学习视频笔记均来自B站UP主" 泷羽sec",如涉及侵权马上删除文章

笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负

蓝队技术基础

今天带大家看看蓝队是如何工作的，虽然我们学习的是红队渗透攻击方向的技能，但作为一名合格的攻防专家，蓝队技能也是必须了解的。

1. 企业网络架构

企业技术和信息团队的管理架构因企业而异。

- CIO负责企业信息系统，CTO负责运营技术。
- IT管理：
  - 中央系统、自带设备（BYOD）、影子IT（员工可能在企业内搭建的小型网络）。
  - 中央技术团队：
    - 客户服务团队：负责工作站、笔记本、服务台。
    - 基础设施团队：负责网络、服务器群。
    - 数据库管理团队：负责数据库存储。
  - 技术团队通常由项目驱动，负责采购系统、维护和建立技术运营团队，依据信息技术基础设施库（ITIL）进行日常操作。
  - 安全部门通常由CISO领导，向CIO、CTO、CFO（财务总监）、CRO（风险官）报告。
 

企业管理技术

- 信息安全管理成熟度模型（ISM3）描述了企业安全运行和管理流程。
- 安全职能包含战略、战术和运营安全的所有方面，由CISO负责管理运营。
- 作为安全团队成员，应了解企业文化、组织结构和关键人员，以及推动业务成功的关键流程。这对于塑造安全团队的积极形象非常有帮助。
 

典型企业网络分区

- 企业网络通常划分为不同的安全区域，区域之间设有访问权限控制。划分安全区域有助于防御外部和内部攻击。
  - DMZ用于隔离内部与外部系统。
  - 蜜罐用于引诱和分析入侵者。
  - 代理提供对外的有限服务。
  - 员工和合作伙伴通过VPN连接内网。
  - 核心网络通常物理隔离并具备冗余。
  - 内部网络包含有线、无线和VPN连接。
  - 安全管理区域用于管理日志和告警。
 

模糊的边界

- 传统网络结构减少，越来越多的企业在云中部署基础架构，或使用SaaS服务。
- 传统边界逐渐模糊，用户从企业工作站登录到云或SaaS服务。
  - 企业经常提供身份凭据同步机制，甚至提供单点登录（SSO）解决方案。
  - 云服务可能涉及在本地运行的硬件，例如Azure AD Connect系统。
  - 数据通过内部和外部服务进行管理，例如Oracle数据集成器。
  - 工作负载可以通过Oracle服务总线或戴尔云平台在混合环境中共享。
 

外部攻击面

- 收集开源情报后，绘制网络范围内的所有节点，关闭无用节点，例如使用 `nmap -Sn <subnet>/24`。
- 重点关注开启了SSH服务但未加固的设备，识别潜在攻击点。
  - 使用命令 `nmap -PS -sV <ip-address>` 进行扫描。
  - 测试漏洞入口，大型网络的主机和应用程序容易缺少补丁或配置不当。
  - 使用漏洞扫描软件（如Nessus）验证漏洞是否存在。
  - 使用 `searchsploit <service name> <version>` 命令在searchsploit工具中搜索相关漏洞利用脚本。
 

身份管理

- 识别Windows典型应用：使用 `sudo nmap -PS -sV somesystem.com`，常见的服务包括Microsoft Exchange、SharePoint和AD。
- 识别Linux典型应用：如OpenSSH、Samba。
- 识别Web服务：如企业应用、边界设备和VoIP等。
  - 使用 `whatweb http://someweb.org` 识别服务。
- 识别客户端设备：通常见于内网，或因管理员疏漏暴露的终端设备。
 

身份和访问管理

- 身份以及特权和访问管理是企业安全的重要方面。
  - 基本工作站和服务器维护自己的身份存储。
  - 用户账号、服务账号。
  - 普通用户不能执行系统级配置管理命令。
  - 使用 sudo 权限，以管理员身份运行。
- 目录服务：
  - LDAP（轻量级目录访问协议）：包括 AD、OpenLDAP。
  - 域集中管理：集中资源存储与管理（组策略）。
 

