iT邦幫忙

2024 iThome 鐵人賽

DAY 29
0
佛心分享-IT 人自學之術

從0到1的攻擊手自學之旅系列 第 29

[鐵人賽] Day 29:期末測驗 - B組

  • 分享至 

  • xImage
  •  
項次 項目 子項目 檢測計分範圍
1 使用者電腦安全檢測 弱點掃描 50臺
安全防護 5臺
2 網路惡意活動檢測 1個Server farm網段、1個管理網段、3個User farm網段
3 核心資訊系統安全檢測 滲透測試 至少2個(依檢測實施天數抽測)
防護基準
4 網路架構檢測 全單位
5 目錄伺服器安全檢測 1臺
6 物聯網設備檢測 20臺(10臺單位提供清單、10臺內外部掃描結果)
7 組態設定安全檢測 同伺服器主機5台、使用者電腦5台
8 資料庫安全檢測 2個核心資料庫
合計

B組檢測項目

  1. 核心資通系統安全檢測
  2. 目錄伺服器安全檢測
  3. 組態設定安全檢測
  4. 資料庫安全檢測

Day 18 CVSS
Day 30 核心系統

截圖保存證據

目錄伺服器安全檢測

  • 作業系統安全性更新、防體軟體版本
  • 異常程序檢測
  • 使用具漏洞軟體
  • 不良組態: 帳號管理(如密碼原則/最小授權等),
  • 檢視LDAP做ACL或網路相關防護機制)
    nmap-n -sV--script "ldap* and not brute" -p 389 $IP

資料庫安全檢測

項目 類別 檢測項目
1 檢測項目 變更資料庫預設管理帳號
2 檢測項目 啟用帳號鎖定次數
3 檢測項目 啟用帳號鎖定時間
4 檢測項目 特權帳號管理
5 檢測項目 資料加密
6 檢測項目 啟用密碼複雜度原則
7 檢測項目 啟用密碼長度原則
8 檢測項目 啟用密碼最長有效期限原則
9 檢測項目 限制管理者帳號透過速端存取
10 檢測項目 資料庫資料具有適當保護機制(包含加密、不可識別處理)
11 檢測項目 資料庫傳輸具有安全機制
12 檢測項目 資料庫加密金鑰具有適當保護機制
13 檢測項目 限制資料庫主機服務埠
14 檢測項目 限制遠端存取來源
15 檢測項目 限制遠端存取帳號
16 稽核紀錄 啟用資料庫帳號變更稽核
17 稽核紀錄 啟用資料庫帳號登出/登入稽核
18 稽核紀錄 啟用資料庫結構變更稽核
19 稽核紀錄 稽核紀錄管理方式
20 稽核紀錄 資料庫主機時間校時
21 稽核紀錄 稽核紀錄分析
22 委外管理 委外廠商外部連線方式
23 委外管理 委外廠商資料存取方式
24 委外管理 委外廠商帳號授權方式
25 備份保護 資料庫定期執行備份
26 備份保護 資料庫備份具有適當保護機制
27 備份保護 資料庫備份回復測試
28 備份保護 資料庫主機定期弱點檢測
29 弱點管理 修補資料庫主機弱點項目
30 弱點管理 修補資料庫主機安全性更新項目

核心系統安全檢測

WAF檢測 : wafw00f [對方網站]

