本帖最后由 阿勒泰 于 2022-7-29 09:44 编辑
今天继续学习护网培训
课程名称:2020年8月HW培训
课程链接:http://learning.sangfor.com.cn/my/course/1754
接下来应该是第四项-HW工作内容和操作建议了,因为老师的时间安排,这个先讲的,但是我是按老师的PPT一项项发表学习笔记的,同学们想要食用的话,可直接跳转观看课时2
首先分享护网28条目录(原谅我偷懒,直接复制了@深育_潘江华 提交的笔记)
1、确认组织、分工、计划
2、召开启动会议
3、内网资产梳理
4、互联网暴露面梳理
5、攻击路径预判
6、漏洞扫描
7、渗透测试
8、基线检查
9、查毒杀毒
10、口令账号排查
11、目标系统重点排查
12、集权系统排查
13、重点、敏感系统排查
14、补丁及加固
15、互联网边界保护
16、资产暴露面收敛
17、内网边界防护
18、上网策略
19、无线网接入安全
20、邮件安全
21、移动APP防护
22、办公/营业终端防护
23、敏感信息清理
24、供应链安全风险排查
25、部署安全运营、态势感知、蜜罐
26、统一日志管理
27、安全设备策略检查
28、预演习,准备工作闭环
因为距离月底还有最后一个工作日,还有4条没有分享,时间紧、笔记多,量大从优吧。今天分享(25、部署安全运营、态势感知、蜜罐;统一日志管理;安全设备策略检查;预演习,准备工作闭环)的笔记。
25、部署安全运营、态势感知、蜜罐
操作建议: 1.流量采集是否完善(覆盖核心网络、DMZ及攻击路径); 2.安全设备、网络设备、主机日志采集情况;协调网络管理员、系统管理员配合安全厂商对网络流量采集和各种日志传输情况进行价差;验证安全运营运行的有效性; 3.安全事件、风险主机的处置情况应予闭环。
26、统一日志管理
操作建议: 1.应对重要系统日志设置情况做梳理并开启日志,有条件时应建立一套独立的日志分析系统和存储机制,正式攻防时可派专人对目标系统日志和中间件日志每日进行恶意行为监控分析。 2.提示:日志信息是帮助分析攻击行为的一种有效手段,攻击者攻击成功后,打扫战场的首要任务就是删除 日志,或者切断主机的日志外发,防止防守者追踪;
27、安全设备策略检查
操作建议: 1.防火墙、VPN、暴力及等安全设备的安全策略:自身安全策略开启、规则库更新,授权是否到期、设备的安全补丁是否打齐、账号安全;建议限定对设备的可管理地址;可要求设备厂商进行协查; 2.如果有深信服设备,确认AF、SIP是否升级到护网版本; 3.报警策略是否开启;有无指定合适的接收人员; 4.检查自动阻断策略、联动封锁策略是否开启;评估对可用性有无影响; 5.在扫描、渗透、演习阶段可验证设备策略是否有效。
操作建议: 1.HW安全意识宣导,包括通知、培训、海报张贴、屏保宣传等; 2.现场模拟预演习,按照工作内容和职责,使用相应工作模板开展相关工作;由攻击队进行攻击,现场防守方进行检测、分析、处置; 3.使用资产及漏洞扫描工具,对防守范围(公网、DMZ、服务器)做全网段漏洞扫描,确认漏洞整改有无遗漏; 4.根据预演习过程暴露的问题,进行改进,依照前27条,重新闭环; 5.本项工作的人力投入较重,具体开展方式、范围、深度取决于项目预算及双方约定,PM应做评估合理安排; 6.本项工作应上传交付物附件!包括所有高危漏洞、高风险项的关闭结果;最后一次暴露面梳理及漏洞扫描结果等;同时说明HW准备工作是否已全部完成,如未完成在护网中阶段应继续。
侵删 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-7-30 12:14
工程师3级 