企业数据存储

- 随着数据分析学科的兴起和某些监管对数据留存的要求，企业需要集中数据存储技术。
  - 大量数据通常部署在存储区域网络（SAN）中，由高速网络连接多个存储设备。
  - 网络附加存储（NAS）是另一种存储方案，它是一种拥有大量存储的单个设备，服务器和工作站通过本地网络访问。
- 企业可使用串行局域网（SoL）协议，使串行数据基于 HTTPS 传输。
 

企业虚拟化平台

- VSphere's VCenter。
- ProxMox。
 

数据湖

- 数据湖是保存大量不同形式数据的大型存储库，结合数据分析可为企业带来额外价值。
  - Hadoop 已成为企业中常见的数据湖解决方案。
  - 另一种本地解决方案是 DataBricks。
- 基于云的大数据解决方案：
  - Cloudera。
  - Google BigQuery。
  - Oracle BigData。
  - Amazon EMR。
  - Azure Data Lake Storage。
  - Azure HDInsight（基于云的 Hadoop）。
- 围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析。
  - Hadoop 可能带有前端安全服务，用于限制对湖中特定数据的访问。这为攻击者大规模未经授权访问数据以及渗透系统提供了机遇和挑战。
  - 攻击者的一个特定目标是 Hadoop 的 YARN 服务，如果配置错误，它很容易受到恶意 HTTP 请求的攻击，从而获得系统命令行 shell。
 

企业数据库

- SQL 数据库：OracleSQL、MicrosoftSQL、MySQL。
- 设备中的嵌入式 SQL：MariaDB、PostgreSQL、SQLite。
- 非 SQL 数据库：MongoDB、Redis、Azure CosmosDB、AWS DynamoDB。
 

传统存储形式

- 共享驱动器，通过 SMB 协议访问。
  - 使用 `smbclient -L server -U user` 列出共享驱动器。
- Windows 默认共享：
  - C$（所有驱动器默认共享）。
  - ADMIN$（管理共享）。
  - IPC$（管道：用于与其他计算机互操作的特殊连接器）。
  - 示例命令：`smbclient \\\\someserver\\test -U user`，然后使用 `get Fritz.doc` 下载文件。
 

SOC 管理流程

- ISMS（信息安全管理系统）：
  - SOC 是企业信息安全计划的一部分，了解其如何适应 ISMS 十分重要。
  - ISO27001 标准：适用于审计和认证的基于控制的方法。
  - NIST 网络安全框架：注重预防和应对网络攻击，包含五个阶段：识别、保护、检测、响应、恢复。
- 信息安全生命周期的四个阶段：安全策略、能力设计、实施、运营。
  - 戴明环（PDCA）：计划、执行、检查和行动。
  - SABSA 框架改进为战略规划、设计、实施、管理和测量的生命周期。
- 从渗透测试的角度，掌握 SOC 的日常操作活动是为了避免被发现；从防御者的角度，掌握 SOC 完整的生命周期视图，以确保其有效性。
  - SOC 的目标是通过监控和事件响应为基础设施和操作提供安全保障。
- SOC 各个级别的职责：
  - L1：提供监视告警、分类和解决小问题。
  - L2：提供对日常事件的分析、遏制和解决。
  - L3：负责损失控制、深入调查和取证分析等 IR 事件。
  - L4：安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全报告和其他主动安全程序。
 

网络杀伤链

- 洛克希德马丁公司的网络杀伤链模型描述了网络攻击的七个阶段：
  - 侦察（Reconnaissance）：攻击者对目标进行信息收集和探测，了解目标的网络架构、系统配置、潜在漏洞以及用户活动。
  - 武器化（Weaponization）：攻击者根据侦察到的信息，将恶意软件或攻击工具定制、包装，转化为具有攻击性的“武器”。
  - 投送（Delivery）：将经过武器化的恶意软件或攻击工具投送到目标系统中，常见方式包括电子邮件附件、恶意链接、受感染的移动存储设备等。
  - 利用（Exploitation）：恶意软件利用目标系统存在的漏洞触发并执行恶意代码，获取初步访问权限。
  - 安装（Installation）：攻击者进一步在目标系统内安装额外的恶意软件组件，如后门程序、远程控制工具等。
  - 指挥与控制（Command & Control）：恶意软件与攻击者控制的外部服务器建立连接，使攻击者能够远程控制目标系统。
  - 行动（Action）：攻击者通过指挥与控制通道，在目标系统上执行恶意活动，如窃取敏感信息、篡改数据、发起拒绝服务攻击等。
 

