WEBCAST: 蓝队狂欢节 - Black Hills信息安全公司

Kent Ickler & Jordan Drysdale //

前言

我们在2018年11月8日举行了一次系统管理员和安全专业人士的"AA会议"。我们见面讨论了那些在我们的组织中似乎进展缓慢的事情：补丁管理、定期扫描，甚至只是找时间管理我们的库存。

幻灯片可在此处获取：https://blackhillsinformationsecurity.shootproof.com/gallery/7945173/

五个重要事项（真正产生差异的）

1. 使用Nmap、Masscan建立网络基线，学习网络知识
2. 库存管理和获得控制权
3. 更新、升级、打补丁
4. 重新审视基线化。强化明文服务
5. 我们喜爱的组策略，那些让渗透测试者和攻击者难以得手的策略

我们讨论的内容远不止这些。

问答跟进

有很多很好的问题，我们认为应该发布出来。以下是内容：

Q: 您建议定期（每月/每季度）扫描所有RFC1918地址以发现未知设备/使用的网段吗？如果是，使用nmap、masscan还是当前的漏洞扫描器？ A: 绝对建议，我们会使用masscan。但是…这取决于情况。您的职位或网络位置是否允许访问所有网段？如果您控制网络设备（交换机、路由器、防火墙），可以开始运行SNMP[v3 :)]。收集包含端口上有多个MAC地址的报告。这可能意味着有人在网络上放置了NAT设备，您永远看不到他们的流氓网段。也可能意味着您已开始映射网络上的重要端口（交换机上行链路、接入点等）。

Q: 有人能详细说明为什么OpenVAS不好吗？ A: OpenVAS不一定不好…正如我们提到的，它是一个很好的起点。特别是如果您的组织允许其系统团队采取进攻姿态。意思是：如果您能用OpenVAS识别缺陷然后利用它们，您可以证明公司可能需要投资商业产品。虽然我们与Tenable没有特定关系，但我们认为Nessus的成本效益比是行业标准。哦对了，我们的合同没有时间等待OpenVAS——它有点慢…

与会者关于OpenVAS的评论：“我不确定许可证的合法性，但我将OpenVAS结果与nexpose’免费许可证’进行了比较，并用这种比较向管理层展示为什么我们需要商业工具。”

完美引出——

Q: Nessus vs Nexpose？ A: 如果您能负担得起Nexpose，请务必选择它。它以漂亮的图形格式为系统团队减轻漏洞的努力提供了合理化（Nessus Manager也这样做）。IDR可以直接集成并在"飞行记录器"场景中提供反馈，这是另一位与会者询问的。这个产品很棒！在我看来（这不是BHIS（Black Hills InfoSec）的观点），它们的报告功能不如Nessus报告实用或易读。这里也有一个BUT…但是——从快速响应合同的角度来看，Nessus是我每天使用的——我可能只是不知道如何正确使用Nexpose。

评论：100%值得在这里提及。以下基于我在WWHF与Jeff Man关于渗透测试与漏洞评估的长时间对话。 “用军队的说法，蓝队是带有内部知识的漏洞测试。红队是敌对的渗透测试。漏洞评估只是对照STIGs等标准进行检查。一如既往，交战规则是关键。”

评论/Q: “我们有15字符的密码策略，但在州审计中因没有8+复杂性而被扣分。您们见过任何显示15更好且可接受的合规倡议吗？” A: 唉。我在网络直播中抱怨过这个。标准合规机构忽略了这一点。我们特别说明15个字符是因为Active Directory的默认密码存储机制：Lanman。如果不配置GPO以"启用禁用Lanman哈希存储的设置"，15个字符是我们击败这个非常非常糟糕的供应商默认设置的方式。为什么合规机构行动缓慢？人们仍然使用Nist 87（我认为）作为指导——它在1987年是8个字符…说真的，我知道这是一个AA会议，但现在是改变这个的时候了。

查看斯坦福的政策：https://uit.stanford.edu/service/accounts/passwords/quickguide——基本上，如果您想要一个短密码，它有效两周。密码中的熵越多，它的存活时间就越长。太棒了。

