应急响应篇——安全加固

经过前几篇的应急响应篇章，相信各位师傅们按着做的话也该来到了加固，加固是一个后处理工作，主要是为了防止攻击者二次入侵、同样的问题发生两次。安全加固其实是一个稍微泛一些的词，做基线检查整改、等保整改也可以叫加固，加个杀软也可以叫安全加固，本篇主要讨论与应急响应相关的安全加固方向。

一、基线检查

这里写出基线检查不是真的必须做一次基线检查，而是基线检查是针对操作系统层面进行的安全检查，到了应急层面的事故大概率波及到服务器本身，主要验证以下几点：

1.最小权限要求，能不给的权限就不给。

2.越权风险，是否有低权限用户获取高权限风险；是否有不同用户之间可以越权访问彼此资源。

3.敏感文件权限、敏感路径权限。

4.改写权限。

（虽然之前分享过了，但还是发出来给各位师傅参考一下，自写安全加固脚本for基线检查的，仅参考，为测试版本，请勿在真实环境直接运行。放在文章结尾，需要自取。）

二、安全设备

冲钳法则，能上则上，没有的都上，上网行为管理、全流量、防病毒、防火墙、waf，正常来说可能不是那么囊中羞涩的甲方，至少满足百分之八十的，能穿那就是设备还不够满！当然了，也不能无脑上，以下设备及功能仅供参考！资金充裕的甲方可以考虑看看：

1.上网行为管理：突出一个内部管控，对接入网络的所有个人主机进行管控，可以管控上网行为、监控上网行为，你看了什么小网站、打开了什么软件完全可以检测到，且需要多重验证（正常都会开双因子，有可能没有），安全系数拉至百分之七十！

2.waf：全称web应用防火墙，暴露面web资产多的、安全人手不足的，waf解君愁！常见的难修复的sql注入、命令注入、代码注入各种注入，还有文件上传，只要牌子够响亮，厂家响应够及时，安全系数再次上升，拉至百分之八十！

3.全流量分析：内网自带日志记录的小鲨鱼，抓取各种协议数据包并记录，一旦出事，锁定范围，一键筛选，定位威胁，再加上现在的全流量分析不仅界面方便、逻辑清晰，还自带了一部分安全追溯功能，一定范围的规则库匹配，安全系数升级至百分之九十啊！

4.其他安全设备：这部分大家查漏补缺吧，正经的什么edr、防病毒网关等、蜜罐，或者一些新颖一些的安全概念设备，不差资金的情况下尽管上，直接把安全系数拉爆到99.99%。

三、安全处置记录&应急流程文档

文档类性质的工作请不要轻视，从整体出发来说安全工作不是以某一人为主体去开展的，从大局角度出发建立健全的安全记录机制是应对未来威胁的准备，本来想给大家分享一下up自己写的，但实在不好脱敏，就大致列出需要的内容给大家吧。

1.网络拓扑结构（尤其是涉及安全设备和业务系统的部分），需要明确的表现出业务系统和安全设备的连接，最好能附加说明，从互联区以及内部业务网络区域到达核心服务器需要经过哪些设备、做哪些策略和调整放行。

2.场景建立：建立特殊场景，例如服务器被入侵、页面篡改、系统安全告警等紧急情况下如果处理的流程：

①事件追踪及上报

②事件判断

③事件详细处置流程（包括联系响应管理员获取相关权限、服务器处置流程或数据库处置流程，按照应急响应步骤进行编写。）

④事后处置：包括恶意文件清除、痕迹清除、安全加固等

⑤业务验证（针对该行为利用行为进行验证，是否还对业务产生影响或是否还存在该威胁）

⑥形成处置记录，对该事件处理全过程进行复盘。

四、漏洞扫描&渗透测试

这一阶段进行的工作相当于自查，检测前几步安全加固的结果，以及发现新问题并进行整改，提高安全系数，防范风险。漏扫之间单独发过一篇了就不赘述了，感兴趣的师傅们一样，请自行前往历史文章查看。