赞
踩
下载地址在文末,资料定期更新
一、保密要求
禁止泄露任何与用户相关的信息、数据、文档等内容;
禁止将客户信息化系统账号、密码、敏感信息粘贴到物理 办公位置任何地方;
严格遵守和执行和客户签订的保密协议内容,对于其中的 禁止事项必须严格执行。
二、网络传播
1. 禁止私自在社交平台、微信朋友圈发布传播客户任何 HW 相关信息、客户资料等内容;
2. 禁止将客户系统设计文档、网络拓扑、网站或系统代码等 文件传播到互联网;
3. 禁止在互联网上的外部网站或应用(如论坛、微博、即时 通信软件等)上使用与客户公司设备、系统上相同的账号或口 令;
4. 禁止通过云盘(包括天翼云盘、百度云、360 云盘等)、 社交软件(包括微信、QQ、易信)等方式进行企业敏感信息的 共享、存储。
三、个人终端
禁止将个人终端账号与口令告知他人和设置终端弱口令;
禁止离开工位不锁屏;
禁止个人终端裸奔现象(未安装杀毒软件或杀毒软件病毒 库未更新),个人终端基线需要进行自我检查和安全加固,避免 被攻击;
禁止个人终端设备存放客户任何口令类电子文件、网络拓 扑、系统源码等敏感文件;
禁止点击来路不明邮件中的链接或打开附件(邮件附件内 容不是常见的文件格式,如后缀名是 exe、 htm、html、chm、 txt,vba、vbs,bat,7z 等的邮件);
禁止开启远程协助类工具,包括但不限于 Windows 远程 桌面功能、QQ 远程协助工具、TeamViewer、VNC 等;
禁止访问可疑网站网址域名不是以(.com、.cn、 com.cn、.net、.net.cn、.org )的网站及浏览器反馈访问网站有 证书错误、域名过长、域名不是由明显汉语拼音或英文单词组 成的网站等;
禁止使用非工作邮箱代收工作邮件;
禁止将个人终端同时跨接内外网;
禁止在个人终端上搭建无线热点;
下班离开办公室前关闭终端计算机。
四、值守要求
1. HW期间禁止擅离职守,全员必须 7*24 小时开机,并保持通讯畅通;
2. HW期间禁止隐瞒和恶意利用已发现的木马程序和漏洞,发现问题随时上报;
3. HW值守期间禁止开展与HW无关的任何工作;
4. HW值守期间禁止在客户现场拍摄现场照片,包括“指挥 部”、“HW”字样的条幅、铭牌、办公室环境等;
5. HW值守期间禁止向公司内部攻击队成员或其他攻击队成 员打探当前防守客户的成绩,不允许向客户承诺“可以打探成 绩”。
五、关键操作行为
1. 禁止任何形式的未授权的扫描探测、漏洞验证、渗透测试 行为;
2. 重要操作必须上报项目经理或用户同意后,方可执行。如 使用一个漏洞验证语句或任何安全工具等;
3. 禁止在办公网络及其他内网中搭建无线热点;
4. 禁止未经审批开放内部系统的互联网出口;
5. 禁止来路不明的人员远程控制公司内各类设备或执行其告 知的各项指令;
6. 禁止手机连入客户内部网络并点击任何不明链接;
7. 禁止未经授权和安全检查直接向客户信息化系统设备私自 插入移动设备;
8. 禁止在用户各类信息化系统上传木马后门程序;
9. 禁止在具有投放屏幕的电脑上进行敏感业务操作;
10. 禁止使用和下载任何来历不明的安全工具、软件等。
资产发现步骤:
1、根据一级域名发现所有子域名,可以采取搜索引擎探测,site:xxx.com,暴力破解等方式。
2、根据子域名DNS解析记录查找IP
3、针对子域名和IP做端口探测
4、针对IP做域名反查,备选,很难保证准确性。
网络安全风险排查
小编这里对网络拓扑、主机、应用配置需要注意的部分“划了重点”,单位可以对照进行排查:
1、HW目标系统是否与单位其他网段网络隔离。
2、服务器、网络设备、安全设备运维方式确认,是否为堡垒机,如果直接运维,建议HW期间,只允许运维人员网络访问SSH、RDP等。
3、核心系统安全策略确认,建议HW期间配置更严格的ACL策略。
4、终端杀毒软件保证HW前期和HW期间每天进行病毒查杀。
5、口令安全,网络设备、安全设备口令设置为强口令,不能统一口令,业务系统是否对外部用户开启注册。若提供外部用户注册,是否对外部用户注册时口令复杂度及长度进行强制要求。是否有密码找回功能。
6、应用系统后台地址暴露情况,是否对公网暴露。
