工業(yè)互聯(lián)網(wǎng)安全 課件 任務(wù)1 工業(yè)互聯(lián)網(wǎng)FTP暴力破解的應(yīng)急響應(yīng)

任務(wù)1工業(yè)互聯(lián)網(wǎng)FTP暴力破解

的應(yīng)急響應(yīng)FTP是一個文件傳輸協(xié)議，用戶通過FTP可從客戶機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件，常用于網(wǎng)站代碼維護(hù)、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權(quán)限，可直接上傳webshell，進(jìn)一步滲透提權(quán)，直至控制整個網(wǎng)站服務(wù)器。任務(wù)描述本任務(wù)主要講解如何判斷FTP暴力破解事件，以及如何對FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)。資產(chǎn)偵測與安全管理1資產(chǎn)作為IT安全管理的對象，包括信息（或數(shù)據(jù)）、硬件、軟件、資金、服務(wù)、人員等。工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測是指追蹤、掌握工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況的過程。在工業(yè)互聯(lián)網(wǎng)的IT與OT環(huán)境中，如何針對終端、設(shè)備、服務(wù)等典型的網(wǎng)絡(luò)軟硬件資產(chǎn)進(jìn)行偵測，它是實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全管理的重要前提，在工業(yè)互聯(lián)網(wǎng)安全相關(guān)工作中具有廣泛的應(yīng)用價值。知識導(dǎo)入現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測方法及其特點知識導(dǎo)入類型范圍主要特點存在的問題傳統(tǒng)人工統(tǒng)計內(nèi)網(wǎng)，小規(guī)模可以發(fā)現(xiàn)新型探測方法無法分析到的部分（不產(chǎn)生網(wǎng)絡(luò)流量或探測數(shù)據(jù)包無法觸及的網(wǎng)絡(luò)資產(chǎn)）耗時費力，時效性差基于客戶端需要大規(guī)模安裝客戶端，由客戶端自動采集，上報網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)，速度快，效率高，節(jié)省人力入侵性最強(qiáng)，限制因素多；客戶端開發(fā)、設(shè)計成本高現(xiàn)有網(wǎng)絡(luò)資產(chǎn)的探測方法及其特點知識導(dǎo)入類型范圍主要特點存在的問題新型主動探測全網(wǎng)/內(nèi)網(wǎng)，各種規(guī)模均適用無須安裝客戶端，在網(wǎng)內(nèi)一個節(jié)點運行并收發(fā)探測數(shù)據(jù)包即可；速度快，能及時發(fā)現(xiàn)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)噪聲大，易觸發(fā)報警；僅能了解當(dāng)次探測的狀態(tài)；對安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)探測的難度大被動探測僅限于內(nèi)網(wǎng)無網(wǎng)絡(luò)流量插入，入侵性??；對安全設(shè)備保護(hù)的網(wǎng)絡(luò)資產(chǎn)具備一定的探測能力；支持歷史數(shù)據(jù)的積累適用范圍限于內(nèi)網(wǎng)；探測結(jié)果受限于所分析網(wǎng)絡(luò)流量的全面性；不產(chǎn)生流量的資產(chǎn)無效搜索引擎通用網(wǎng)絡(luò)安全專用僅限于公網(wǎng)（目標(biāo)資產(chǎn)必須有公網(wǎng)IP）以查詢的方式探測，隱蔽性強(qiáng)，探測速度快；支持全網(wǎng)探測；支持歷史數(shù)據(jù)的積累僅對Web相關(guān)網(wǎng)絡(luò)資產(chǎn)有效，對公網(wǎng)網(wǎng)絡(luò)組件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)等的控測具有優(yōu)勢無法對內(nèi)網(wǎng)資產(chǎn)進(jìn)行控測；受限于搜索引擎的數(shù)據(jù)獲取能力；易被欺騙，準(zhǔn)確率較低安全風(fēng)險評估的概念和方法1（1）基于通用搜索引擎的探測谷歌黑客技術(shù)是一種利用谷歌搜索引擎進(jìn)行漏洞目標(biāo)探測以及敏感信息挖掘的技術(shù)，可以實現(xiàn)網(wǎng)站映射、查看站點目錄列表、查找登錄頁面、查找口令文件、查找網(wǎng)絡(luò)設(shè)備等功能，因此具備一定的網(wǎng)絡(luò)資產(chǎn)探測能力。GHDB（GoogleHackingDataBase）是一個谷歌黑客搜索查詢指令的數(shù)據(jù)庫，可以基于GHDB中的特定搜索查詢串、某些服務(wù)的頁面腳注、Web服務(wù)器返回的錯誤消息中攜帶的信息實現(xiàn)端口、操作系統(tǒng)及版本的探測。