2021年防守方HW行动经验分享：云平台安全防御策略

"2021HW参考_防守方经验总结.pdf" 这篇文档是对2021年某次HW行动中防守方经验的总结，作者在其中分享了参与防守团队从甲方角度进行攻防对抗的心得体会。这次HW行动是与一家国有企业合作进行安全防御，涉及的云主机数量超过14000台。 0x00前言 作者强调所有策略都是根据客户的实际业务情况定制的。项目分为护网前和护网中两个阶段。 0x01护网前 护网前的工作至关重要，尤其是对于国企这样的大型机构。前期准备工作主要涵盖自检和加固两大部分。 1.1自检 自检是发现安全问题的关键。自检分为外网渗透测试和内网渗透测试。外网测试应结合客户业务特点，例如针对政企客户，利用WordPress、Drupal等特定payload的攻击可能效果不明显，需要更有针对性的方法。外网测试主要关注可能导致主机权限泄露或大量数据泄漏的漏洞，如弱口令、命令执行、文件操作和未授权访问等。 1.1.1外网渗透测试 重点关注的漏洞包括：弱口令（数据库、SSH、RDP、后台）、命令执行（Solr、Jenkins、Weblogic、Struts2、RMI、JBoss、Tomcat、Spring、ActiveMQ、Zabbix）、文件操作（文件上传、文件读取）和未授权访问（Redis、Hadoop、Docker、K8S）。 1.1.2内网渗透测试 内网测试更为复杂，由于内网中有各种安全设备，因此重点放在内网云平台上。首先进行资产发现，通过编写脚本爬取资产信息，包括IP、项目、部门和状态等关键字段。然后进行资产指纹梳理，以减少测试时间和成本。 接下来的步骤可能包括： 1. 资产分类和评估，确定高风险资产。 2. 深入测试，寻找潜在漏洞。 3. 制定加固方案，如更新补丁、配置强化、访问控制等。 4. 安全事件响应机制的建立和演练。 在内网云平台中，由于存在微服务集群，还需要对这些集群进行特定的安全评估和管理。 这份文档提供了一个详尽的防守方在大规模网络防御中的实践指导，包括如何高效地进行安全检查、如何定位和优先处理高风险问题，以及如何在有限时间内实现全面安全覆盖。对于从事网络安全防御工作的人来说，这些经验和策略具有很高的参考价值。