日志收集

- 收集关键日志来源：
  - 代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机，以及应用程序服务器和工作站。
  - 配置日志源生成日志并转发给收集器，进而上传到 SIEM。
- Windows 事件日志的收集和转发。
- Linux 系统使用 syslog 收集和聚合日志并转发。
- 收集楼宇管理和工控网络日志，这些系统现在通常连接到企业网络，可能成为主要的攻击目标。
 

日志搜索与分析

- Splunk 提供日志收集、存储、搜索、分析和可视化功能。
- SIEM 关联日志与活动，识别可疑内容。Splunk 也可作为 SIEM 解决方案。
 

监控告警

- 告警可以来自 SIEM，也可以直接来自安装在系统和网络中的传感器实时告警系统，如 IDS 设备。
- 事后告警系统，如 AIDE（监视系统文件的修改）。
- 在某些情况下，事件不会从日志或警报中触发，例如：
  - 攻击者更改了用户密码，用户联系管理员通告。
 

事件响应

- L2 级分析师收到 1 级工单时，分析评估后执行事件响应流程。
- 数字取证分析是网络安全的一个专门领域，由 3 级分析师处理，针对内存、硬盘等以合法方式取证，保护数据完整性。
 

网络威胁狩猎

- 网络狩猎是 SOC 3 级分析师的一门新兴学科，假设网络已被渗透，通过主动寻找恶意软件或入侵者，争取在攻击造成损失之前发现。
  - 寻找一系列指标，还原网络攻击时间线。
  - 网络威胁猎人的一个关键资源是 MITRE ATT&CK 框架，它提供攻击者行为方式及其使用工具的信息，帮助发现攻击痕迹。
  - 网络威胁搜寻需要非常了解正常状态，并能够识别入侵和异常活动。
 

威胁情报

- 妥协指标（IoC）用于识别恶意软件或恶意活动的签名，通常以文件名和哈希值的形式提供。
- 考虑到新威胁信息的规模，手动获取和记录威胁情报不再可行。
- 自动化威胁管理方面，MITRE 开发了结构化威胁信息表达（STIX）和可信智能信息自动交换（TAXII）协议，以实现威胁信息的自动提供和摄取。
  - STIX/TAXII 允许自动获取威胁情报并将其输入 IDS、SIEM 等工具，后者使用这些信息直接扫描传入的流量或文件，从而实现威胁情报的近乎实时更新，以确保击败已知威胁。
- 另一个开放威胁交换服务是 AlienVault OTX。注册后，可以手动访问危害指标。
 

安全管理

- 安全管理是一组确保公司业务安全的日常流程。
  - 身份管理：IAM 是任何安全程序的基础，也是黑客攻击的目标。
  - 访问控制：配置和验证用户访问系统的权限，制定审计规则。
  - 特权管理：PAM 系统使非特权用户能请求特权访问，权限提升。
  - 媒体消毒：生命周期结束时，敏感数据需要安全清理、销毁。
  - 人事安全：人员安全是公认的业务安全程序之一。
  - 证书管理：证书过期和泄露将直接摧毁 PKI 架构。
  - 远程访问：后疫情时代，远程访问已成为攻击重点。
 

零信任网络

- 2010 年，谷歌遭受“极光行动”网络攻击后，改变了内部网络管理方式，提出了“零信任”一词，描述始终假设内部网络已被破坏的运行方式。
  - 在访问之前始终对身份和授权进行积极验证。
  - 零信任架构在 NIST 特别出版物 800-207 中正式确定，现在所有美国政府机构都强制实施零信任。
- 零信任架构假设外部边界随时可能被突破，因此在被证明是良性的之前，任何访问请求都应被视为敌对的。
  - 它有四个关键特征：
    - 即时访问（JITA）。
    - 只需足够的访问权限（JEA）。
    - 动态访问策略。
    - 微观分割。
 

