安服仔的自我修养

从首都图书馆无意间翻到的一本工具书《深信服安全服务工程师实战》，我实在惊讶于深信服把售前资料从内部文档库里面输出一个PDF就拿来卖钱了。虽然里面有不少的销售话术和广告推销以及前后重复的内容，但不失其为本好的一次性工具书，对于了解乙方的现阶段企业安全建设的思路还是有帮助的。

风险评估

风险评估是对一个事件后者事物可能造成的影响或损失造成的影响或损失的程度进行量化。

评估目的

1. 资产识别
2. 平衡安全风险与成本
3. 风险识别
4. 建设指导
5. 业务保障

评估模型

评估方式

1. 自我评估
2. 上级主管或者业务主管发起的、基于法规或标准的强制性检查活动
3. 外协专业安全服务组织进行

评估原则

1. 标准化原则
2. 业务主导原则
3. 规划性原则
4. 保密性原则
5. 最小影响原则
6. 互动性原则

评估方法

类别

1. 基于知识的分析方法

2. 定性分析方法

3. 定量分析方法

方法

1. 访谈调研
2. 人工审计
3. 工具扫描
4. 渗透测试

评估范围

技术评估范围

1. 物理环境
2. 网络结构
3. 主机及数据系统
4. 应用系统
5. 业务流程

管理评估维度

1. 安全管理制度
   1. 文档，包括策略、制度、规程、表格、记录
2. 安全管理机构
   1. 安全管理的岗位设置、人员配备、授权和审批、沟通
3. 人员安全管理
   1. 信息系统用户
   2. 安全管理人员
   3. 第三方人员
4. 系统建设管理
   1. 系统定级
   2. 安全风险分析
   3. 安全方案设计
   4. 产品采购……
5. 系统运维管理

流程

1. 评估准备
2. 资产评估
3. 威胁评估
4. 脆弱性评估
5. 风险综合分析
6. 风险处置计划
7. 总结会议和服务验收

基线核查

概念

基线是指项目存储库中每个控件版本在特定时期的一个快照，它提供一个正式标准，随后的工作基于此标准开战，并且只有经过授权之后才能变更标准。

分类

1. 功能基线：系统分析与软件定义阶段，最初的功能标识，系统或软件的规格说明
2. 配置基线：软件需求分析阶段，最初的配置标识，软件需求规格说明
3. 产品基线：软件组装与系统测试阶段，最初的产品标识，产品配置项的规格说明

核查对象

web应用基线

1. 身份与访问控制
2. 会话管理
3. 代码质量
4. 内容管理
5. 防钓鱼与防垃圾邮件
6. 口令算法
7. 系统日志
8. 安装配置
9. 安全维护

操作系统基线

1. 账号管理、认证授权
2. 日志配置操作
3. IP安全设置
4. 设备其他配置操作

核查实施流程

1. 收集被检查系统相关登陆信息
2. 自动化检测工具凭证登陆被检查系统
3. 自动化工具使用内置规则进行配置检查
4. 自动化工具按顺序记录检查内容
5. 对检查内容进行数据分析，并于预定义判断依据进行对比分析
6. 输出基线核查安全评估报告

漏洞扫描

概述

漏洞扫描是基于漏洞数据库，通过扫描等手段对指定远程或者本地计算机系统的安全脆弱性进行检测，以发现可利用漏洞的一种安全检测行为。

流程

1. 准备阶段
2. 实施阶段
3. 总结汇报
4. 服务交付

工具

1. 系统漏洞扫描
2. web漏洞扫描
3. 弱口令扫描
4. 基线配置核查

漏洞验证

web漏洞验证

1. 使用poc代码进行验证
2. 收集工具导出poc代码
3. 判断数据包采用gget方法还是post方法传值
4. 梳理数据包url、host和referer这3个http头部字段

系统漏洞验证

1. 收集漏洞名称和cve编号
2. 利用原理扫描筛选出可验证漏洞
3. 搜索相关漏洞poc或者复现经验

安全体检

安全体检服务是基于CVE、CNVD、CNNVD等漏洞数据库，通过检测手段对指定网络设备、服务器、数据库、操作系统、中间件等进行安全弱点检测，从而发现安全漏洞的安全检测活动。

服务依据

1. 国家标准
2. 行业规范
3. 网络安全法

服务介绍

1. 现场检测和远程检测
2. 单次服务和周期服务

服务详情

1. 操作系统的补丁、漏洞、病毒
2. 空/弱口令系统账户检测
3. 访问控制
4. 系统漏洞
5. 安全配置问题
6. 网络设备的访问认证

服务流程

准备阶段

1. 需求确认
   1. 确定安全评估范围
   2. 确定评估时间
   3. 评估检测活动对业务系统的影响
   4. 确认是否合适展开口令探测，以及是否会导致账号被锁
2. 获取体检资产
3. 组件项目小组
4. 制订实施方案
5. 召开项目启动会
6. 签署授权函

