• 100条安全原则来制定安全策略


    100条安全原则来制定安全策略

    1. 最小化原则,网络最小化,权限最小化,能看到的资源最小化,应用最小化等等

    2. 隐藏原则,一切都对黑客隐藏就可以了;

    3. 二次验证,还要经常改密码;

    4. 打补丁,重大的要立刻打,不然一天内就被黑客利用了。

    5. 监控、报警系统要有,入侵检测的报警

    6. 所有操作都要有审计,用于溯源,不然怎么发生的安全事故完全就不知道。

    7. 零信任原则,白名单登录;

    8. 加密原则,加密是安全的核心基础;其他才是CIA。抓包是攻击的核心基础;

    9. 只给工作需要的权限,不给一点多余权限;

    10. 三权分立。管理权限的账号,操作的账号,审计的账号;

    11. 所有点都要做防御,分4方面:网络、系统和内核、应用、人、物理。网络要不出网;

    12. 保障信息完整性,不能被篡改,确认是合法的。CIA

    13. 防0day,一定要有这个策略;还要防止Xshell用的是破解版的,间谍软件专门把这些信息外传

    14. 要做所有员工安全意识培训。安全与人人都相关。还要做人的防范,认识最薄弱的安全一环;

    15. 做备份,随时可更换系统和服务器。这是安全给运维提的需求。

    16. 网路哦监控、系统监控、应用监控、三合一入侵监控,也就是SIEM。不然入侵来的时候的时候反应不过来。

    17. 访问频率限制。这也是最小化原则里的一种;

    18. 信息防泄密;

    19. 主动渗透测试、反复确定安全配置,不要让技术没按照安全提的策略少配置了。还要经常查找日志里的入侵痕迹;

    20. 紧急应急、24小时立刻要做。

    21. 木马后门扫描,这个要周期性做;

    22. 访问凭据的保护,防中间人;

    23. 防互联网随意扫描。这个要用策略防住;

    24. 安全防御就是“靠策略、补丁管理、安全系统、紧急应急”组成的;

    25. 始终有一个心态“内网有一个肉机”。始终要有一个心态“有一个漏洞”。

    26. 始终有内鬼心态,包括远程办公人员;

    27. 限制访问路径,不能直接就访问了。

    28. 被远控了。一定要第一时间发现,这个是必须的。

    29. 内网渗透,一定要发现;

    30. 使用软件要官网的,包括开发库;

    31. 找程序的业务逻辑漏洞;

    32. 不准乱用软件,要有应用白名单。禁止敏感信息外发网盘,gitlab等。有的软件上传敏感信息;

    33. 结合行业的安全守则和规范来做安全。

    34. 发现异常就要联系安全,有的异常就是安全引起的,比如cpu飙高。比如网页被挂马,网络有flash更新提示。日志有异常日志

    35. 不合法内容不要点,这是基本的安全意识;

    36. 一定要找出最薄弱点,那个点没做安全的,忽略的,才是重点。安全就是要全面,木桶原理,取决于最薄弱环节;

    37. 多看安全新闻,掌握最新威胁情报;

    38. 一旦被攻击或爆漏洞,一定要紧急处理;

    39. 多看应用的日志;

    40. 遵循安全行业规范,比如picc比如等保。

    41. 到市场上看有没有自己的敏感信息在卖。比如暗网,比如telegram等。如果有就是被入侵或内鬼了。需要重视。

    42. 分权管理,所有权限或敏感信息不要放在同一个人手上。要分摊到两个人一起做才可以。这就防止一个人独大了。

    43. 要部署一套全面的安全系统,并且统一管理;

    44. 充分熟悉业务和开发运维网络dba的技术。才能做好安全;

    45. 安全无小事,宁可错杀一百,也不放过一个。因为一出事就是大事,损失金钱和数据。甚至用户;

