大佬的HW经验笔记:

这是大佬分享的一点HW经验,记录一下,学习学习!!!!

HW目标:

​ 参演单位的关键基础设施及重要信息系统单位

HW甲方五个阶段:

  1. 准备阶段:
    1. 编写方案
    2. 确定目标系统
    3. 全网资产梳理
    4. 安全设备了解
    5. 安全厂商沟通
    6. 部署WAF、天眼、蜜罐、主机加固
    7. 内部集权系统梳理
    8. 防守队伍沟通
  2. 安全自查和整改阶段:
  3. 应用系统梳理
  4. 开展安全检查
  5. 完善安全设备
  6. 其他安全措施
  7. 攻防预演习阶段
  8. 正式演习阶段:
  9. 分组工作职责
  10. 安全设备监测
  11. 天眼监测
  12. 封禁IP
  13. 失陷检测
  14. 日志、存储目录检查
  15. 总结阶段:
  16. 组织队伍攻击情况
  17. 防守情况
  18. 安全防护措施
  19. 监测手段
  20. 响应和协同处置

应急响应相关:

  1. 应急响应/身份溯源拆分报告的提交方式:

    • 关于被入侵成功的时候,防守方需要第一时间止损,清除更多的攻击权限,防止攻击方截图写报告,最快的办法就是跟失陷主机可疑的关联主机全部断网
    • 应急响应报告更多的阐述攻击者入侵方法及漏洞详情,横向移动过程及影响范围,处置时间线和具体结果
    • 关于攻击者的身份溯源的报告可以单拆为一份溯源报告,等HW最后在提交(防止攻击队知晓)

  2. 报告的可读性、逻辑性、完整性直接决定了加分高低

  3. 对于防守能力较强的客户,因为未被成功攻击过,加分手段只剩下对攻击者的溯源报告,溯源报告的条件限制:

    • IP必须是攻击过目标单位的,且是攻击队理解的攻击成功(蜜罐也算)
    • 对于攻击者背景有具体的判定及依据,并且能在报告中表明使人信服

攻击队手法的变化:

  1. 0day数量增加,更是爆出了各种安全设备的漏洞
  2. 社工数量增加,社工手法升级
  3. 针对性钓鱼邮件增加
  4. 外网利用已知公开漏洞数量减少
  5. 更注重流量加密隐藏攻击行为:冰蝎、哥斯拉、自用双向加密webshell
  6. 不使用阿里云、腾讯云进行攻击,使用小厂云服务器
  7. 扫描、VPN打击、社工钓鱼都有专门的团队,分工明确