工業(yè)互聯(lián)網(wǎng)安全 課件 任務1 工業(yè)互聯(lián)網(wǎng)FTP暴力破解的應急響應

任務1工業(yè)互聯(lián)網(wǎng)FTP暴力破解

的應急響應FTP是一個文件傳輸協(xié)議，用戶通過FTP可從客戶機程序向遠程主機上傳或下載文件，常用于網(wǎng)站代碼維護、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權(quán)限，可直接上傳webshell，進一步滲透提權(quán)，直至控制整個網(wǎng)站服務器。任務描述本任務主要講解如何判斷FTP暴力破解事件，以及如何對FTP暴力破解事件做出相應的應急響應。資產(chǎn)偵測與安全管理1資產(chǎn)作為IT安全管理的對象，包括信息（或數(shù)據(jù)）、硬件、軟件、資金、服務、人員等。工業(yè)互聯(lián)網(wǎng)資產(chǎn)偵測是指追蹤、掌握工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況的過程。在工業(yè)互聯(lián)網(wǎng)的IT與OT環(huán)境中，如何針對終端、設備、服務等典型的網(wǎng)絡軟硬件資產(chǎn)進行偵測，它是實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全管理的重要前提，在工業(yè)互聯(lián)網(wǎng)安全相關工作中具有廣泛的應用價值。知識導入現(xiàn)有網(wǎng)絡資產(chǎn)的探測方法及其特點知識導入類型范圍主要特點存在的問題傳統(tǒng)人工統(tǒng)計內(nèi)網(wǎng)，小規(guī)模可以發(fā)現(xiàn)新型探測方法無法分析到的部分（不產(chǎn)生網(wǎng)絡流量或探測數(shù)據(jù)包無法觸及的網(wǎng)絡資產(chǎn)）耗時費力，時效性差基于客戶端需要大規(guī)模安裝客戶端，由客戶端自動采集，上報網(wǎng)絡資產(chǎn)數(shù)據(jù)，速度快，效率高，節(jié)省人力入侵性最強，限制因素多；客戶端開發(fā)、設計成本高現(xiàn)有網(wǎng)絡資產(chǎn)的探測方法及其特點知識導入類型范圍主要特點存在的問題新型主動探測全網(wǎng)/內(nèi)網(wǎng)，各種規(guī)模均適用無須安裝客戶端，在網(wǎng)內(nèi)一個節(jié)點運行并收發(fā)探測數(shù)據(jù)包即可；速度快，能及時發(fā)現(xiàn)不產(chǎn)生網(wǎng)絡流量的資產(chǎn)噪聲大，易觸發(fā)報警；僅能了解當次探測的狀態(tài)；對安全設備保護的網(wǎng)絡資產(chǎn)探測的難度大被動探測僅限于內(nèi)網(wǎng)無網(wǎng)絡流量插入，入侵性?。粚Π踩O備保護的網(wǎng)絡資產(chǎn)具備一定的探測能力；支持歷史數(shù)據(jù)的積累適用范圍限于內(nèi)網(wǎng)；探測結(jié)果受限于所分析網(wǎng)絡流量的全面性；不產(chǎn)生流量的資產(chǎn)無效搜索引擎通用網(wǎng)絡安全專用僅限于公網(wǎng)（目標資產(chǎn)必須有公網(wǎng)IP）以查詢的方式探測，隱蔽性強，探測速度快；支持全網(wǎng)探測；支持歷史數(shù)據(jù)的積累僅對Web相關網(wǎng)絡資產(chǎn)有效，對公網(wǎng)網(wǎng)絡組件、網(wǎng)絡設備、網(wǎng)絡服務等的控測具有優(yōu)勢無法對內(nèi)網(wǎng)資產(chǎn)進行控測；受限于搜索引擎的數(shù)據(jù)獲取能力；易被欺騙，準確率較低安全風險評估的概念和方法1（1）基于通用搜索引擎的探測谷歌黑客技術是一種利用谷歌搜索引擎進行漏洞目標探測以及敏感信息挖掘的技術，可以實現(xiàn)網(wǎng)站映射、查看站點目錄列表、查找登錄頁面、查找口令文件、查找網(wǎng)絡設備等功能，因此具備一定的網(wǎng)絡資產(chǎn)探測能力。GHDB（GoogleHackingDataBase）是一個谷歌黑客搜索查詢指令的數(shù)據(jù)庫，可以基于GHDB中的特定搜索查詢串、某些服務的頁面腳注、Web服務器返回的錯誤消息中攜帶的信息實現(xiàn)端口、操作系統(tǒng)及版本的探測。