渗透测试---蓝队基础

声明：学习素材来自b站up【泷羽Sec】，侵删，若阅读过程中有相关方面的不足，还请指正，本文只做相关技术分享,切莫从事违法等相关行为，本人与泷羽sec一律不承担一切后果

引言：

 网络安全中的蓝队：
      在网络安全领域，蓝队是负责防御和保护信息系统的团队。他们的任务包括监控网络、响应安全事件、实施安全措施和进行风险评估，以抵御可能的网络攻击。蓝队与红队（攻击队）相对应，后者负责模拟攻击以测试系统的安全性。

目录

一、企业网络架构

二、外部攻击面

三、身份管理

四、企业数据存储

五、SOC管理流程

六、网络杀伤链

七、基础操作

八、零信任网络

九、安全和基础设施

十、应急响应准备

十一、文件管理

---

一、企业网络架构

     企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而异，但通常遵循一定的框架和原则。

高层管理：

• CIO（首席信息官）：负责企业信息系统的战略规划、管理和优化，确保信息技术与企业战略保持一致。
• CTO（首席技术官）：负责运营技术的整体方向，包括技术创新、研发、技术选型等。

IT管理：

• 中央系统：集中管理企业内的所有IT资源，包括软件、硬件和数据。
• 自带设备（BYOD）：员工自带移动设备（如手机、平板电脑）接入企业网络，需要制定相应的安全策略和管理规定。
• 影子IT：员工可能在企业内部搭建的小网络或使用的未经授权的IT设备和软件，这增加了企业的安全风险，需要加以管理和控制。

中央技术团队：

• 客户服务团队：提供技术支持和服务，包括工作站、笔记本的维护和服务台支持。
• 基础设施团队：负责网络、服务器机群的规划、部署和维护。
• 数据库管理团队：负责数据库存储、备份和恢复，确保数据的完整性和安全性。
• 技术团队：通常由项目驱动，负责采购系统、维护和建立技术运营团队。根据信息技术基础设施库（ITIL）进行日常操作和管理。

安全部门：
     由CISO（首席信息安全官）领导，负责企业整体的信息安全策略、规划和管理。安全部门需要向CIO、CTO、CFO（首席财务官）和CRO（首席风险官）报告，确保信息安全与企业战略、财务和风险管理保持一致。
企业管理技术

• 信息安全管理成熟度模型（ISM3）：描述了企业安全运行和管理流程的成熟度等级，为企业提供了改进信息安全管理的指导。
• 安全职能：包含战略、战术和运营安全所有方面。由CISO负责管理运营，确保企业信息安全策略的有效实施和持续改进。
• 安全团队成员：应了解企业文化、组织和关键人员，以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象，提高信息安全意识和管理水平。

典型企业网络分区

     企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。

• DMZ（非军事区）：隔离内部与外部系统，提供安全的访问通道。
• 蜜罐：引诱和分析入侵者，收集攻击信息和行为模式。
• 代理：对外提供有限的服务，保护内部网络免受外部攻击。
• VPN：员工与合作商通过VPN连接内网，确保远程访问的安全性和保密性。
• 核心网络：通常物理分离、冗余设计，确保网络的稳定性和可靠性。
• 内部网络：包括有线、无线和VPN接入方式，提供全面的网络覆盖和接入服务。
• 安管区：管理日志、告警和事件，提供实时的安全监控和响应能力。

模糊的边界

• 随着云计算和SaaS服务的普及，传统网络结构逐渐减少，越来越多地在云中部署基础架构或使用SaaS服务。
• 用户从企业工作站登录到云或SaaS服务，需要企业提供身份凭据同步机制甚至SSO（单点登录）解决方案。
• 云服务可能涉及在本地运行的硬件，例如Azure AD Connect系统等。
• 数据通过内部和外部服务进行管理，例如Oracle数据集成器等。
• 工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享，实现资源的灵活配置和优化利用。

二、外部攻击面

   收集开源情报后，绘制网络范围内全部节点，关闭无用节点，减少攻击面。
使用nmap等工具进行网络扫描，例如nmap -Sn /24来发现网络中的活跃主机。
   重点关注开启了SSH服务的未加固设备，及时进行加固和修复。
   使用nmap等工具进行服务探测和版本识别，例如nmap -PS -sV ip-address来发现目标主机上开放的服务和版本信息。
   测试漏洞入口，大型网络主机和应用程序很容易缺少补丁或配置存在漏洞。使用漏扫软件（如Nessus等）验证漏洞存在性，并及时进行修复。
使用searchsploit等工具搜索相关漏洞利用脚本，例如searchsploit 来查找针对特定服务和版本的漏洞利用脚本。这有助于安全团队及时了解和应对潜在的威胁和漏洞。

三、身份管理

    身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具：

识别Windows典型应用

    在Windows环境中，常见的应用和服务包括Microsoft Exchange（邮件服务器）、SharePoint（文档协作平台）和Active Directory（目录服务）。要识别这些应用和服务，可以使用网络扫描工具，如sudo nmap -PS -sV somesystem.com，来探测目标系统上开放的服务和端口。

识别Linux典型应用

    在Linux环境中，OpenSSH（安全壳协议）用于远程登录和管理，Samba则用于文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。

识别WEB服务

    企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb ht