HW蓝队工作方案

工作方案"/>

HW蓝队工作方案

1、确定组织、分工、计划

2、召开启动会议

3、内网资产梳理

操作建议

重点针对国产系统、软件进行排查
1、包括中间件、数据库、金蝶-U9、用友-K/3、infor M3等
2、OA系统：泛微、致远、金蝶、蓝凌、万户、金和
3、敏感数据集中地：邮件系统、SVN、文件共享服务器、运维系统、开发环境系统
4、敏感系统，重点系统梳理出来，对其做重点监控

4、互联网暴露面梳理

操作建议

1、做互联网资产扫描：发现子域名、端口服务、管理后台、外网可访问到的所有IP、微信小程序、github、gitlab、网盘、云端资产
2、从负责公网发布的NAT、负载均衡设备中提取
3、公网资产梳理工具：FOFA类、SOGOU、云眼、子域名挖掘机、企查查、天眼查、NMAP，应对互联网暴露面资产应做全网段（相关C段）、全端口扫描

5、攻击路径预判

目的：为访问控制设备及安全策略的部署提供依据，对路径上资产漏洞的重点排查及加固，收敛关闭不必要的路径
操作建议：获取最新、完整的网络拓扑图，包括安全设备部署位置，与网络管理人员、安全管理人员讨论确定所有可能的攻击路径

6、漏洞扫描

操作建议
1、对主机、设备数据库、中间件、WEB应用的安全漏洞扫描
2、扫描应以资产梳理以及攻击路径预判为基础，优先检查互联网暴露面系统、核心系统、与防护目标相连接的系统、攻击路径上系统
参考次序：互联网暴露面资产>DMZ区资产>目标系统>集权系统>敏感系统>云端系统>其他系统>终端

7、渗透测试

操作建议

1、通过对应用的远程渗透测试，发现安全漏洞，出具渗透测试报告，提出整改建议
2、检查次序：互联网暴露面资产>DMZ区资产>目标系统>集权系统>敏感系统>云端系统>其他系统>终端
3、对高风险系统（互联网保护面资产、目标系统）两支团队做交叉渗透测试

8、基线检查

操作建议

1、对OS、设备、中间件、数据库安全基线检查，检查对象参照资产数据导出的资产清单（数据库、中间件、重要服务端口
2、范围以及优先级：目标系统及互联网暴露面建议全量做，其他系统根据风险情况做
3、提示：
A、主机数量非常多，基线核查及整改的工作量会非常大，本项工作一定要范围、人力、预算、必要性多方面综合考虑
B、基线的项非常多，从以下几点重点考虑主机安全基线：关闭没用的服务，修改主机弱口令、数据库弱口令等

9、查毒杀毒

操作建议

1、有条件的主机，高风险主机安装防病毒、终端管理软件等，并确保升级到最行的引擎和特征库版本
2、安装排查范围：互联网暴露面资产、DMZ区资产、目标系统、其他系统、终端

10、口令账号排查

1、本项工作非常重要，通过弱口令获得权限情况占80%情况
2、高风险系统，应要求在系统管理员本阶段更改一次口令，口令应为之前未用过的复杂口令（避免撞库
3、管理员在不通服务器上用户口令不能为同一个，也不能有明显规律
4、重要WEB应用应启用登陆验证码或多因素认证

11、集权系统排查

操作建议：

1、集权系统包括DC、堡垒机、统一认证、单点登陆系统、互联网边界防火墙、DMZ防火墙
2、在常规检查和加固基础，做管理主机限制，管理账户限制

12、补丁及加固

13、资产暴露面收敛

14、安全策略检查更新

15、敏感信息清理

16、预演习，准备工作闭环

欢迎补充