安全与基础设施

- 数据备份/恢复是重要的运营技术，在发生灾难或攻击事件时，备份数据是一项关键的安全资产。
 

变更管理

- 安全需要与系统的变化过程密切相关。
  - 确保在提交变更之前已正确评估了风险。
  - 变更管理计划包含推出计划、回滚计划、影响评估和依赖关系清单。
 

管理物理环境

- 管理数据中心环境涉及物理和电子安全。
  - 包括物理访问、机房环境（功率、温度、气压等）。
 

事件响应管理

- 事件管理生命周期：

  - 安全事件响应可视为一组缓解控制，通过检测和阻断攻击途径，以减少攻击造成的损失。

- CREST 事件管理模型：

  - 准备：了解系统及现有控制，通过培训和演练使组织为事故做好准备。

  - 响应：识别、调查、采取行动响应事件及恢复业务服务。

  - 后续：事后进一步调查、形成报告、总结经验教训，改进流程。

- SABSA 多层控制策略：

  - 威慑、预防、遏制、检测和通知、恢复。

管理事件响应

- 事件响应方法（NIST 特别出版物 800-61）：

  - 计算机安全事件处理指南：

    - 检测和分析。

    - 遏制。

    - 根除和恢复。

    - 事件后活动。

    - 注重政策和程序以及信息共享。

  - PDCA 的事件响应生命周期。

应急响应准备

- 风险评估：了解技术资产、系统和数据，并了解它们对业务的重要性。

- 威胁分析：策略、技术和实践，确定风险点，反向推动控制到位。

- 人员、流程和技术：建立团队、配备工具、制定流程剧本，进行演练。

- 控制：响应手册，事前流程规避、事中数据支持、事后备份恢复。

- 成熟度评估：CREST 提供成熟度评估工具，这是一个持续的过程，包括流程培训和实践技能培训。

应急响应手册概述

- 该手册详细规定了在不同安全事件发生时应执行的标准操作程序，按安全事件类别进行了分类阐述。

各安全事件类别及相关情况

- PB01 扫描：

  - PB01.1 IP 地址扫描：涉及对 IP 地址进行扫描相关的应急处理操作。

  - PB01.2 端口扫描：针对端口扫描情况制定的应急操作流程。

- PB02 托管威胁：

  - PB02.1 病毒隔离：当检测到病毒时采取隔离措施的操作规范。

  - PB02.2 检测到登录尝试失败：针对登录尝试失败情况的应急响应步骤。

  - PB02.3 检测到已知漏洞：在发现已知漏洞时应执行的操作程序。

- PB03 入侵：

  - PB03.1 检测到入侵指示：明确在检测到入侵迹象时的应对操作。

  - PB03.2 非特权帐户泄露：针对非特权帐户泄露事件的处理流程。

  - PB03.3 未经授权的权限提升：对于出现未经授权提升权限情况的应急措施。

  - PB03.4 恶意员工活动：处理员工从事恶意活动的相关操作规范。

  - PB03.5 管理帐户泄露：在管理帐户泄露时应采取的行动步骤。

- PB04 可用性：

  - PB04.1 拒绝服务 (DoS/DDoS)：应对拒绝服务攻击（包括 DoS 和 DDoS）的操作流程。

  - PB04.2 破坏：针对系统等被破坏情况的应急处理程序。

- PB05 信息：

  - PB05.1 未经授权访问信息：处理未经授权访问信息事件的操作规范。

  - PB05.2 未经授权修改信息：在发现未经授权修改信息时应执行的步骤。

  - PB05.3 数据泄露：针对数据泄露情况制定的应急措施。

- PB06 欺诈：

  - PB06.1 未经授权使用资源：对于未经授权使用资源这类欺诈行为的处理流程。

  - PB06.2 侵犯版权：处理侵犯版权欺诈事件的操作规范。

  - PB06.3 欺骗身份：应对欺骗身份欺诈情况的应急措施。

- PB07 恶意内容：

  - PB07.1 网络钓鱼电子邮件：处理网络钓鱼电子邮件的操作步骤。

  - PB07.2 恶意网站：针对恶意网站的应急处理程序。

  - PB07.3 受感染的 U 盘：在遇到受感染的 U 盘时应采取的行动。

