2024年网安最新100条安全原则来制定安全策略(1)

作者：神奇cpp | 2024-08-06 14:56:00

踩

不合法内容不要点，这是基本的安全意识；
一定要找出最薄弱点，那个点没做安全的，忽略的，才是重点。安全就是要全面，木桶原理，取决于最薄弱环节；
多看安全新闻，掌握最新威胁情报；
一旦被攻击或爆漏洞，一定要紧急处理；
多看应用的日志；
遵循安全行业规范，比如picc比如等保。
到市场上看有没有自己的敏感信息在卖。比如暗网，比如telegram等。如果有就是被入侵或内鬼了。需要重视。
分权管理，所有权限或敏感信息不要放在同一个人手上。要分摊到两个人一起做才可以。这就防止一个人独大了。
要部署一套全面的安全系统，并且统一管理；
充分熟悉业务和开发运维网络dba的技术。才能做好安全；
安全无小事，宁可错杀一百，也不放过一个。因为一出事就是大事，损失金钱和数据。甚至用户；
安全要从上往下执行，让领导和老板来推。小公司不会有安全，因为就算不做，也不会损失惨重，就不花这个钱了。技术能做多少就多少。
安全要和业务在一起工作。平时他们操作访问的应用和操作习惯，用的软件等，安全要做到心中有数。这样有帮助于找弱点和漏洞；
安全必须建立在业务稳定基础上，领导重视的基础上；
日志要全面，5W1H原则。时间地点谁，怎么干的，干了什么，导致什么影响。
安全重要是防止重大丢钱时间，重大损失，和小概率事件的。不是没事和大家找事的。
对常见攻击要有防御方案和应急方案。并且部署完整，和经常做红蓝对抗。平时重点关注新的攻击和异常。还有新闻；
安全处理要彻底不要有残留，不要心慈手软怕得罪别人。
安全要对所有技术都熟悉，才能渗入到每个环节，因为每个环节都要做安全；
纵深防御。每个环节都要防御，网络架构的每个点、运维架构的每个点、应用程序的每个方法、系统和安全软件。还有内核。每层都要做安全防御，这就是纵深防御。不是说，内部就安全了，不用防御的，旨在外壳做一点。那就是传统对安全错误的理解。
技术人员的安全意识培训很重要。但前提就是他们得有时间，不能业务都没做好就做安全。
对所有异常情况都判断一下，是不是安全事故。
要能做木马分析。
要对安全系统优化，提升漏报、误报、迟报；
做产品选型和架构设计时，就要考虑安全。不然有的产品本身就有安全问题，后期不好改。
每台server和服务都要有台历。并且周期性做手动检测也记录到台历里面。这样一出问题能很熟悉这台服务器的情况。
注意团队的敏感信息处理和离职人员安全处理，还有竞争对手。
安全处理要彻底，不要心软，不要怕麻烦；
安全人员要有基本自我修养或工作素质，才能做好安全，如责任心，爱学习和兴趣；
安全事件处理要深入业务，找到入侵原因（溯源和漏洞复现），彻底解决类似安全事故以及应用到其他项目中去；
安全和业务技术要很好的沟通；
熟悉安全产品和功能，还有看安全新闻；
防止社工
经常找黑客团队做渗透测试，也要内部做白盒渗透测试；
信息安全标准学习 27000
最好做到每个文件怎么来的，每个进程外联的IP，及历史都有记录，不然出故障很难溯源；
重点系统做重点防御，不是所有都一样的，比如Jenkins，比如harbor；
重点网络区域也要单独一个防御策略，比如DB的，比如重要服务器区域；直接单独防火墙；
要注意默认安全，该端口，该默认账号，默认访问路径等；
安全要能把常见弱点和漏洞找出来，让技术去修改就行。找的漏洞点越多越好；
K8S,DOCKER,ZABBIX,NACOS每套系统都要做安全，一个都不能有遗漏；哪套漏了就会被入侵；
基线检测要重视紧急修复，重大高危补丁也要紧急修复，一刻都不能等；
安全问题第一时间就是关机，反正要屏蔽远控为第一要务；
所有人要有一个好的安全习惯，不要为了方便和效率，关电脑锁屏；
安全防御就是靠安全系统（产品）和经验；
安全是从上往下推的，必须要有领导支持，要给权力，而且一切都基于日常的业务稳定。只要不忙才能更好的做安全；
安全需要彻底执行，说不能上网就不能上网，不要觉得无所谓就开放一下；
安全没有百分百，就看信任多少和愿意承受什么样的损失以及花费多大的代价精力。
定期做安全培训和规范编制；
供应链和社工是黑客的未来。
安全要做DevSecOps；
安全师零信任的，不要相信任何人给你的文件或程序或任何信息；
要做代码审计；
安全要求业务，随时可以关机，替换。比如IP、sever、Docker应用等；
安全要会所有黑客攻击手法。对任何一个点都知道黑客怎么入侵的。
要做访问控制：认证、授权、白名单IP等
多做预案；
一切操作和工作都落实到文件，要有记录，以后出事随时可以拿出来参考。这个很重要
一切都落地到文件（所有操作全部由表格记录）（指定到个人和时间），要有计划方案，实施方案，进度详情，事故报告，漏洞统计，每日扫描记录，每日巡检记录。
多做威胁模型：网络安全模型：ATT&CK、零信任、自适应安全架构 Gartner提出Adaptive Security Architecture（自适应安全架构）、Forrester提出Zero Trust（零信任模型）、MITRE提出ATT&CK（Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识）。
做一个限制或策略，绝对不是在只在一个点能做，要思维打开，在每一个点都有可能做，要相信会有更好的。比如限制出网白名单，在iptables上能做，在网络防火墙上也能做，在上网代理服务器上也能做。做安全思路一定要打开
安全不是做某一个部分的安全，比如运维，要做运维所有事都息息相关的安全，从办公电脑到服务器全部做。取决于最弱的一环；
安全要优先处理原则，开发运维要对安全信息透明；
任何安全机制，可以先用非强制模式，permissive ，跑出来日志了，二周左右，把正常合法操作都开启允许，其他的都黑名单就行了。
安全一定要有预案，webshell怎么处理，木马怎么处理，confluence被入侵怎么处理等等；
协助运维判断是否是安全导致的故障，比如cpu暴增，服务器重启，内网无缘无故有个ping命令。安全要24小时紧急应急；101 还要注意安全事故处理要有临时解决方案，一定要影响小还能解决问题；