实施阶段

1. 技术方面：排除项目范围外因素，获取充分授权，出具安全报告
2. 非技术方面：充分沟通，完成资产调研分析

总结汇报阶段

注意事项

1. 使用专业设备
2. 规避业务高峰
3. 对检测数据进行加密
4. 管理监控相关人员
5. 详细记录操作

安全托管

术语与定义

1. 安全漏洞
2. 安全威胁
3. 威胁情报
4. 持续攻击
5. 安全用例
6. 事件响应
7. 黑客
8. 信息安全事件
9. 攻击

安全现状

1. 威胁快速升级、安全产品无法持续有效
2. 监管要求趋严，组织自身无法独立应对
3. 现有建设思路无法达到安全预期
4. 诸多实际实际安全问题难解决

服务工具与关键技术

1. 安全运营平台
   1. 数据采集
   2. 数据预处理
   3. 数据存储与检索
   4. 安全分析与响应
   5. 安全服务平台
2. 运营组件
   1. WAF
   2. 安全感知平台
   3. 终端检测与响应(EDR)
   4. 漏洞与资产分析工具
      1. 资产发现
      2. 漏洞扫描
      3. web漏洞扫描
      4. 基线配置核查
      5. 弱口令扫描
   5. 连接器
3. SOAR技术
4. 基于ATT&CK构建的安全用例
5. 基于安全专家实战经验固化的事件响应指导手册
6. 威胁情报关联分析技术

应急响应

网络安全应急响应是在突发重大网络安全事件之后，对包括计算机运行在内的业务进行维持或恢复的各种技术、管理策略以及规程。

1. 未雨绸缪：事先风险评估、制订安全计划、安全培训、发布安全通告，建立安全应急响应部门、展开应急演练。
2. 亡羊补牢：采取相关安全措施、实施系统恢复，对攻击者调查追踪和取证

处置流程

PDCERF模型

1. 准备
2. 检测
3. 抑制
4. 根除
5. 恢复
6. 调整

应急响应处置的标准化流程

1. 事件确认
   1. 确认安全事件的类型，评估事件的影响范围
   2. 确定客户的需求和痛点
   3. 计划问题处理的时间表
   4. 初步判断处置该事件所需资源
2. 事件抑制
   1. 关闭失陷系统
   2. 断开网络连接
   3. 禁用或删除被攻破账号
   4. 关闭可被攻击利用的服务
   5. 配置和修改安全策略
   6. 修改被攻破账号的账号和密码
3. 事件处置
4. 原因分析
5. 总结报告
6. 结束跟踪

应急响应基础

系统排查

1. 账号排查
   1. 隐藏账号
   2. 克隆账号
   3. 黑客增加账号排查
   4. Guest账号排查
   5. 历史账号排查
2. 端口排查
3. 网络连接排查
4. 定时任务排查
5. 自启动排查
6. 服务排查
7. 进程排查
8. 文件排查
   1. 安装软件排查
   2. 补丁文件排查
   3. 敏感目录排查
      1. 临时目录排查
      2. 浏览器文件排查
      3. 最新打开文件排查
      4. 文件修改事件排查
   4. 其他重要目录排查
9. 内存分析
10. 历史文件分析

安全日志分析

日志分析基础

1. 什么是攻击
   1. HTTP报文头部出现不正常用户传入字段
   2. URL和POST文件中出现SQL语句、系统命令、脚本代码、js代码等不正常数据
   3. 访客尝试访问和探测不应该访问的敏感文件
   4. 应答报文中泄露敏感信息
2. 常见攻击语句
   1. SQL注入
      1. SQL探测语句
      2. SQL权限判断语句
      3. SQL查询语句
   2. 跨站脚本攻击
   3. 命令执行攻击
   4. webshell一句话木马

系统日志分析

1. Windows日志
   1. 日志类型
      1. 错误事件
      2. 警告事件
      3. 信息事件
      4. 审核成功事件
   2. 审核策略
2. Web日志
   1. Apache
   2. Tomcat
   3. IIS
   4. Nginx

攻击日志分析流程

1. 基于攻击IP地址的分析
   1. 找出具有明显攻击行为的日志
   2. 依据日志找出攻击源IP
   3. 筛选与IP地址相关的日志
   4. 相关信息：
      1. 源IP
      2. 攻击时间
      3. 日志频率
      4. 攻击位置
      5. 报文语义分析
2. 基于攻击方法的分析