    46. 安全要从上往下执行,让领导和老板来推。小公司不会有安全,因为就算不做,也不会损失惨重,就不花这个钱了。技术能做多少就多少。

    47. 安全要和业务在一起工作。平时他们操作访问的应用和操作习惯,用的软件等,安全要做到心中有数。这样有帮助于找弱点和漏洞;

    48. 安全必须建立在业务稳定基础上,领导重视的基础上;

    49. 日志要全面,5W1H原则。时间地点谁,怎么干的,干了什么,导致什么影响。

    50. 安全重要是防止重大丢钱时间,重大损失,和小概率事件的。不是没事和大家找事的。

    51. 对常见攻击要有防御方案和应急方案。并且部署完整,和经常做红蓝对抗。平时重点关注新的攻击和异常。还有新闻;

    52. 安全处理要彻底不要有残留,不要心慈手软怕得罪别人。

    53. 安全要对所有技术都熟悉,才能渗入到每个环节,因为每个环节都要做安全;

    54. 纵深防御。每个环节都要防御,网络架构的每个点、运维架构的每个点、应用程序的每个方法、系统和安全软件。还有内核。每层都要做安全防御,这就是纵深防御。不是说,内部就安全了,不用防御的,旨在外壳做一点。那就是传统对安全错误的理解。

    55. 技术人员的安全意识培训很重要。但前提就是他们得有时间,不能业务都没做好就做安全。

    56. 对所有异常情况都判断一下,是不是安全事故。

    57. 要能做木马分析。

    58. 要对安全系统优化,提升漏报、误报、迟报;

    59. 做产品选型和架构设计时,就要考虑安全。不然有的产品本身就有安全问题,后期不好改。

    60. 每台server和服务都要有台历。并且周期性做手动检测也记录到台历里面。这样一出问题能很熟悉这台服务器的情况。

    61. 注意团队的敏感信息处理和离职人员安全处理,还有竞争对手。

    62. 安全处理要彻底,不要心软,不要怕麻烦;

    63. 安全人员要有基本自我修养或工作素质,才能做好安全,如责任心,爱学习和兴趣;

    64. 安全事件处理要深入业务,找到入侵原因(溯源和漏洞复现),彻底解决类似安全事故以及应用到其他项目中去;

    65. 安全和业务技术要很好的沟通;

    66. 熟悉安全产品和功能,还有看安全新闻;

    67. 防止社工

    68. 经常找黑客团队做渗透测试,也要内部做白盒渗透测试;

    69. 信息安全标准学习 27000

    70. 最好做到每个文件怎么来的,每个进程外联的IP,及历史都有记录,不然出故障很难溯源;

    71. 重点系统做重点防御,不是所有都一样的,比如Jenkins,比如harbor;

    72. 重点网络区域也要单独一个防御策略,比如DB的,比如重要服务器区域;直接单独防火墙;

    73. 要注意默认安全,该端口,该默认账号,默认访问路径等;

    74. 安全要能把常见弱点和漏洞找出来,让技术去修改就行。找的漏洞点越多越好;

    75. K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全,一个都不能有遗漏;哪套漏了就会被入侵;

    76. 基线检测要重视紧急修复,重大高危补丁也要紧急修复,一刻都不能等;

    77. 安全问题第一时间就是关机,反正要屏蔽远控为第一要务;

    78. 所有人要有一个好的安全习惯,不要为了方便和效率,关电脑锁屏;

    79. 安全防御就是靠安全系统(产品)和经验;

    80. 安全是从上往下推的,必须要有领导支持,要给权力,而且一切都基于日常的业务稳定。只要不忙才能更好的做安全;

    81. 安全需要彻底执行,说不能上网就不能上网,不要觉得无所谓就开放一下;

    82. 安全没有百分百,就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。

    83. 定期做安全培训和规范编制;

    84. 供应链和社工是黑客的未来。

    85. 安全要做DevSecOps;

    86. 安全师零信任的,不要相信任何人给你的文件或程序或任何信息;

    87. 要做代码审计;

    88. 安全要求业务,随时可以关机,替换。比如IP、sever、Docker应用等;

