针对定向网络攻击主要风险分析访谈检查表

2023/11 作者:ihunter 0 0

1、互联网入口攻击

2、内部网络横向攻击

3、集权类系统风险和要求

一、互联网入口攻击

20231106_173528_093.jpg

二、内部网络横向攻击

20231106_173528_094.jpg

三、集权类系统风险和要求

20231106_173528_095.jpg

原件:

针对定向网络攻击主要风险分析访谈检查表

分类

测评项

风险描述

检查项

检查结果

整改建议

互联网入口攻击

应用网站安全漏洞

应用系统和网站存在高风险安全漏洞,可能直接被攻击者利用,从而直接或间接获取服务器权限,进而对系统及内部网络进行攻击。

应用系统上线前是否进行源代码审计

¨是 ¨否

定期开展渗透测试,上线前进行代码审计,针对发现的漏洞要全面整改类似漏洞,不能只单点修复报告中的问题

应用系统是否定期开展渗透测试工作

¨是 ¨否

针对发现的漏洞是否定期修改

¨是 ¨否

弱口令、默认口令

互联网可以访问的网站系统、应用系统或管理后台等,如果其用户使用弱口令或默认口令(厂商初始化口令),可以轻易被攻击者猜测、破解,进而上传后门、获取权限,获得互联网攻击入口

互联网用户主机是否存在弱口令

¨是 ¨否

修改所有用户弱口令和默认口令,要求应用系统和中间件等开启口令策略,口令须满足复杂度要求并定期更换。

是否开启口令复杂度要求

¨是 ¨否

应用和中间件管理后台暴露

网站应用系统后台或中间件管理后台对互联网开放,攻击者可对其进行攻击,利用漏洞或破解口令,获取后台权限,进而上传后门、获取权限,获得互联网攻击入口

是否允许互联网访问应用管理后台

¨是 ¨否

全面排查向互联网暴露的资产是否存在管理后台,利用防火墙等关闭管理后台互联网访问,并按照最小化原则开放后台访问权限。

是否针对管理后台开启严格的访问权限控制

¨是 ¨否

是否针对管理后台访问权限进行限制

¨是 ¨否

服务器互联网暴露

服务器应只向互联网开放业务所需的http和https等端口,如服务器向互联网暴露了过多端口,极易被攻击者攻击,攻击者可直接控制服务器,进而对内部网络进行跳板攻击。

对外网开放端口是否存在危险端口,如3389、445等

¨是 ¨否

采用资产发现全面排查向互联网暴露的资产和开放的端口,同时梳理防火墙策略,对互联网开放的服务器多余端口进行关闭。

防火墙策略限制粒度是否为端口级

¨是 ¨否

服务器外联风险

所有服务器,包括DMZ和应用、数据库服务器等,均应禁止访问互联网,如开放了向互联网访问的策略,攻击者可通过建立反向代理等方式远程控制服务器,进而对内部网络进行扩散攻击,通过获取口令远程控制服务器,利用此服务器对同一网络区域进行跳板攻击,类似这样的攻击场景,安全设备基本无法监测和防护。

服务器是否针对互联网开放访问权限

¨是 ¨否

对所有服务器关闭互联网访问权限,如因业务需要开放,应按照最小化原则,只针对特定ip开放特定端口

若对外开放,是否开启严格的访问控制,限制特定IP进行访问。

¨是 ¨否

内部网络横向攻击

弱口令、默认口令

内部网络资产如使用弱口令、默认口令,极易被攻击者利用跳板机攻击控制,进而扩大攻击面,特别是运维使用的管理系统,包括堡垒机、网管系统、域控等,其权限很大并包含了大量的管理数据,被攻击者控制会造成重大风险。

内部网络资源是否存在弱口令及默认口令?

¨是 ¨否

全面排查修改内部网络弱口令和默认口令,包括管理系统、服务器、网络设备和安全设备等,特别是管理系统,要求开启口令策略,口令须满足复杂度要求并定期更换。

管理系统设备是否开启口令复杂度要求

¨是 ¨否

设备使用同一口令

为方便记忆和使用,网络内大量设备使用同样的一个或几个口令,如口令被攻击者破解或获取,攻击者可以利用口令直接获取大量设备的权限,且因未发起网络攻击,安全设备很难监测告警。

网络内设备是否为同一口令

¨是 ¨否

全面排查网络内设备的口令,对同一口令进行修改,要求开启口令策略,口令须满足复杂度要求并定期更换。

是否开启口令复杂度要求

¨是 ¨否

操作系统、中间件安全漏洞

操作系统或中间件存在高风险漏洞,如weblogic反序列化、struts2漏洞、永恒之蓝漏洞等,攻击者可以从跳板机直接发起攻击,获得操作系统控制权限。在安全域划分完善、访问控制严格的网络中,中间件漏洞可能成为攻击者横向扩散的一个有效利用点,攻击者利用漏洞通过业务端口控制其它网段服务器,绕过网络访问控制。