案例

勒索病毒网络安全应急响应

挖矿病毒网络安全应急响应

Web入侵网络安全应急响应

渗透测试

渗透测试时通过模拟恶意黑客的攻击方法来评估计算机网络系统安全的一种评估方法，包括对系统的弱点、技术缺陷或漏洞进行主动分析。渗透测试专注于对客户给定的系统进行测试，因此存在明确的测试目标和测试边界、测试时间，而且渗透测试的主要目标是为了尽可能发现安全隐患和系统的脆弱面。红队演练则是除了给定靶标外，不再给予任何信息，需要攻击队自行搜集信息并规划一条攻击路径以达到目的并隐藏踪迹，从而尽可能真实地模拟APT攻击。

阶段

1. 项目立项、成立项目组，签订合同和项目人员
2. 情报搜集：踩点
3. 威胁建模：从搜集信息中进行威胁建模和攻击规划
4. 漏洞分析：确定可行测试方法、排除不可行地测试方法
5. 渗透攻击：对业务系统进行攻击性测试
6. 后渗透攻击：权限维持、内网横向渗透、攻击痕迹消除
7. 汇报：输出业务系统渗透报告，阐明客户系统中存在地安全隐患和专业地漏洞风险处置建议
8. 漏洞复测：验证业务系统漏洞修补情况，并提供复测报告

工具

1. 扫描器：
   1. Nmap
   2. Nessus
2. 渗透工具：
   1. Metasploit
   2. Kail
   3. SqlMap
   4. 冰蝎

信息收集

1. 主机扫描
2. 端口扫描
3. 操作系统/网络服务辨识
4. 漏洞扫描

漏洞发现和利用

1. 全自动漏洞发现：Nessus
2. 半自动漏洞发现：Fuzz
3. 人工：信息收集配合漏洞POC/EXP

内网渗透

1. 内网信息收集
2. 权限提升
3. 横向移动
4. 深入内网

报告编写规范

规范

1. 字体于模板一致
2. 截图中突出标注部分用红色方框标注，禁止随意使用画图工具画线或者画圈
3. 修复建议中涉及补丁下载、软件下载等，相关URL引用官方网站网址，禁止随意粘贴第三方下载地址；
4. 对于需要多个步骤触发地漏洞，细节描述部分需要粘贴详细到每个步骤地截图

模板

安服交付

项目管理

这块基本是PMP的落地实践。

项目角色定义和职责

确立售前、项目经理(PM)、安全服务交付组长、项目管理办公室(PMO)的角色

项目管理流程

1. 立项：安服交付组长对立项进行审批，完善项目信息，确定服务内容、PM、级别、是否需要里程碑
2. 规划：PM根据项目情况通过PMS设立里程碑和创建WBS
3. 实施：交付人员按照规划流程的里程碑和WBS进行交付，并按时完成日报、WBS，并提交交付物，完成评审流程
4. 结项：通过验收后，在PMS中进行项目关闭、输出项目总结并及时归档，安服组长需要对归档材料进行审批。

项目分级

根据安服项目的金额、交付人天以及项目影响力等因素综合评估后分级

项目变更

项目变更分为重大变更和一般变更。重大变更会严重影响项目交付、影响客户满意度、服务金额和计划交付人天、服务范围、导致服务项目整体延期等，需要升级上升到总部PMO来处理。一般变更对项目交付影响较小，一般变更可由安服交付组长处理。

交付概述

准备阶段

项目立项

1. 提交项目建议书
   1. 项目的必要性
   2. 项目的市场预测
   3. 产品方案或服务的市场预测
   4. 项目建设的必需条件
2. 可行性研究报告
   1. 投资必要性
   2. 技术可行性
   3. 组织可行性
   4. 经济可行性
   5. 社会可行性
   6. 风险因素及对策
3. 提交投标保证金
4. 发起立项
5. 进行审批
6. 指定项目经理

项目售前售后交接

1. 项目经理组织销售、售前召开正式或者非正式会议
2. 移交项目目标、项目范围、项目时间进度、沟通方式、关键联络人、项目风险和验收标准
3. 对于口头承诺和已定招标内容与实际不符信息进行摸底

识别项目干系人

1. 项目经理
2. 客户或者用户
3. 执行组织
4. 项目组成员
5. 项目管理团队
6. 资助人
7. 发起人
8. 项目管理办公室(PMO)
9. 内外部联系人、分销/分包商、媒体

授权与工具准备

1. 授权准备阶段
   1. 漏扫授权
   2. 渗透授权
   3. 开工授权
   4. 设备入场授权
   5. 人员备案
   6. 入网授权
   7. 工具接入授权
2. 工具准备
   1. 漏扫设备
   2. 渗透工具
   3. 测试环境
   4. 统计表格
   5. 项目管理材料
   6. 工具安检报告

