过了五一,基本上大家都要开始去工作了,去踏上自己的新的生活了,但也有不少同学目前手上还没有offer,还在焦虑中。
不少网络安全专业的小伙伴同样面对这样的问题,没有实战经验,没有工作经验,感叹工作不好找啊!
不谈论这些开心的事情了,网络安全专业的可以这里看了(或者想在今年护网挣点生活费的这里看),下面是一个护网主防的面试问题!!!
护网主防面试QA(高级蓝队)
Q:讲一下作为主防,一般都需要做哪些工作,整体性的来聊一下;
A:作为主防,那我就从护网前、护网中、护网后来回答吧
1、护网前
护网前主要工作分为三个大的模块:安全意识教育、技术类评估、设备类补齐调优
1)安全意识教育:面对目前各类的社工、近源类攻击,护网前会设立各种专项,如社工钓鱼演练、安全意识培训、WIFI专项攻击等
2)技术类评估:1、信息收集,暴露敏感信息收敛、暴露面收敛,能关的端口关闭、能关的系统关闭。2、全量渗透,针对不能关闭的系统进行全量的渗透,尽可能发现更多的问题。3、安全加固,特别是靶标系统加固,针对提交的靶标系统,访问策略梳理,访问权限缩小。
3)设备类补齐调优:1、设备补齐:分析现场网络拓扑,分析缺失的安全设备,并进行补齐;基础版:防火墙+waf+全流量;高级:防火墙+waf+ips+全流量+蜜罐+主机安全等 2:安全设备调优:waf和全流量进行联动调优,比如都是jsp的网站,那么在waf侧将全部asp、php等非jsp的请求全部阻断,保证全流量设备尽可能的减少误报。3、集权类设备策略梳理:管理着较多主机、应用、数据库权限的系统(例如:SSO、AD域、VPN、堡垒机、Zabbix、天擎管理后台、亚信管理后台)权限梳理,如已离职人员账号删除,口令梳理、访问策略梳理等
2、护网中
护网中有几个方面:流量监控、应急响应、溯源反制等;
也可能会存在护网中,没有针对性的攻击,那这种情况就要根据现场的情况发现安全问题,为护网后安全建设提供素材
3、护网后
护网后主要就是:护网总结、攻击还原及安全建议;
护网后对于厂商来说最重要的是如何把已经上了的设备在安全建议中提给用户,想办法协助销售同学留下设备。
Q:讲一下你在护网中有哪些溯源反制的操作?
A:这里要分两步来说:1、是溯源到攻击者的画像;2、反制到攻击者的电脑
溯源攻击者画像:
1、通过一些高仿真的蜜罐获取到攻击者id(这里的id通常是手机号码、qq、或者邮箱能)【原理:蜜罐伪装的网站上插入特定的js文件,该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等】,通过id在互联网上(社交平台、微信、支付宝、抖音、公众号或者社工库等)进行信息收集,最终找出来这个人是谁,目前在哪个安全厂家工作,其实只要能证明这个id对应的这个人是更安全相关工作的基本上就可以了。
2、攻击者一般都会用vps进行反向代理流量,那通过全流量产品获取攻击者的vps地址,然后通过vps上面搭建的网站或者漏洞拿下vps,在vps上找相关的信息,比如个人博客等
反制攻击者电脑:
1、通过高仿蜜罐或者测试网站,引诱攻击者上传了webshell,等到攻击者上传了webshell后修改他的webshell,编写一浏览器漏洞利用的js代码等,等到攻击者链接他的shell的时候,编写的js就会利用浏览器代码来远控攻击者的电脑【也有一些高仿的蜜罐能够完成上面工作,原理:伪装的网站上显示需要下载某插件,该插件一般为反制木马,控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。
内容还很多,都在知识星球里有详细的编写。
除了护网相关的内容,星球中还涉及护网面试、网络安全实习面试、offer选择、web安全、java代码审计、应急响应、安全意识培训ppt、护网方案、清单等
趁着优惠还在,大家抓紧入手吧:
这里还有你能学到的:
进星球后点击置顶链接,每一个知识大类都做了归纳,大家可以根据自己的需求进行仔细的阅读!!!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...