Q: 您能再次讲解NMAP命令以及它们如何枚举吗？ A: 这些是我每次测试几乎每天使用的标准。 [-F] Top100 [-p-] allTCP [-A] OS+svc [-sV] svcVer [-sP] ping
[-sS] TCPSYN [-sU] UDP [–script vuln / smb-sec-mode / ssl-enum] ## 这些接近，但可能不完全正确 [-oA] outputAll

相反，查看这个：https://blogs.sans.org/pen-testing/files/2013/10/NmapCheatSheetv1.1.pdf

Q: Recon-NG仍然适用于LinkedIn抓取吗？ A: 是的。但是，我不确定我们是否被允许称之为"抓取"。您需要的几样东西在Azure门户中可用。您将需要来自Bing的自定义搜索API。一旦可用，您可能需要验证模块代码中的Bing API v7端点。使代码与您的匹配，并在recon-ng中使用"keys add bing_api "。

Q: 打补丁的速度多快？我支持测试后尽快进行，但我通常看到客户在30天内… A: 这很有趣，我们内部刚刚进行了这次对话。对话大致如此，我认为John忍住没有告诉我们测试人员我们错了。“如果发现关键缺陷并且我们可以在参与中测试它，攻击者肯定不会等待打补丁的窗口。“我认为这继续向上游供应商施加压力，以尽可能快地下推补丁。

这转到了我想关于库存控制的一点。 评论：库存管理很难，但请在采购时实施控制。所有进入组织的新设备，我真的不在乎它是否是30美元的netgear交换机，都需要在库存管理控制表中指定联系人。此人负责向供应商注册产品。扔掉垃圾，使用真实的联系信息，否则您将错过安全修复已发布且需要打补丁的通知。

Q: 对刚开始安全计划的SMB的框架建议？CIS 20？NIST 800-53？其他？ A: 我们喜爱CIS/CSC 20，宣传它们并发现它们极其难以实施。这甚至可能导致IT运营和高管之间的极度不信任。然而，对于寻找框架作为紧缩策略一部分的组织，这是一个很好的起点。记住Kent的幻灯片：

Q: 对Cisco Smart Install TCP/4786的引用是什么？ A: 我们接下来要发布的几篇博客之一将是关于这个功能的。它是另一个"默认开启"危险但在某些场景下可接受的功能。该功能允许未经身份验证检索配置文件。请为您的管理员用户名参数使用Cisco Type 5，因为如果您错过了Cisco设备上的’no vstack’配置参数，可能有人已经反转了您的管理员密码（type 7可逆，未加密）。该功能还允许配置推送——查看登陆在一堆俄罗斯Cisco路由器上的"US Flag ASCII art故事”。还有——SIET工具自动化了这一点。

评论：喜欢那个实习生部分…作为寻找实习的人，那就是我们擅长的 =P A: 我们真的爱我们的实习生。你们是即将到来的下一代防御者！！！

评论/Q: 我们使用Nessus扫描，得到响应说补丁无效，因为注册表设置和GPO设置未应用，您对此有什么想法？是否可能其中一些问题已通过替代补丁解决？ A: 如果我网络上的系统开始对使用的任何控制验证步骤表现出异常结果，绝对是时候基线映像了！实习生，倒满这杯咖啡😀并映像这个盒子。我开玩笑的，说真的。实习生很棒，映像部署是学习的一部分。多播！PIM，从我的存储段到计算机实验室通过稀疏模式路由映像。加入多播组，ghost，fog，这么多很棒的基础概念要学习。

Q: 存储、更新和与基线数据协作的最佳方式是什么？ A: 最佳很难。对我们来说最佳是FOG。它简单。免费。我们捕获我们知道会反复使用的映像——带有一些修改的Kali（顺便说一句，LVM对映像很糟糕）和一个Win10R&D。砰，重新映像不到一小时。标准化您的台式机和笔记本电脑。升级硬件时升级映像。

Jason: “感谢您们提供的所有内容。我觉得它非常有价值并表示感谢。”

最后，向Jason喊一声——我们为您做这个，先生！以及所有其他关注我们努力的人。我们也感谢您，先生！