与客户沟通

1. 确认要执行的销售项目已经完成立项，并在系统中确认完毕
2. 确认安全服务交付主管在系统中指定项目经理
3. 确认销售/售前与售后人员已经将所有材料移交完毕
4. 确认安全服务项目服务范围、交付内容、时间周期、风险、验收标准等与客户需求一致
5. 确认项目识别干系人无误

明确交付目标

明确交付范围

明确交付时间

估算成本及预测交付风险

1. 进行工时管理，精细化管理分项目目标
2. 持续活动估算
3. 项目进度管理

计划阶段

确定项目里程碑

1. 里程碑式项目、项目集或者项目组合中重要的时间点或者关键事件
2. 设置里程碑的关键式有效分解目标，而不是简单切割时间表，每个里程碑都是一个完整的小项目或者有明确交付物
3. 里程碑总结中要包括的内容：
   1. 已完成的里程碑和交付物
   2. 评估项目规模，给出实际值与估计值的偏差及原因
   3. 评估工作量，给出实际值和估计值的偏差以及原因
   4. 核查质量/缺陷情况
   5. 评估人力资源现状、培训情况和费用细节
   6. 关注应急计划是否能够及时处理可能的风险
   7. 关注质量管理、进度管理、需求管理、配置管理、工作协调等各方面问题

制定项目计划

1. 计划的类别
   1. 实施计划：基于服务方给定里程碑，协调己方资源，综合考虑后制定的实施计划。
   2. 目标计划：由客户授权后一个月内向交付人员递交的进度计划，在PM批准后成为正式的目标计划
   3. 更新计划：项目实施中分析偏差找出解决方法，以形成更新计划
2. 项目计划制订的原则
   1. 目的性
   2. 系统性
   3. 经济性
   4. 动态性
   5. 相关性
   6. 职能性

项目计划的任务

  1. 任务分解
  2. 工时估算
  3. 进度安排
  4. 职责分工
  5. 交付物预估

制定初步实施方案

1. 项目目标
2. 详细工作内容
3. 方法手段
4. 预期效果
5. 工作进度安排
6. 实施组织形式
7. 实施预算表

计划阶段沟通内容

1. 按合同交付内容确认人员数量、能力
2. 沟通计划模板来源和规范
3. 沟通实施方案模板的来源和规范
4. 按照合同确认内外部项目关键里程碑、交付计划、实施方案

启动阶段

项目启动会

1. 宣布项目正式开始
2. 介绍项目团队成员
3. 介绍项目基本情况
4. 宣布工作计划
5. 宣布并落实人员分工
6. 公布工作程序与工作规则
7. 提交会议纪要

确定项目服务范围

1. 范围说明书
2. 制约因素
3. 前提条件
4. 其他计划结果

确定项目实施方案

1. 确定项目实施类型一i就必须执行的有关规定
2. 确定项目实施阶段各项任务的内容和要求以及工程和环节的逻辑顺序
3. 编制分时间实施进度表
4. 确定每项任务所需资源和投资成本费用，并予以落实
5. 编制资金分阶段使用计划
6. 实施数据记录到文件中，以便及时修订实施计划

确定项目服务人员及职责

交付阶段

项目管理与指导工作

1. 交付人员执行活动以完成项目或阶段性目标
2. 统计交付人员完成项目或者阶段性目标耗费的工时和资金
3. 配置交付人员并进行培训，管理已分配到项目团队成员
4. 获取报价、投标、出价或提交方案书
5. 选择合适供应商
6. 获取、管理和使用包括原料、工具、设备和设施在内的资源
7. 按照规划的方法或标准实施项目计划
8. 创建、验证和确认项目交付物或者阶段性交付物
9. 管理风险和实施风险应对动作
10. 管理供应商
11. 把已批准的变更应用于项目的范围、计划和环境中
12. 建立并管理项目组内部和外部的沟通渠道
13. 收集项目或阶段性数据，并汇报成本、进度、技术、质量的进展和状态信息，以便进行项目预测
14. 收集和记录经验教训并实施已批准的过程改进

项目范围管理

1. 规划范围管理
2. 收集需求
3. 定义范围
4. 创建WBS
5. 确认范围
6. 控制范围

项目质量管理

1. 服务过程质量管理
2. 关键里程碑质量管理
3. 交付物质量管理

项目风险管理

1. 风险识别
2. 风险量化
3. 风险对策研究
4. 风险对策实施控制

项目其他管理

1. 资源管理
2. 成本管理
3. 项目相关方管理
4. 项目沟通管理

项目的执行和监督

收尾阶段

1. 准备验收材料
2. 复盘总结
3. 项目归档
4. 商机总结