工業(yè)互聯(lián)網(wǎng)安全 課件 任務(wù)1 工業(yè)互聯(lián)網(wǎng)FTP暴力破解的應(yīng)急響應(yīng)

任務(wù)1工業(yè)互聯(lián)網(wǎng)FTP暴力破解

的應(yīng)急響應(yīng)FTP是一個(gè)文件傳輸協(xié)議，用戶(hù)通過(guò)FTP可從客戶(hù)機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件，常用于網(wǎng)站代碼維護(hù)、日常源碼備份等。如果攻擊者通過(guò)FTP匿名訪問(wèn)或者弱口令獲取FTP權(quán)限，可直接上傳webshell，進(jìn)一步滲透提權(quán)，直至控制整個(gè)網(wǎng)站服務(wù)器。任務(wù)描述本任務(wù)主要講解如何判斷FTP暴力破解事件，以及如何對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)。資產(chǎn)偵測(cè)與安全管理1資產(chǎn)作為IT安全管理的對(duì)象，包括信息（或數(shù)據(jù)）、硬件、軟件、資金、服務(wù)、人員等。工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測(cè)是指追蹤、掌握工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況的過(guò)程。在工業(yè)互聯(lián)網(wǎng)的IT與OT環(huán)境中，如何針對(duì)終端、設(shè)備、服務(wù)等典型的網(wǎng)絡(luò)軟硬件資產(chǎn)進(jìn)行偵測(cè)，它是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全管理的重要前提，在工業(yè)互聯(lián)網(wǎng)安全相關(guān)工作中具有廣泛的應(yīng)用價(jià)值。知識(shí)導(dǎo)入現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測(cè)方法及其特點(diǎn)知識(shí)導(dǎo)入類(lèi)型范圍主要特點(diǎn)存在的問(wèn)題傳統(tǒng)人工統(tǒng)計(jì)內(nèi)網(wǎng)，小規(guī)模可以發(fā)現(xiàn)新型探測(cè)方法無(wú)法分析到的部分（不產(chǎn)生網(wǎng)絡(luò)流量或探測(cè)數(shù)據(jù)包無(wú)法觸及的網(wǎng)絡(luò)資產(chǎn)）耗時(shí)費(fèi)力，時(shí)效性差基于客戶(hù)端需要大規(guī)模安裝客戶(hù)端，由客戶(hù)端自動(dòng)采集，上報(bào)網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)，速度快，效率高，節(jié)省人力入侵性最強(qiáng)，限制因素多；客戶(hù)端開(kāi)發(fā)、設(shè)計(jì)成本高現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測(cè)方法及其特點(diǎn)知識(shí)導(dǎo)入類(lèi)型范圍主要特點(diǎn)存在的問(wèn)題新型主動(dòng)探測(cè)全網(wǎng)/內(nèi)網(wǎng)，各種規(guī)模均適用無(wú)須安裝客戶(hù)端，在網(wǎng)內(nèi)一個(gè)節(jié)點(diǎn)運(yùn)行并收發(fā)探測(cè)數(shù)據(jù)包即可；速度快，能及時(shí)發(fā)現(xiàn)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)噪聲大，易觸發(fā)報(bào)警；僅能了解當(dāng)次探測(cè)的狀態(tài)；對(duì)安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)探測(cè)的難度大被動(dòng)探測(cè)僅限于內(nèi)網(wǎng)無(wú)網(wǎng)絡(luò)流量插入，入侵性?。粚?duì)安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)具備一定的探測(cè)能力；支持歷史數(shù)據(jù)的積累適用范圍限于內(nèi)網(wǎng)；探測(cè)結(jié)果受限于所分析網(wǎng)絡(luò)流量的全面性；不產(chǎn)生流量的資產(chǎn)無(wú)效搜索引擎通用網(wǎng)絡(luò)安全專(zhuān)用僅限于公網(wǎng)（目標(biāo)資產(chǎn)必須有公網(wǎng)IP）以查詢(xún)的方式探測(cè)，隱蔽性強(qiáng)，探測(cè)速度快；支持全網(wǎng)探測(cè)；支持歷史數(shù)據(jù)的積累僅對(duì)Web相關(guān)網(wǎng)絡(luò)資產(chǎn)有效，對(duì)公網(wǎng)網(wǎng)絡(luò)組件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)等的控測(cè)具有優(yōu)勢(shì)無(wú)法對(duì)內(nèi)網(wǎng)資產(chǎn)進(jìn)行控測(cè)；受限于搜索引擎的數(shù)據(jù)獲取能力；易被欺騙，準(zhǔn)確率較低安全風(fēng)險(xiǎn)評(píng)估的概念和方法1（1）基于通用搜索引擎的探測(cè)谷歌黑客技術(shù)是一種利用谷歌搜索引擎進(jìn)行漏洞目標(biāo)探測(cè)以及敏感信息挖掘的技術(shù)，可以實(shí)現(xiàn)網(wǎng)站映射、查看站點(diǎn)目錄列表、查找登錄頁(yè)面、查找口令文件、查找網(wǎng)絡(luò)設(shè)備等功能，因此具備一定的網(wǎng)絡(luò)資產(chǎn)探測(cè)能力。GHDB（GoogleHackingDataBase）是一個(gè)谷歌黑客搜索查詢(xún)指令的數(shù)據(jù)庫(kù)，可以基于GHDB中的特定搜索查詢(xún)串、某些服務(wù)的頁(yè)面腳注、Web服務(wù)器返回的錯(cuò)誤消息中攜帶的信息實(shí)現(xiàn)端口、操作系統(tǒng)及版本的探測(cè)。