知識導入安全風險評估的概念和方法1（2）基于網(wǎng)絡安全專用搜索引擎的探測Shodan側(cè)重對所有連接互聯(lián)網(wǎng)的設備及其組件類型信息的搜索，可以使用Shodan搜索攝像頭、打印機、工業(yè)控制器，甚至是粒子加速器、核電站控制設備。Censys系統(tǒng)可以對搜集的數(shù)據(jù)進行數(shù)據(jù)處理匯總，提取結(jié)構(gòu)化數(shù)據(jù)，并將其保存于谷歌云存儲平臺。它還可以利用開源的ElasticSearch平臺和谷歌BigQuery分別在前端和后臺為用戶提供ZMap全網(wǎng)端口、服務掃描結(jié)果的搜索查詢。知識導入安全風險評估的概念和方法1360公司的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺。該平臺通過引入多維度的協(xié)議識別技術實現(xiàn)了廣泛的協(xié)議解析。除了可以識別HTTP、HTTPS、FTP、Telnet、SNMP等通用協(xié)議外，還支持主流工控協(xié)議的指紋識別，包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知識導入數(shù)據(jù)保護與安全審計2知識導入網(wǎng)絡安全風險已經(jīng)成為所有組織面臨的風險管理挑戰(zhàn)之一，開展數(shù)據(jù)保護與網(wǎng)絡安全審計更加必要和重要。如表所示為網(wǎng)絡安全審計的關系、目標和意義。網(wǎng)絡安全中的關系管理網(wǎng)絡安全審計的目標審計在網(wǎng)絡安全中的角色1.信息技術2.信息安全3.信息風險管理4.合規(guī)和其他團隊1.三道防線2.超越合規(guī)性3.預防、檢測和響應的三階段戰(zhàn)略4.專業(yè)的網(wǎng)絡評估1.網(wǎng)絡安全框架2.內(nèi)部審計將發(fā)生的變化3.未來的技能需求4.尋找和留住人才工業(yè)互聯(lián)網(wǎng)安全審計的對象知識導入類型ITOT網(wǎng)絡設備網(wǎng)絡交換機、路由器、負載均衡設備等工控交換機、網(wǎng)絡交換機、物聯(lián)網(wǎng)關、邊緣計算設備等服務器通用服務器、域控服務器、DNS服務器等OPC服務器、MTU服務器、CA服務器等計算終端電腦、手機、平板、打印機、攝像頭等電腦、HMI、IOT設備、IED、RTU、PLC、DCS控制單元、SIS控制單元、機器人、數(shù)控機床、遙控終端、打印機、攝像頭等數(shù)據(jù)庫歷史數(shù)據(jù)庫OPC、實時數(shù)據(jù)庫應用系統(tǒng)工業(yè)云平臺、工業(yè)App、門戶網(wǎng)站、OA、ERP、PDM、DNS等組態(tài)程序、OPC、MES、CAD、CAE、CAM、工程輔助軟件、各種定制化軟件等安全設備網(wǎng)絡防火墻、IPS、IDS、防病毒網(wǎng)關、安全審計設備、VPN、運維管理設備、網(wǎng)閘等工業(yè)防火墻、單向隔離網(wǎng)關、縱向加密裝置、工業(yè)審計設備等數(shù)據(jù)保護與安全審計2知識導入與安全審計相比，監(jiān)測管理技術雖然實現(xiàn)的效果類似，但是有安全實時性的要求，主要應用于工業(yè)互聯(lián)網(wǎng)IT環(huán)境中，OT環(huán)境中的監(jiān)控多使用組態(tài)技術實現(xiàn)，有時也使用網(wǎng)絡監(jiān)控技術，而物理環(huán)境則采用視頻監(jiān)控的方式。最有代表性的網(wǎng)絡監(jiān)控管理技術是利用SNMP協(xié)議技術實現(xiàn)的網(wǎng)絡監(jiān)控管理，它是網(wǎng)絡管理中被廣大設備廠商及用戶支持和應用的協(xié)議，現(xiàn)實生活中經(jīng)常用于實現(xiàn)網(wǎng)絡設備管理、網(wǎng)絡管理、網(wǎng)絡監(jiān)控。安全測試報告編寫任務實施【任務目的】對FTP暴力破解事件判斷并立即做出應急響應【使用工具】運行系統(tǒng)：WindowsServer2016其他軟件：FTP暴力破解工具測試主機：測試服務器（開啟FTP服務）【步驟1】