知識導(dǎo)入安全風(fēng)險評估的概念和方法1（2）基于網(wǎng)絡(luò)安全專用搜索引擎的探測Shodan側(cè)重對所有連接互聯(lián)網(wǎng)的設(shè)備及其組件類型信息的搜索，可以使用Shodan搜索攝像頭、打印機(jī)、工業(yè)控制器，甚至是粒子加速器、核電站控制設(shè)備。Censys系統(tǒng)可以對搜集的數(shù)據(jù)進(jìn)行數(shù)據(jù)處理匯總，提取結(jié)構(gòu)化數(shù)據(jù)，并將其保存于谷歌云存儲平臺。它還可以利用開源的ElasticSearch平臺和谷歌BigQuery分別在前端和后臺為用戶提供ZMap全網(wǎng)端口、服務(wù)掃描結(jié)果的搜索查詢。知識導(dǎo)入安全風(fēng)險評估的概念和方法1360公司的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺。該平臺通過引入多維度的協(xié)議識別技術(shù)實現(xiàn)了廣泛的協(xié)議解析。除了可以識別HTTP、HTTPS、FTP、Telnet、SNMP等通用協(xié)議外，還支持主流工控協(xié)議的指紋識別，包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知識導(dǎo)入數(shù)據(jù)保護(hù)與安全審計2知識導(dǎo)入網(wǎng)絡(luò)安全風(fēng)險已經(jīng)成為所有組織面臨的風(fēng)險管理挑戰(zhàn)之一，開展數(shù)據(jù)保護(hù)與網(wǎng)絡(luò)安全審計更加必要和重要。如表所示為網(wǎng)絡(luò)安全審計的關(guān)系、目標(biāo)和意義。網(wǎng)絡(luò)安全中的關(guān)系管理網(wǎng)絡(luò)安全審計的目標(biāo)審計在網(wǎng)絡(luò)安全中的角色1.信息技術(shù)2.信息安全3.信息風(fēng)險管理4.合規(guī)和其他團(tuán)隊1.三道防線2.超越合規(guī)性3.預(yù)防、檢測和響應(yīng)的三階段戰(zhàn)略4.專業(yè)的網(wǎng)絡(luò)評估1.網(wǎng)絡(luò)安全框架2.內(nèi)部審計將發(fā)生的變化3.未來的技能需求4.尋找和留住人才工業(yè)互聯(lián)網(wǎng)安全審計的對象知識導(dǎo)入類型ITOT網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)交換機(jī)、路由器、負(fù)載均衡設(shè)備等工控交換機(jī)、網(wǎng)絡(luò)交換機(jī)、物聯(lián)網(wǎng)關(guān)、邊緣計算設(shè)備等服務(wù)器通用服務(wù)器、域控服務(wù)器、DNS服務(wù)器等OPC服務(wù)器、MTU服務(wù)器、CA服務(wù)器等計算終端電腦、手機(jī)、平板、打印機(jī)、攝像頭等電腦、HMI、IOT設(shè)備、IED、RTU、PLC、DCS控制單元、SIS控制單元、機(jī)器人、數(shù)控機(jī)床、遙控終端、打印機(jī)、攝像頭等數(shù)據(jù)庫歷史數(shù)據(jù)庫OPC、實時數(shù)據(jù)庫應(yīng)用系統(tǒng)工業(yè)云平臺、工業(yè)App、門戶網(wǎng)站、OA、ERP、PDM、DNS等組態(tài)程序、OPC、MES、CAD、CAE、CAM、工程輔助軟件、各種定制化軟件等安全設(shè)備網(wǎng)絡(luò)防火墻、IPS、IDS、防病毒網(wǎng)關(guān)、安全審計設(shè)備、VPN、運維管理設(shè)備、網(wǎng)閘等工業(yè)防火墻、單向隔離網(wǎng)關(guān)、縱向加密裝置、工業(yè)審計設(shè)備等數(shù)據(jù)保護(hù)與安全審計2知識導(dǎo)入與安全審計相比，監(jiān)測管理技術(shù)雖然實現(xiàn)的效果類似，但是有安全實時性的要求，主要應(yīng)用于工業(yè)互聯(lián)網(wǎng)IT環(huán)境中，OT環(huán)境中的監(jiān)控多使用組態(tài)技術(shù)實現(xiàn)，有時也使用網(wǎng)絡(luò)監(jiān)控技術(shù)，而物理環(huán)境則采用視頻監(jiān)控的方式。最有代表性的網(wǎng)絡(luò)監(jiān)控管理技術(shù)是利用SNMP協(xié)議技術(shù)實現(xiàn)的網(wǎng)絡(luò)監(jiān)控管理，它是網(wǎng)絡(luò)管理中被廣大設(shè)備廠商及用戶支持和應(yīng)用的協(xié)議，現(xiàn)實生活中經(jīng)常用于實現(xiàn)網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控。安全測試報告編寫任務(wù)實施【任務(wù)目的】對FTP暴力破解事件判斷并立即做出應(yīng)急響應(yīng)【使用工具】運行系統(tǒng)：WindowsServer2016其他軟件：FTP暴力破解工具測試主機(jī)：測試服務(wù)器（開啟FTP服務(wù)）【步驟1】