知識(shí)導(dǎo)入安全風(fēng)險(xiǎn)評(píng)估的概念和方法1（2）基于網(wǎng)絡(luò)安全專(zhuān)用搜索引擎的探測(cè)Shodan側(cè)重對(duì)所有連接互聯(lián)網(wǎng)的設(shè)備及其組件類(lèi)型信息的搜索，可以使用Shodan搜索攝像頭、打印機(jī)、工業(yè)控制器，甚至是粒子加速器、核電站控制設(shè)備。Censys系統(tǒng)可以對(duì)搜集的數(shù)據(jù)進(jìn)行數(shù)據(jù)處理匯總，提取結(jié)構(gòu)化數(shù)據(jù)，并將其保存于谷歌云存儲(chǔ)平臺(tái)。它還可以利用開(kāi)源的ElasticSearch平臺(tái)和谷歌BigQuery分別在前端和后臺(tái)為用戶(hù)提供ZMap全網(wǎng)端口、服務(wù)掃描結(jié)果的搜索查詢(xún)。知識(shí)導(dǎo)入安全風(fēng)險(xiǎn)評(píng)估的概念和方法1360公司的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)。該平臺(tái)通過(guò)引入多維度的協(xié)議識(shí)別技術(shù)實(shí)現(xiàn)了廣泛的協(xié)議解析。除了可以識(shí)別HTTP、HTTPS、FTP、Telnet、SNMP等通用協(xié)議外，還支持主流工控協(xié)議的指紋識(shí)別，包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知識(shí)導(dǎo)入數(shù)據(jù)保護(hù)與安全審計(jì)2知識(shí)導(dǎo)入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已經(jīng)成為所有組織面臨的風(fēng)險(xiǎn)管理挑戰(zhàn)之一，開(kāi)展數(shù)據(jù)保護(hù)與網(wǎng)絡(luò)安全審計(jì)更加必要和重要。如表所示為網(wǎng)絡(luò)安全審計(jì)的關(guān)系、目標(biāo)和意義。網(wǎng)絡(luò)安全中的關(guān)系管理網(wǎng)絡(luò)安全審計(jì)的目標(biāo)審計(jì)在網(wǎng)絡(luò)安全中的角色1.信息技術(shù)2.信息安全3.信息風(fēng)險(xiǎn)管理4.合規(guī)和其他團(tuán)隊(duì)1.三道防線2.超越合規(guī)性3.預(yù)防、檢測(cè)和響應(yīng)的三階段戰(zhàn)略4.專(zhuān)業(yè)的網(wǎng)絡(luò)評(píng)估1.網(wǎng)絡(luò)安全框架2.內(nèi)部審計(jì)將發(fā)生的變化3.未來(lái)的技能需求4.尋找和留住人才工業(yè)互聯(lián)網(wǎng)安全審計(jì)的對(duì)象知識(shí)導(dǎo)入類(lèi)型ITOT網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)交換機(jī)、路由器、負(fù)載均衡設(shè)備等工控交換機(jī)、網(wǎng)絡(luò)交換機(jī)、物聯(lián)網(wǎng)關(guān)、邊緣計(jì)算設(shè)備等服務(wù)器通用服務(wù)器、域控服務(wù)器、DNS服務(wù)器等OPC服務(wù)器、MTU服務(wù)器、CA服務(wù)器等計(jì)算終端電腦、手機(jī)、平板、打印機(jī)、攝像頭等電腦、HMI、IOT設(shè)備、IED、RTU、PLC、DCS控制單元、SIS控制單元、機(jī)器人、數(shù)控機(jī)床、遙控終端、打印機(jī)、攝像頭等數(shù)據(jù)庫(kù)歷史數(shù)據(jù)庫(kù)OPC、實(shí)時(shí)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)工業(yè)云平臺(tái)、工業(yè)App、門(mén)戶(hù)網(wǎng)站、OA、ERP、PDM、DNS等組態(tài)程序、OPC、MES、CAD、CAE、CAM、工程輔助軟件、各種定制化軟件等安全設(shè)備網(wǎng)絡(luò)防火墻、IPS、IDS、防病毒網(wǎng)關(guān)、安全審計(jì)設(shè)備、VPN、運(yùn)維管理設(shè)備、網(wǎng)閘等工業(yè)防火墻、單向隔離網(wǎng)關(guān)、縱向加密裝置、工業(yè)審計(jì)設(shè)備等數(shù)據(jù)保護(hù)與安全審計(jì)2知識(shí)導(dǎo)入與安全審計(jì)相比，監(jiān)測(cè)管理技術(shù)雖然實(shí)現(xiàn)的效果類(lèi)似，但是有安全實(shí)時(shí)性的要求，主要應(yīng)用于工業(yè)互聯(lián)網(wǎng)IT環(huán)境中，OT環(huán)境中的監(jiān)控多使用組態(tài)技術(shù)實(shí)現(xiàn)，有時(shí)也使用網(wǎng)絡(luò)監(jiān)控技術(shù)，而物理環(huán)境則采用視頻監(jiān)控的方式。最有代表性的網(wǎng)絡(luò)監(jiān)控管理技術(shù)是利用SNMP協(xié)議技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)監(jiān)控管理，它是網(wǎng)絡(luò)管理中被廣大設(shè)備廠商及用戶(hù)支持和應(yīng)用的協(xié)議，現(xiàn)實(shí)生活中經(jīng)常用于實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控。安全測(cè)試報(bào)告編寫(xiě)任務(wù)實(shí)施【任務(wù)目的】對(duì)FTP暴力破解事件判斷并立即做出應(yīng)急響應(yīng)【使用工具】運(yùn)行系統(tǒng)：WindowsServer2016其他軟件：FTP暴力破解工具測(cè)試主機(jī)：測(cè)試服務(wù)器（開(kāi)啟FTP服務(wù)）【步驟1】

