道等隐蔽攻击方式,是否针对此类隐蔽攻击方式解读被攻击时的监测行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
11)钓鱼、水坑,利用人的弱点总结。复盘红队是否提前研究了钓鱼和水坑攻击方式,是否对全员进行了安全意识宣贯培训,是否针对钓鱼、水坑的攻击方式解读被攻击时的监测攻击行为和流量监测告警提示状态,是否制订了发生攻击和产生告警提示状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
12)目标单位周边 Wi-Fi 攻击总结。复盘红队是否提前研究了 Wi-Fi 攻击方法,是否解读了此类攻击发生时的行为和流量提示状态,是否制订了发生攻击和产生提示流量状态时的管理和技术应对举措,是否将此防御技术编入防守技战法手册并定期维护。
13)业务链单位攻击。复盘是否梳理了业务链资产清单,是否在此类业务链交互出口部署了监控设备和系统,是否制订了业务链单位发生安全攻击时的应急预案。
14)安全产品、IoT 设备等漏洞利用。复盘是否梳理了 IoT 类业务设备系统资产清单,是否制订了此类设备发生安全攻击时的应急预案。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/e3a247293671d772a2b007496】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论