7、网站上传目录是否有运行权限。
8、VPN、服务器账号是否有长期不用的测试账号、临时账号等。
9、监控设备如流量分析、态势感知设备流量接入是否全部覆盖单位互联网网络,尤其容易疏忽的是第三方接入流量。
10、安全设备如WAF、IPS可以根据网络情况,安全策略级别调高,如访问频率阀值,封堵时间等。
11、前期发现的漏洞,高危利用难度低的漏洞优先修复。
风险排查PDCA
HW期间工作计划
最后需要对HW期间的工作做好计划安排,组织架构,威胁上报流程,应急处置预案,HW环境确认等。
组织架构:可以分为领导小组,监控小组,分析小组,处置小组,应急小组,报告编写小组,根据HW团队规模分组,规模较小的单位,部分小组可以合并为一个,比如监控和分析。
威胁上报流程:单位安全部门需要与运维、应用、网络部门做好沟通,发现威胁后的处置流程,配合部门也要派出相应的人员值守,专职负责支撑HW。小编以及小编小伙伴们HW的几家单位,HW期间大部分工作都是监控攻击,然后封堵IP。
应急处置预案:拟定HW期间的不同场景,编写应急处置预案,与各支撑部分进行确认。
HW环境确认:HW值守人员工作场所,监控设备登录方式,堡垒机账号,各支撑部门沟通方式等。
考前一天
内部演练
经过一周的抱佛脚,“学渣”们上考场前,已经提升了不少信心。在HW前一天,可以来一次内部演练,磨合一下流程。
内部演练主要的目的是为了验证攻击方的流量都能够监控到,以及应急处置流程的顺利实施:
安排红队攻击方,对单位网络模拟攻击,攻击范围要覆盖单位全部系统(可以根据前期资产发现结果),攻击方式也要多样化,力求模拟攻击方几乎所有类型的攻击手段,包括web渗透、暴力破解、内网渗透、钓鱼邮件等。监控小组需要确认,不同系统不同攻击方式,是否全部监控到,如果有遗漏,需要及时调整。
模拟应急处置流程,监控小组发现攻击后,提交给应急处置小组,开展应急处置工作,如封堵攻击IP,通知收到钓鱼邮件的员工,隔离内网被控制的主机等。
复盘总结,内部演练后,总结演练过程中发现的问题,保证HW开始后,一切按照计划开展。
安全意识宣讲
HW期间,攻击方的目标不仅仅是业务系统,也包括普通员工的电脑,如钓鱼邮件、钓鱼网页、社会工程学之类,需要对全单位进行安全意识宣讲,这里小编拟了几个需要注意的场景:
1、长时间使用叫号机器、ATM等单位信息系统,不做业务办理情况。(银行单位)
2、无证件或者无证明文件的外部人员要求进机房、办公区等。
3、自称是打印机、办公电脑维护的IT人员,需要在办公电脑操作或者插U盘。
4、之前没连接过的WiFi,WiFi名称一般为某某餐饮或门店,突然出现在WiFi列表中。
5、收到异常邮件,邮件中含有异常链接、附件等。
HW开始
准备了那么久,终于到了考试的日子啦,放轻松心态,吃点清淡有营养易消化的早餐,元气满满的走进考场。
HW开始后,按照原定计划开展监控、处置、应急工作。防守比攻击被动,不清楚什么时候攻击方开始攻击自己,只能7*24小时盯着监控平台。这里笔者分享一些“考试技巧”:
1、长时间使用叫号机器、ATM等单位信息系统,不做业务办理情况。(银行单位)
2、无证件或者无证明文件的外部人员要求进机房、办公区等。
3、自称是打印机、办公电脑维护的IT人员,需要在办公电脑操作或者插U盘。
4、之前没连接过的WiFi,WiFi名称一般为某某餐饮或门店,突然出现在WiFi列表中。
5、收到异常邮件,邮件中含有异常链接、附件等。
转载于:https://www.cnblogs.com/Security-X/p/11245237.html
星球是免费的,某些蹭热度的喷子请自重!
HW期间欢迎大家交流经验以及提出问题!我也会和大家多讨论讨论
1933份网络安全资料,申请加入请介绍自己及来意,否则认为广告不予通过。份网络安全
部分HW资料预览:
HW行动专项应急演练方案.pdf
企业做好这些,不怕HW.txt
HW总结模板.txt
2019年HW行动必备防御手册(V1).pdf
HW2019工作方案介绍及配套工作文档.zip
秘密···················
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。