    89. 安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。

    90. 要做访问控制:认证、授权、白名单IP等

    91. 多做预案;

    92. 一切操作和工作都落实到文件,要有记录,以后出事随时可以拿出来参考。这个很重要

    93. 一切都落地到文件(所有操作全部由表格记录)(指定到个人和时间),要有计划方案,实施方案,进度详情,事故报告,漏洞统计,每日扫描记录,每日巡检记录。

    94. 多做威胁模型:网络安全模型:ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(零信任模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。

    95. 做一个限制或策略,绝对不是在只在一个点能做,要思维打开,在每一个点都有可能做,要相信会有更好的。比如限制出网白名单,在iptables上能做,在网络防火墙上也能做,在上网代理服务器上也能做。做安全思路一定要打开

    96. 安全不是做某一个部分的安全,比如运维,要做运维所有事都息息相关的安全,从办公电脑到服务器全部做。取决于最弱的一环;

    97. 安全要优先处理原则,开发运维要对安全信息透明;

    98. 任何安全机制,可以先用非强制模式,permissive ,跑出来日志了,二周左右,把正常合法操作都开启允许,其他的都黑名单就行了。

    99. 安全一定要有预案,webshell怎么处理,木马怎么处理,confluence被入侵怎么处理等等;

    100. 协助运维判断是否是安全导致的故障,比如cpu暴增,服务器重启,内网无缘无故有个ping命令。安全要24小时紧急应急;101 还要注意安全事故处理要有临时解决方案,一定要影响小还能解决问题;

    做安全又一大原则:强硬原则,强烈要求原则。有的意见提了,运维不做,那就强硬提出,并且说清楚利弊。强烈要求一定要做;

    安全一大原则:不要想当然原则。有的事,你觉得不可能,实际就是可能的,还得和技术去确认。比如10.0.0.8网段的机器,根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的,误报。实际,确实如此,网络就这么做的。

    安全一大原则:不要怕麻烦原则 有的事就怕麻烦别人,或者自己麻烦,没有去仔细判断,结果导致重要线索浪费了。就像找特征码的时候,没有反复让运维查服务器,特征码没找到准确的。

    安全一大重要工作:通过木马分析找特征码,进行所有服务器扫描。

    安全一大原则:提出的需求就反复追问,必须要完成原则,不要因为怕麻烦别人就不做了,就忘记了;

    被动攻击总结 常规和非常规漏洞点:

    1. 常规软件漏洞;

    2. 爆破

    3. 木马文件执行;

    4. 身份欺骗

    5. 数据篡改;

    6. 信息泄露;

    7. 提权;

    8. 可否人性;

    9. 拒绝服务;

    10. 人为泄露信息(内应)

    11. 社工库爆破

    12. 运营商劫持;

    13. 水坑攻击;

    14. 供应链攻击;

    15. 社会工程学

    16. 业务逻辑漏洞

    17. 故人干私活,从而把员工电脑给黑了,也就黑了他的公司资料;

    18. 获取网盘等信息;

    19. 植入前端广告,入flash下载;

    20. 网站挂马

    21. 发送垃圾邮件、短信等;

    22. 入侵路由器,默认安全;

    23. 全网批量扫漏洞;24 被动入侵手法:

    24. 获得密码后,直接连服务器

    25. 遗留木马,自己触发了

    26. 登陆云平台,操作了服务器

    27. 内网中间人信息收集,登录了虚拟化平台,操作服务器

    28. 运维电脑被黑,远控服务器

    29. 使用有木马的应用程序

    30. 中间人劫持

    31. 黑客做完免杀,做进程注入,在做端口复用,完全没有痕迹

    32. 运维管理服务器被黑后,从而操作其他技术,比如杀软远程安装,Jenkins 远程执行命令

    33. 劫持 黑客攻击途径:

    34. URL网址直接渗透,或旁站渗透;

    35. 互联网狂扫,扫到什么算什么;

    36. 先入侵办公内网在入侵机房网络,或先入侵远程办公电脑;