可疑進(jìn)程查看01登錄到服務(wù)器上，對服務(wù)器進(jìn)行隔離，服務(wù)器并沒有安裝殺毒軟件，查看進(jìn)程信息【步驟2】

管理員賬號查看01與客戶確認(rèn)管理員賬號密碼，管理員賬號需要不存在弱口令。檢查是否被添加非法管理員賬號，確認(rèn)不存在非法用戶添加。02打開“命令提示符”窗口，輸入命令netuser，按Enter鍵執(zhí)行命令【步驟3】

端口分析01查看端口的使用情況，在“命令提示符”窗口中輸入命令netstat-ano，查看是否存在危險端口開放或者外聯(lián)。發(fā)現(xiàn)開放21和445危險端口。排查兩個端口潛在風(fēng)險，21端口為FTP端口，445為SMB端口。02【步驟4】

日志分析右鍵單擊右邊服務(wù)器“InternetInformationServices(IIS)管理器”查看FTP配置，找到FTP日志存放路徑。0201【步驟4】

日志分析查看FTP留存日志C:\inetpub\logs\LogFiles\FTPSVC2\u_ex20230402.log，發(fā)現(xiàn)存在暴力破解行為。通過查看端口服務(wù)及管理員訪談，確認(rèn)服務(wù)器對公網(wǎng)開放了FTP服務(wù)。03【步驟4】

日志分析通過日志分析，發(fā)現(xiàn)單位時間內(nèi)存在多個用戶名嘗試登錄FTP，確定存在FTP被暴力破解事件。04【步驟5】

策略分析在“運行”對話框中輸入gpedit.msc。在打開的對話框中查看本地組策略編輯器展開“Windows設(shè)置>安全設(shè)置>賬戶策略>賬戶鎖定策略”選項，雙擊“賬戶鎖定閾值”選項，查看鎖定次數(shù)0102【步驟6】

配置安全策略對“賬戶鎖定閾值”選項進(jìn)行設(shè)置。0102設(shè)置完FTP登錄失敗次數(shù)限制，完成實驗【步驟7】FTP安全加固方法通過本任務(wù)，對FTP暴力破解應(yīng)急響應(yīng)的方法有一定思路，學(xué)會對FTP暴力破解事件進(jìn)行安全加固。除此之外，對于安全加固可以從以下3個方面進(jìn)行操作。（1）禁止使用FTP傳輸文件，若必須開放應(yīng)限定管理IP地址并加強(qiáng)口令安全審計。（2）更改服務(wù)器FTP默認(rèn)端口。（3）部署入侵檢測設(shè)備，增強(qiáng)安全防護(hù)。任務(wù)評價任務(wù)評價了解資產(chǎn)偵測與安全管理的方法了解數(shù)據(jù)保護(hù)與安全審計的相關(guān)內(nèi)容掌握判斷FTP暴力破解事件的方法掌握對FTP暴力破解事件做出相應(yīng)的應(yīng)急響應(yīng)任務(wù)測驗選擇題

A.GoogleB.SchodanC.CensysD.ZoomEye

以下哪個不屬于針對網(wǎng)絡(luò)安全專用的搜索引擎？（）A.Net

user

B.netstatC.netstat-ano

D.user

在Windows中“命令