- PB08 恶意软件检测：

  - PB08.1 病毒或蠕虫：针对检测到病毒或蠕虫时的应急操作流程。

  - PB08.2 勒索软件：处理勒索软件的相关操作规范。

  - PB08.3 APT：应对高级持续性威胁（APT）的应急措施。

- PB09 技术诚信：

  - PB09.1 网站污损：处理网站污损情况的应急操作流程。

  - PB09.2 DNS 重定向：针对 DNS 重定向情况制定的应急措施。

- PB10 盗窃：

  - PB10.1 盗窃资产：在发生资产盗窃事件时应采取的行动步骤。

- 该手册通过对各类安全事件的详细分类及对应应急操作的明确，为应对不同的网络安全问题提供了较为全面的指导规范。

演练与沟通

- 锻炼团队应急响应能力，验证响应计划的有效性。

  - 红蓝对抗，模拟真实攻击场景。

  - 总结经验、发现问题、改进计划。

- 响应过程中及时充分、准确的信息沟通至关重要。

  - 沟通对象涉及内部员工、外部合作伙伴、客户、媒体、政府等。

事件检测与响应

- 安全事件发生后的处理流程：

  - 事件上报。

  - 系统监控与检查日志告警。

  - 确定事件级别。

  - 检测是否存在入侵。

  - 调查事件。

  - 采取遏制措施。

  - 溯源取证。

报告与总结

- 编写应急响应报告：

  - 标题、编号。

  - 事件归类级别。

  - 受影响的系统、账号等。

  - 事件详细过程。

  - 还原事件时间线。

  - 进一步调查计划。

  - 经验总结与改进建议。

法律与合规

- 许多行业存在针对数据安全和隐私的合规要求，如 GDPR、HIPAA 等。蓝队需要了解相关的合规标准，以确保企业达到法律和行业要求。
- 企业必须确保其安全操作符合法规，以避免罚款和法律后果。常见的法律与合规标准包括：
  - GDPR（通用数据保护条例）：适用于欧洲用户的数据隐私保护。
  - HIPAA（健康保险可携性与责任法案）：主要适用于美国的医疗数据保护。
  - PCI-DSS（支付卡行业数据安全标准）：涉及支付卡数据的处理与存储。
  - ISO 27001：信息安全管理体系的国际标准。
  - NIST（国家标准与技术研究院）框架：提供一套信息安全最佳实践。
 

蓝队工具

- 防火墙：控制网络访问，阻断未授权的流量。
- IDS/IPS（入侵检测/防御系统）：检测和阻止恶意行为。
- SIEM（安全信息和事件管理）：用于收集和分析安全日志，生成告警和报告。
- EDR（终端检测与响应）：监控终端设备上的活动，检测恶意行为并进行响应。
- DLP（数据泄漏防护）：防止敏感数据的外泄。
- 安全配置管理工具：如 Ansible、Puppet 和 Chef，用于自动化配置和合规性检查。
 

安全培训和意识

- 蓝队需要对企业内员工提供持续的安全培训，以增强员工的安全意识，防范社交工程攻击。
- 进行模拟网络钓鱼攻击，以提高员工对钓鱼邮件的识别能力。
- 安全意识培训应涵盖密码管理、设备安全、数据泄露防范等方面。
 

蓝队与红队协作

- 蓝队和红队的协作能够提升整体的安全防护水平。
  - 红队模拟真实攻击行为，蓝队则响应并改进防御措施。
  - 协作演练可以发现蓝队的防护短板，并针对这些短板制定改进计划。
  - 通过定期的红蓝对抗演练，蓝队可以持续提升自身能力，并更好地抵御潜在的威胁。
 

总结与回顾

- 蓝队在企业信息安全中扮演着关键角色，通过防护、检测、响应和恢复等多种措施，确保企业网络和数据的安全。
- 蓝队的工作不仅依赖于技术手段，还需要有效的流程和持续的培训，确保团队能够应对不断演变的安全威胁。
- 合规性和法律要求是企业安全策略的重要组成部分，蓝队需要确保企业的安全措施符合行业和法规要求。
- 与红队的合作能够帮助蓝队发现防护中的薄弱环节，并通过对抗演练不断提升防御能力。
- 在企业安全的生态系统中，蓝队与其他团队的紧密协作至关重要，确保企业的安全防护能力不断得到改进和增强。