做安全又一大原则：强硬原则，强烈要求原则。有的意见提了，运维不做，那就强硬提出，并且说清楚利弊。强烈要求一定要做；

安全一大原则：不要想当然原则。有的事，你觉得不可能，实际就是可能的，还得和技术去确认。比如10.0.0.8网段的机器，根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的，误报。实际，确实如此，网络就这么做的。

安全一大原则：不要怕麻烦原则有的事就怕麻烦别人，或者自己麻烦，没有去仔细判断，结果导致重要线索浪费了。就像找特征码的时候，没有反复让运维查服务器，特征码没找到准确的。

安全一大重要工作：通过木马分析找特征码，进行所有服务器扫描。

安全一大原则：提出的需求就反复追问，必须要完成原则，不要因为怕麻烦别人就不做了，就忘记了；

被动攻击总结常规和非常规漏洞点：

常规软件漏洞；
爆破
木马文件执行；
身份欺骗
数据篡改；
信息泄露；
提权；
可否人性；
拒绝服务；
人为泄露信息（内应）
社工库爆破
运营商劫持；
水坑攻击；
供应链攻击；
社会工程学
业务逻辑漏洞
故人干私活，从而把员工电脑给黑了，也就黑了他的公司资料；
获取网盘等信息；
植入前端广告，入flash下载；
网站挂马
发送垃圾邮件、短信等；
入侵路由器，默认安全；
全网批量扫漏洞；24 被动入侵手法：
获得密码后，直接连服务器
遗留木马，自己触发了
登陆云平台，操作了服务器
内网中间人信息收集，登录了虚拟化平台，操作服务器
运维电脑被黑，远控服务器
使用有木马的应用程序
中间人劫持
黑客做完免杀，做进程注入，在做端口复用，完全没有痕迹
运维管理服务器被黑后，从而操作其他技术，比如杀软远程安装，Jenkins 远程执行命令
劫持黑客攻击途径：
URL网址直接渗透，或旁站渗透；
互联网狂扫，扫到什么算什么；
先入侵办公内网在入侵机房网络，或先入侵远程办公电脑；
水坑攻击：运营商、服务提供商，下载站，pom代码提供商，路由器服务商，软件提供商，键盘、usb、xshell提供商
内应：透漏所有敏感信息，直接攻击弱点，并无法溯源；
有白名单的厂家，比如安骑士、dns、ntp、和应用程式需使用的第三方厂家（支付、监控）都是咱们白名单ip。可以更好实施攻击。
云平台账号
CDN厂家，就劫持和利用白名单渗透；
物理攻击：直接进机房或办公室，办公室WiFi用玩具直升机渗透。badusb、键盘等等。
其他：云服务器、防火墙、自建CDN服务器等等；

防0day（靠的是策略）：访问路径。访问控制机制：都用vpn，二次密码，用远程桌面在使用应用程序或虚拟应用；普通用户启动；加密白名单。应用白名单，进程白名单，网络白名单。不出网不入网；假设应用有一个RCE，看能获得多大的攻击；尽全力打补丁，不能让黑客两个漏洞联合起来利用；出网用代理，木马都没网络。只有知道代理服务器的应用才能出网；防御0day最好的方法就是隐藏。也就是隐藏端口，域名，IP 及时发现入侵，这样就算有0day，他黑进来也不能获取多大的利益；采用java的应用，不要用php的，更加能防0day