可疑進(jìn)程查看01登錄到服務(wù)器上，對(duì)服務(wù)器進(jìn)行隔離，服務(wù)器并沒(méi)有安裝殺毒軟件，查看進(jìn)程信息【步驟2】

管理員賬號(hào)查看01與客戶(hù)確認(rèn)管理員賬號(hào)密碼，管理員賬號(hào)需要不存在弱口令。檢查是否被添加非法管理員賬號(hào)，確認(rèn)不存在非法用戶(hù)添加。02打開(kāi)“命令提示符”窗口，輸入命令netuser，按Enter鍵執(zhí)行命令【步驟3】

端口分析01查看端口的使用情況，在“命令提示符”窗口中輸入命令netstat-ano，查看是否存在危險(xiǎn)端口開(kāi)放或者外聯(lián)。發(fā)現(xiàn)開(kāi)放21和445危險(xiǎn)端口。排查兩個(gè)端口潛在風(fēng)險(xiǎn)，21端口為FTP端口，445為SMB端口。02【步驟4】

日志分析右鍵單擊右邊服務(wù)器“InternetInformationServices(IIS)管理器”查看FTP配置，找到FTP日志存放路徑。0201【步驟4】

日志分析查看FTP留存日志C:\inetpub\logs\LogFiles\FTPSVC2\u_ex20230402.log，發(fā)現(xiàn)存在暴力破解行為。通過(guò)查看端口服務(wù)及管理員訪談，確認(rèn)服務(wù)器對(duì)公網(wǎng)開(kāi)放了FTP服務(wù)。03【步驟4】

日志分析通過(guò)日志分析，發(fā)現(xiàn)單位時(shí)間內(nèi)存在多個(gè)用戶(hù)名嘗試登錄FTP，確定存在FTP被暴力破解事件。04【步驟5】

策略分析在“運(yùn)行”對(duì)話框中輸入gpedit.msc。在打開(kāi)的對(duì)話框中查看本地組策略編輯器展開(kāi)“Windows設(shè)置>安全設(shè)置>賬戶(hù)策略>賬戶(hù)鎖定策略”選項(xiàng)，雙擊“賬戶(hù)鎖定閾值”選項(xiàng)，查看鎖定次數(shù)0102【步驟6】

配置安全策略對(duì)“賬戶(hù)鎖定閾值”選項(xiàng)進(jìn)行設(shè)置。0102設(shè)置完FTP登錄失敗次數(shù)限制，完成實(shí)驗(yàn)【步驟7】FTP安全加固方法通過(guò)本任務(wù)，對(duì)FTP暴力破解應(yīng)急響應(yīng)的方法有一定思路，學(xué)會(huì)對(duì)FTP暴力破解事件進(jìn)行安全加固。除此之外，對(duì)于安全加固可以從以下3個(gè)方面進(jìn)行操作。（1）禁止使用FTP傳輸文件，若必須開(kāi)放應(yīng)限定管理IP地址并加強(qiáng)口令安全審計(jì)。（2）更改服務(wù)器FTP默認(rèn)端口。（3）部署入侵檢測(cè)設(shè)備，增強(qiáng)安全防護(hù)。任務(wù)評(píng)價(jià)任務(wù)評(píng)價(jià)了解資產(chǎn)偵測(cè)與安全管理的方法了解數(shù)據(jù)保護(hù)與安全審計(jì)的相關(guān)內(nèi)容掌握判斷FTP暴力破解事件的方法掌握對(duì)FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)任務(wù)測(cè)驗(yàn)選擇題

A.GoogleB.SchodanC.CensysD.ZoomEye

以下哪個(gè)不屬于針對(duì)網(wǎng)絡(luò)安全專(zhuān)用的搜索引擎？（）A.Net

user

B.netstatC.netstat-ano

D.user

在Windows中“命令