Port Scan:nmap -A <ip> -oN portscan.txt
TCP SYN Scan:nmap -sS <ip> -oN tcpsynscan.txt
UDP Scan:nmap -sU <ip> -oN udpscan.txt
構面 類別 項次 最低要求等級 安全控制措施 實機檢視
存取控制 遠端存取 13 應採用加密機制 滲透過程
事件日誌與可歸責性 記錄事件 15 訂定日誌之記錄時間週期及留存政策,並保留日誌至少六個月 實機檢測
事件日誌與可歸責性 日誌紀錄內容 19 資通系統產生之日誌應包含事件類型、發生時間、發生位置及使用者身分識別等資訊 實機檢測
識別與鑑別 身分驗證管理 37 使用預設密碼登入系統時,應於登入後要求立即變更 滲透過程
識別與鑑別 身分驗證管理 38 身分驗證相關資訊不以明文傳輸 滲透過程
識別與鑑別 身分驗證管理 39 具備帳戶鎖定機制,登入失敗達五次後,至少十五分鐘內禁止繼續嘗試登入 滲透過程
識別與鑑別 身分驗證管理 41 密碼變更時,至少不可以與前三次使用過之密碼相同 滲透過程
識別與鑑別 鑑別資訊回饋 44 資通系統應遮蔽鑑別過程中之資訊 滲透過程
系統與服務獲得 開發階段 52 發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼 滲透過程
識別與鑑別 身分驗證管理 42 身分驗證機制應防範自動化程式登入或密碼更換嘗試 滲透過程
識別與鑑別 加密模組鑑別 43 密碼重設機制應發送一次性及具有時效性的符記 滲透過程
系統與資訊完整性 軟體及資訊完整性 75 使用者輸入資料合法性檢查應置放於應用系統伺服器端 滲透過程
存取控制 帳號管理 6 逾越閒置時間後,系統應自動將使用者登出 滲透過程
識別與鑑別 身分驗證管理 36 採用多重認證技術進行存取管理 實機檢測
系統與通訊保護 傳輸之機密性與完整性 63 應採用加密機制防止未授權資訊揭露或資訊偵測 滲透過程
系統與通訊保護 傳輸之機密性與完整性 64 使用公開、國際驗證且未遭破解的演算法 滲透過程
系統與通訊保護 傳輸之機密性與完整性 66 加密金鑰或憑證應定期更換 滲透過程
系統與通訊保護 資料儲存之安全 68 應加密重要組態設定檔案或其他具保護需求之資訊 實機檢測
系統與資訊完整性 資訊系統監控 73 採用自動化工具監控進出通信流量並分析不尋常事件 實機檢測
存取控制 帳號管理 11 使用者權限檢查作業應於伺服器端完成 滲透過程
事件日誌與可歸責性 記錄事件 17 應記錄系統管理者帳號所執行之各項功能 實機檢測
事件日誌與可歸責性 日誌資訊之保護 25 對日誌的存取管理應僅限有權限之使用者 實機檢測
識別與鑑別 身分驗證管理 35 禁止使用共用帳號,應具備唯一識別及鑑別使用者功能 滲透過程
識別與鑑別 身分驗證管理 40 強制密碼複雜度及密碼效期限制 滲透過程
系統與服務獲得 部署與維運階段 57 部署環境應進行資安威脅修補並關閉不必要服務與埠口 滲透過程
系統與資訊完整性 漏洞修復 69 應測試漏洞修復之有效性並定期更新 實機檢測
系統與資訊完整性 資訊系統監控 72 監控系統偵測未授權使用並分析攻擊活動 實機檢測
存取控制 帳號管理 8 監控帳號異常使用並回報管理者 實機檢測

改善建議

(1)作業系統更新
目前使用的 Windows Server 2019(版本 1809/17763.2061)需要更新至最新版本 17763.6189。

(2)防毒軟體安裝
檢測發現目錄伺服器並未安裝防毒軟體。建議最低限度啟用 Windows Defender,或購買伺服器專用防毒軟體版本以加強資通系統的安全防護等級。

(3)惡意程式檢測
管理帳號使用 Administrator,且具管理者權限。建議避Administrator 帳號停用遠端存取權限僅限本機登入,並為系統管理者設定具備系統管理員權限帳號其他使用者設定身份相符的最小權限帳號。

(一)變更資料庫預設管理帳號
建議停用預設帳號,若資料庫預設帳號無法停用也應設定為僅限本機端登入,並使用強密碼保護定期更換。

(六)啟用密碼最長有效期限原則
建議立即啟用密碼最常有效期限原則,符合單位ISMS文件規範。

(十五)資料庫帳號權限最小原則
建議實施角色管理與分級權限並進行特權帳號清查。

(二八)資料庫主機定期弱點檢測
建議盡速排定期程進行弱點掃描,避免主機存在TOP 10漏洞。

(二九)修補資料庫主機弱點項目
待前項弱點掃描完成,若經發現弱點項目建議盡速修補。


上一篇
[鐵人賽] Day 28:期末測驗 - A組
下一篇
[鐵人賽] Day 30:期末測驗 - 打不穿靶機從1又變成0了
系列文
從0到1的攻擊手自學之旅30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言