针对系统及中间件等是否定期进行安全补丁更新

¨是 ¨否

全面扫描系统和中间件漏洞并对高风险漏洞及时整改,建立定期漏洞扫描和整改追踪机制,确保高风险漏洞切实整改。

针对系统及相关软件是否定期进行漏洞扫描

¨是 ¨否

针对发现的漏洞是否进行整改追踪

¨是 ¨否

内部系统安全漏洞

部分对内部开放的应用系统,攻击者取得跳板机后会对这些系统进行攻击测试,如系统存在安全漏洞,可被攻击者利用获取系统权限并控制服务器。对于内部系统,应和互联网系统同等对待,同样可能直接面临攻击者的攻击测试。

针对内部系统是否定期开展渗透测试

¨是 ¨否

定期对内部系统开展渗透测试,上线前进行代码审计,针对发现的漏洞要全面整改类似漏洞,不能只单点修复报告中的问题。

内部系统上线前是否经过代码审计

¨是 ¨否

针对发现的问题进行是否全面整改

¨是 ¨否

集权类系统风险和要求

邮件服务器

邮件服务器若被外部攻击攻陷,则整个邮件服务器内保存的邮件信息则可被攻击者获取,可能会从其中获得隐藏在邮件中的敏感信息,如服务器口令,相关责任人信息,攻击者可通过此类信息进行下一步攻击。

口令,敏感文件等敏感信息是否禁止通过邮件方式传递

¨是 ¨否

严禁在邮件中发送含敏感系统信息,包括但不限于网络拓扑架构、业务系统相关信息、服务器系统密码、服务器系统SSH密钥等,邮件系统与DMZ区ACL严格隔离。

域控制器服务器(Domain Controller)/DNS服务器/备份服务器

域控制服务器等服务器权限较大服务器一旦被攻击者获得权限,可能会造成及其严重影响,如相关访问控制策略被删除,DNS服务被修改,备份信息被删除等。

针对系统是否定期安装安全补丁

¨是 ¨否

定时更新系统补丁、强制定时更改域控管理员及krbtgt账号密码,且采用大小写数字特殊字符混合,密码位数不低于16位(三个月强制修改一次,不能采用历史密码)。

是否定期修改管理员口令

¨是 ¨否

管理员口令是否开启复杂度要求

¨是 ¨否

ITSM运维管理系统/Zabbix/

相关集成监控维护系统及服务器权限较大,若被攻击者攻击并获得管理权限后,会造成极大影响,修改相关系统权限,获得服务器口令,甚至是控制全部监控维护系统下服务器权限。

是否针对重要集成监控维护服务器配置严格ACL进行严格控制

¨是 ¨否

严格ACL访问控制,细化ACL规则,不同服务器采用不同的复杂且随机的密码,密码位数不低于16位的密码。严格限制以上系统后台/控制台对外开放,建议仅开放特定用户、特定IP访问以上系统后台/控制台。

Nagios/堡垒机等集成监控维护系统

重要集权系统是否为相同口令

¨是 ¨否


是否开启管理员密码口令复杂度要求

¨是 ¨否


是否针对访问IP进行限制

¨是 ¨否

研发服务器/SVN/Git

相关研发服务器、SVN、Git等相关管理服务器权限较大或存放重要信息,若被攻击者攻击,会造成数据泄露,权限被恶意变更等严重事件。

是否针对重要服务器配置严格ACL进行严格控制

¨是 ¨否

严格ACL访问控制,研发服务器/SVN/Git等服务器仅开放特定IP访问,如研发个人终端访问,同时建议访问服务器时采用双因素认证,如USBKey等。

针对重要服务器是否开启访问控制权限

¨是 ¨否

是否针对访问服务器人员的身份进行双因子鉴定

¨是 ¨否

研发个人终端/运维个人终端

相关研发及运维人员终端所处的网段或IP权限较大,拥有访问相关重要信息系统服务器,若终端被黑为“肉鸡”,则攻击者可远程控制终端进行攻击行为甚至是破坏行为。

终端是否安装杀毒及安全防护软件并定期更新病毒库及防护规则

¨是 ¨否

建议细化ACL规则,定时更新系统补丁、查杀病毒、定时修改系统密码、提高研发运维人员安全意识等。

终端是否定期更改管理员密码

¨是 ¨否


赞(0) 更多分享

上篇: 运维巡检-Linux标准检查表
下篇: 网络安全等级保护测评方案