    37. 水坑攻击:运营商、服务提供商,下载站,pom代码提供商,路由器服务商,软件提供商,键盘、usb、xshell提供商

    38. 内应:透漏所有敏感信息,直接攻击弱点,并无法溯源;

    39. 有白名单的厂家,比如安骑士、dns、ntp、和应用程式需使用的第三方厂家(支付、监控)都是咱们白名单ip。可以更好实施攻击。

    40. 云平台账号

    41. CDN厂家,就劫持和利用白名单渗透;

    42. 物理攻击:直接进机房或办公室,办公室WiFi用玩具直升机渗透。badusb、键盘等等。

    43. 其他:云服务器、防火墙、自建CDN服务器等等;

    防0day(靠的是策略):访问路径。访问控制机制:都用vpn,二次密码,用远程桌面在使用应用程序或虚拟应用;普通用户启动;加密 白名单。应用白名单,进程白名单,网络白名单。不出网不入网;假设应用有一个RCE,看能获得多大的攻击;尽全力打补丁,不能让黑客两个漏洞联合起来利用;出网用代理,木马都没网络。只有知道代理服务器的应用才能出网;防御0day最好的方法就是隐藏。也就是隐藏端口,域名,IP 及时发现入侵,这样就算有0day,他黑进来也不能获取多大的利益;采用java的应用,不要用php的,更加能防0day

    1. 以非root启动

    2. 访问域名和ip 隐藏

    3. 禁止出网

    4. 应用程序出网采用代理的方式,用request库的proxy方式

    5. 防火墙禁止入网和白名单配置

    6. 把bash命令和wget 等命令权限去掉,用的时候再添加。7 世界杯期间容易发生的安全问题:

    7. 流量异常,网络运维都怀疑是安全事故,而且服务器无响应,现象和勒索软件一样

    8. 服务器安全告警过多,误报和警告会暴增,又不能关机等大动作,只能靠系统配置尽量修复,系统层处理不好就导致业务宕机

    9. 世界杯期间运维非常忙,很多操作只能我自己做,我不能有误操作

    10. 开发部分的安全一点都没做,世界杯期间肯定爆发,都不知道哪里来的,配合起来需要很久

    11. 如果有遗留木马爆发,或者运维配置不完整的地方,世界杯期间一旦发生,就是大动作。尤其是内网肉鸡一直都存在,windows 系统跟容易死机蓝屏,甚至启动不起来。

    12. 世界杯期间由于大量的利益驱使,导致所有安全问题集中发生,一个月等于一年。需要提前做好应急预案,和把这几年遇到的安全问题从头到尾熟悉一遍,安全是一个系统工程,不在于某一个点,在于疏忽哪一个点。

    13. 高防机房带宽2g,有一个cc攻击点被利用,或某个接口能重放回源,他就是最大的瓶颈,很快就跑满,得提前写cc攻击脚本测试,抓代理做攻击系统,最后还要配合运维和机房做策略。8 运维安全七要素:

    14. 服务器不主动出网

    15. 服务进程不用root启动

    16. 补丁都打全

    17. 白名单,对黑客隐藏。启用内网间防火墙,只开放业务端口;

    18. 入侵检测系统(安骑士)

    19. 堡垒机系统,对一切输入有审计;

    20. 所有登录,必须有二次验证,比如阿里云比如zabbix等;

    21. 只开放有用的端口,比如22、80、443;

  • 相关阅读:
    窦华书教授在纳维-斯托克斯(NS)方程问题上取得新进展
    Vulnhub靶机:CEREAL_ 1
    程序员该选择Macbook Pro吗?
    什么是游戏盾?怎么进行防护?
    Lambda 表达式捕获列表
    ROS系统使用usb_cam摄像头
    互联网摸鱼日报(2022-11-02)
    consul服务注册与发现、服务配置与刷新
    二叉搜索树在线OJ题讲解
    【2024】springboot校服订购系统设计与实现
  • 原文地址:https://blog.csdn.net/fengzheng126/article/details/136095829