2024HW关键举措

XX省2024年HW：9月22-9月29日。
一、2024年8月30日，内部确定本次2024HW要拿奖，结合客户网络架构和业务实际情况，针对性制定以下关键举措：
1、人员配置：需要3个(24小时3班倒)T2的安服（防守、溯源、技战法等）值守7天+区域客服现场值守；每个分子公司明确一个接口人来协调和应急，有任何情况随时联系集团护网小组。
2、安全设备和GPT：集团和50家分子公司所有设备（AF和AES、SIP、NTA等）全部接入SAAS-XDR+GPT，提前做好联动、资产梳理、数据投喂和预案剧本。
3、暴露面收缩：集团和50家分子公司暴露面收缩，统计所有公司的互联网出口，检查对外映射的业务，能关闭的全部关闭，无法关闭的对外业务全部记录，重点监测，访问人数较少的通过零信任访问（让客户协调分公司所有安全设备的地址账号密码，逐一登录上去检查）；关闭VPN和云桌面对互联网的映射，测试业务全部关闭；所有集团和分子公司的监控平台（海康和大华的等）；VPN关闭或者收敛、无线和有线网络均开启认证，禁用不明账号、关闭云桌面映射。
4、设备安装部署要合理：检查所有互联网出口安全设备是否齐全，没有安全设备的借测试的防火墙，分子公司部署测试的STA和EDR，确保实时可视可控。（协调渠道借测一台物理STA，地州和其他省份分子公司协调资源提前部署软STA和AES）
5、云威胁情报网关：集团和分子公司出口AF全部进行升级（20台AF全部升级8.0.95），出口AF开通云威胁情报网关。
6、所有子公司部署探针（可以部署软件的）统一接入集团安全感知平台，做好全流量分析。
7、所有HW期间开机的服务器必须安装AES软件，做好终端安全防护；建议所有用户终端安装杀毒软件，集团发通知让用户自己安装AES；然后从AES602R1管理端统一下发漏洞扫描任务，对有问题的终端进行处理。
8、禁止服务器等非用户网段上网：服务器非必要不上网，在出口防火墙等设备上面禁止服务器访问互联网。
9、检查AF和SIP一年内上面发现的脆弱性等问题，逐一整改。
10、渗透测试和整改：提前对所有业务系统进行渗透测试，特别是上报的业务系统。
11、线上线下协同：MSS线上配合本地客服+安服值守团队，提前2-3天入场。
12、授权检查：出口防火墙和数据中心防火墙是否有waf模块和所有业务在waf上是否配置解密（核对所有重要业务流量和日志waf上是否看得到），新大楼出口加WAF模块（互联网出口、云联网、专线墙）、海东出口规则库更新、和新大楼数据中心全部加WAF模块。
13、针对关键业务系统和重要设备均限制源地址访问，在数据中心和出口防火墙进行精细化的ACL策略控制，分子公司间原则上不允许互访，只允许访问集团OA和门户网站等需要的业务（云联网和分支组网墙上做策略限制），其他均阻断，禁止高危端口。
14、每天及时观测供应链和OA等对外开放的业务系统或者必须上网的业务系统相关的漏洞（0day等），联系业务厂家及时处理。国护和行业HW、省HW期间爆出的漏洞，或者厂家自己发布的漏洞，来源主要是各个业务系统厂家、深信服MSS、熊猫等情报网站。
15、加强网络安全意识培训，防止社工和钓鱼。开展2次网络安全意识培训：不明附件不接受、不明二维码不扫描，避免个人OA和云桌面、VPN弱密码等。
16、按照HW手册监测所有设备配置是否是最优，及时调整升级。
17、业务系统登录口令均开启辅助认证（短信/企微扫码等），新设备初次登录业务系统需要短信验证码辅助确认等。
18、设备全部接入云图（异常会有告警），多分支场景，每天检查下每个分支是否将日志传送到集团XDR/SIP。
19、客户侧自身资产和业务情况不清晰且涉及多分支网络情况比较复杂，协调沟通比较低效拖延，资产持续完善中。
20、如果要多得分就好好写防守报告和溯源报告；如果要真正持续做好安全效果建设运营，就得落实上面的内容：内网4A认证+零信任+业务系统辅助认证和安全加固+边界和区域安全设备上面精细化安全策略+所有流量看得见（STA/AF/AD解密）+态势感知/XDR平台联动安全设备进行实时日志监控告告警聚合消减且做好剧本联动处置+安服线上24小时监测处置+联动所有供应链厂家定期检查版本和插件更新。应急管理原则：发现问题先处置（临时隔离断网，再排查处理）

持续学习&完善