可疑進程查看01登錄到服務器上，對服務器進行隔離，服務器并沒有安裝殺毒軟件，查看進程信息【步驟2】

管理員賬號查看01與客戶確認管理員賬號密碼，管理員賬號需要不存在弱口令。檢查是否被添加非法管理員賬號，確認不存在非法用戶添加。02打開“命令提示符”窗口，輸入命令netuser，按Enter鍵執(zhí)行命令【步驟3】

端口分析01查看端口的使用情況，在“命令提示符”窗口中輸入命令netstat-ano，查看是否存在危險端口開放或者外聯(lián)。發(fā)現(xiàn)開放21和445危險端口。排查兩個端口潛在風險，21端口為FTP端口，445為SMB端口。02【步驟4】

日志分析右鍵單擊右邊服務器“InternetInformationServices(IIS)管理器”查看FTP配置，找到FTP日志存放路徑。0201【步驟4】

日志分析查看FTP留存日志C:\inetpub\logs\LogFiles\FTPSVC2\u_ex20230402.log，發(fā)現(xiàn)存在暴力破解行為。通過查看端口服務及管理員訪談，確認服務器對公網(wǎng)開放了FTP服務。03【步驟4】

日志分析通過日志分析，發(fā)現(xiàn)單位時間內(nèi)存在多個用戶名嘗試登錄FTP，確定存在FTP被暴力破解事件。04【步驟5】

策略分析在“運行”對話框中輸入gpedit.msc。在打開的對話框中查看本地組策略編輯器展開“Windows設置>安全設置>賬戶策略>賬戶鎖定策略”選項，雙擊“賬戶鎖定閾值”選項，查看鎖定次數(shù)0102【步驟6】

配置安全策略對“賬戶鎖定閾值”選項進行設置。0102設置完FTP登錄失敗次數(shù)限制，完成實驗【步驟7】FTP安全加固方法通過本任務，對FTP暴力破解應急響應的方法有一定思路，學會對FTP暴力破解事件進行安全加固。除此之外，對于安全加固可以從以下3個方面進行操作。（1）禁止使用FTP傳輸文件，若必須開放應限定管理IP地址并加強口令安全審計。（2）更改服務器FTP默認端口。（3）部署入侵檢測設備，增強安全防護。任務評價任務評價了解資產(chǎn)偵測與安全管理的方法了解數(shù)據(jù)保護與安全審計的相關內(nèi)容掌握判斷FTP暴力破解事件的方法掌握對FTP暴力破解事件做出相應的應急響應任務測驗選擇題

A.GoogleB.SchodanC.CensysD.ZoomEye

以下哪個不屬于針對網(wǎng)絡安全專用的搜索引擎？（）A.Net

user

B.netstatC.netstat-ano

D.user

在Windows中“命令