您知道网络上有哪些设备吗？

Bryan Strand//

最近我开始通过SANS学习James Tarala教授的SEC566课程，内容涉及CSC 20关键控制。我决定写一个博客系列，简要概述每个控制措施，以及如何开始在您的网络中实施它们。这绝不是对每个控制的深入分析，而更像是一个快速阅读，让您思考当前正在做的事情，或者可以开始做什么来加强防御。

CSC #1 硬件资产的清单和控制

尽管这个问题似乎很简单，但许多组织在了解网络上有哪些设备方面仍然困难重重。但是，想一想，如果您首先不知道要防御什么，怎么可能开始考虑防御您的网络呢？这可能是安全团队开始防御网络之路的起点。即使您是一个高度成熟的安全团队，但还没有这样做，请立即开始。因为这可能很困难。让我们分解一些实现这一目标的好方法。

一个好的起点是设置一个主动发现工具。不要觉得使用漏洞扫描器（如Nessus、Qualys或Nexpose）来帮助创建清单有什么不好。它们做得很好，而且如果您已经在使用其中一个，就不必担心额外花钱购买专门执行此操作的主动发现工具。尽管有一些很棒的工具，如Tanium，可以做得非常好……但需要付费。甚至Nmap与Ndiff也可以为您做到这一点，而且它们完全免费。结合主动发现工具，您还需要实施一个被动发现工具。IPAM是一个很好的起点，有几个可以研究。有了这两个工具，您现在拥有：

• 一种有意寻找连接到网络的设备的方法。
• 另一种监控网络广播流量的方法。想想Bro与用户代理字符串。

上面的两个截图突出了Bro如何被动捕获网络上系统信息的方式。

接下来，您可能希望在网络上启用DHCP日志记录。普通坏蛋通常在网络上潜伏数月（根据Madiant的数据，大约270天）才会被发现。如果没有DHCP日志记录，回溯查看几个月前潜在事件的特定IP地址信息可能会非常困难。那么，您应该如何处理这些清单和日志记录呢？

仅仅将这些信息放在某个日志或文件中不会有太大帮助。了解网络上有哪些设备的信息很酷，但了解网络上设备关于的信息更酷，并且可以节省大量时间。

网络上的每个设备还应附带以下链接信息：

• 设备名称
• 数据资产所有者（谁委托了该机器）
• 硬件地址
• 网络地址
• 该设备是否首先被批准连接到网络
• 您和您的团队认为有价值的任何其他信息

不言而喻，但当这些信息被整合在一起，并且有未经授权的设备访问您的网络时，确保有一个计划，在团队同意的时间范围内移除该设备或授权它。它还可以帮助回答这个问题……这是什么？

既然我们已经捕获了这些信息，让我们看看一种更预防性的方法，来处理试图连接到网络的设备，以及如何保护它。您的组织应该采取两个很好的做法：要求802.1x和NAC，以及客户端证书来验证连接到您的网络。这不仅包括终端笔记本电脑和台式机，还包括服务器和电话。

您很可能会考虑商业解决方案，如Cisco ISC或ForeScout。但请记住，实施控制措施是关于找到快速简单的胜利，并逐步发展到更复杂的解决方案。只需将商业NAC解决方案视为您安全路线图上的未来点。

现在，在这一点上，我知道一些读者可能会感到有点不知所措，不知道从哪里开始，或者觉得这根本不可能。

我与一些作为公司唯一安全人员的个人进行了几次交谈。独自完成这第一步可能令人生畏，而且似乎您必须打破预算才能开始。或者，您可能也认为您已经锁定并完全弄清楚了。无论哪种方式，我想提供一些免费或开源工具，可供您更好地处理这项任务。自动化在这里是最优的，但如果资金是个问题，那么请查看以下免费工具：

• Nmap
• OSSIM
• Spiceworks
• PacketFence
• OpenNAC

最后，没有必要急于求成。不要放弃与家人共度的夜晚、周末或假期，仅仅因为您无法说服管理层投入一些资金来自动化这项工作或获得一个工具来帮助您。这不应该是一件您担心在下周完美完成的事情。安全不是目的地，而是一个过程，这只是您可以开始掌握它的第一步。

加入我们参加2020年9月23日至25日在Deadwood举行的Wild West Hackin’ Fest。了解更多：https://www.wildwesthackinfest.com/

准备好了解更多吗？
通过Antisyphin的实惠课程提升您的技能！
付费转发培训
提供直播/虚拟和点播选项

播客：什么是红队？ | 播客：信标分析

[返回顶部]