背景
今天面试,面试官问到了这一个问题,云主机被getshell了,进行了横向移动,如何进行阻止以及防范?当时回答了两个点:通过防火墙出入站策略设置黑名单、EDR设备拦截;面试官问还有吗(当时还想着回答纵深防御,觉得太泛泛就没有说出来),我内心:……;
但是我遇到的几个场景大部分是公司旁站被打穿之后,就直接把上面的业务下线了……(确实可以防范横向移动)
总结
大部分都是日常防范措施
EDR设备监测 (这里以奇安信网神云锁为例)
使用EDR工具收集的数据并训练基于AI的网络安全软件,以留意未经授权的访问及可能存在恶意网络活动的其他异常行为,做公司内网资产管理,主要功能包括:
行为管理-服务行为:梳理对外服务进程及其子进程进行的命令执行,文件创建,网络外联行为,用户通过验证行为清单后,可开启告警模式实现服务行为白名单,但出现新增行为时将立即产生告警事件通知用户
风险发现-弱口令:很多横向移动的方式都是通过弱口令,已经口令复用(多账号使用同一个口令)进行传递的,EDR可以尝试爆破进行检测是否有弱口令的风险
风险发现-历史漏洞:通过集中管理、周期性扫描,从多个维度对目标服务器进行脆弱性扫描和整体评估分析,使用nDay进行模糊测试
系统防护-文件监控与防护:对受保护文件违反规则的进行拦截。可以对监控文件进行读取、写入、删除、创建、执行、链接、重命名的操作行为,并记录日志到日志分析
全局设置-IP黑白名单:这里通俗易懂就是拉黑ip操作
日后学会了其他防御方式再回来补
