工业互联网安全 课件 任务1 工业互联网FTP暴力破解的应急响应

任务1工业互联网FTP暴力破解

的应急响应FTP是一个文件传输协议，用户通过FTP可从客户机程序向远程主机上传或下载文件，常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限，可直接上传webshell，进一步渗透提权，直至控制整个网站服务器。任务描述本任务主要讲解如何判断FTP暴力破解事件，以及如何对FTP暴力破解事件做出相应的应急响应。资产侦测与安全管理1资产作为IT安全管理的对象，包括信息（或数据）、硬件、软件、资金、服务、人员等。工业互联网资产侦测是指追踪、掌握工业互联网资产情况的过程。在工业互联网的IT与OT环境中，如何针对终端、设备、服务等典型的网络软硬件资产进行侦测，它是实现工业互联网安全管理的重要前提，在工业互联网安全相关工作中具有广泛的应用价值。知识导入现有网络资产的探测方法及其特点知识导入类型范围主要特点存在的问题传统人工统计内网，小规模可以发现新型探测方法无法分析到的部分（不产生网络流量或探测数据包无法触及的网络资产）耗时费力，时效性差基于客户端需要大规模安装客户端，由客户端自动采集，上报网络资产数据，速度快，效率高，节省人力入侵性最强，限制因素多；客户端开发、设计成本高现有网络资产的探测方法及其特点知识导入类型范围主要特点存在的问题新型主动探测全网/内网，各种规模均适用无须安装客户端，在网内一个节点运行并收发探测数据包即可；速度快，能及时发现不产生网络流量的资产噪声大，易触发报警；仅能了解当次探测的状态；对安全设备保护的网络资产探测的难度大被动探测仅限于内网无网络流量插入，入侵性小；对安全设备保护的网络资产具备一定的探测能力；支持历史数据的积累适用范围限于内网；探测结果受限于所分析网络流量的全面性；不产生流量的资产无效搜索引擎通用网络安全专用仅限于公网（目标资产必须有公网IP）以查询的方式探测，隐蔽性强，探测速度快；支持全网探测；支持历史数据的积累仅对Web相关网络资产有效，对公网网络组件、网络设备、网络服务等的控测具有优势无法对内网资产进行控测；受限于搜索引擎的数据获取能力；易被欺骗，准确率较低安全风险评估的概念和方法1（1）基于通用搜索引擎的探测谷歌黑客技术是一种利用谷歌搜索引擎进行漏洞目标探测以及敏感信息挖掘的技术，可以实现网站映射、查看站点目录列表、查找登录页面、查找口令文件、查找网络设备等功能，因此具备一定的网络资产探测能力。GHDB（GoogleHackingDataBase）是一个谷歌黑客搜索查询指令的数据库，可以基于GHDB中的特定搜索查询串、某些服务的页面脚注、Web服务器返回的错误消息中携带的信息实现端口、操作系统及版本的探测。知识导入安全风险评估的概念和方法1（2）基于网络安全专用搜索引擎的探测Shodan侧重对所有连接互联网的设备及其组件类型信息的搜索，可以使用Shodan搜索摄像头、打印机、工业控制器，甚至是粒子加速器、核电站控制设备。Censys系统可以对搜集的数据进行数据处理汇总，提取结构化数据，并将其保存于谷歌云存储平台。它还可以利用开源的ElasticSearch平台和谷歌BigQuery分别在前端和后台为用户提供ZMap全网端口、服务扫描结果的搜索查询。知识导入安全风险评估的概念和方法1360公司的工业互联网安全态势感知平台。该平台通过引入多维度的协议识别技术实现了广泛的协议解析。除了可以识别HTTP、HTTPS、FTP、Telnet、SNMP等通用协议外，还支持主流工控协议的指纹识别，包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知识导入数据保护与安全审计2知识导入网络安全风险已经成为所有组织面临的风险管理挑战之一，开展数据保护与网络安全审计更加必要和重要。如表所示为网络安全审计的关系、目标和意义。网络安全中的关系管理网络安全审计的目标审计在网络安全中的角色1.信息技术2.信息安全3.信息风险管理4.合规和其他团队1.三道防线2.超越合规性3.预防、检测和响应的三阶段战略4.专业的网络评估1.网络安全框架2.内部审计将发生的变化3.未来的技能需求4.寻找和留住人才工业互联网安全审计的对象知识导入类型ITOT网络设备网络交换机、路由器、负载均衡设备等工控交换机、网络交换机、物联网关、边缘计算设备等服务器通用服务器、域控服务器、DNS服务器等OPC服务器、MTU服务器、CA服务器等计算终端电脑、手机、平板、打印机、摄像头等电脑、HMI、IOT设备、IED、RTU、PLC、DCS控制单元、SIS控制单元、机器人、数控机床、遥控终端、打印机、摄像头等数据库历史数据库OPC、实时数据库应用系统工业云平台、工业App、门户网站、OA、ERP、PDM、DNS等组态程序、OPC、MES、CAD、CAE、CAM、工程辅助软件、各种定制化软件等安全设备网络防火墙、IPS、IDS、防病毒网关、安全审计设备、VPN、运维管理设备、网闸等工业防火墙、单向隔离网关、纵向加密装置、工业审计设备等数据保护与安全审计2知识导入与安全审计相比，监测管理技术虽然实现的效果类似，但是有安全实时性的要求，主要应用于工业互联网IT环境中，OT环境中的监控多使用组态技术实现，有时也使用网络监控技术，而物理环境则采用视频监控的方式。最有代表性的网络监控管理技术是利用SNMP协议技术实现的网络监控管理，它是网络管理中被广大设备厂商及用户支持和应用的协议，现实生活中经常用于实现网络设备管理、网络管理、网络监控。安全测试报告编写任务实施【任务目的】对FTP暴力破解事件判断并立即做出应急响应【使用工具】运行系统：WindowsServer2016其他软件：FTP暴力破解工具测试主机：测试服务器（开启FTP服务）【步骤1】

可疑进程查看01登录到服务器上，对服务器进行隔离，服务器并没有安装杀毒软件，查看进程信息【步骤2】

管理员账号查看01与客户确认管理员账号密码，管理员账号需要不存在弱口令。检查是否被添加非法管理员账号，确认不存在非法用户添加。02打开“命令提示符”窗口，输入命令netuser，按Enter键执行命令【步骤3】

端口分析01查看端口的使用情况，在“命令提示符”窗口中输入命令netstat-ano，查看是否存在危险端口开放或者外联。发现开放21和445危险端口。排查两个端口潜在风险，21端口为FTP端口，445为SMB端口。02【步骤4】

日志分析右键单击右边服务器“InternetInformationServices(IIS)管理器”查看FTP配置，找到FTP日志存放路径。0201【步骤4】

日志分析查看FTP留存日志C:\inetpub\logs\LogFiles\FTPSVC2\u_ex20230402.log，发现存在暴力破解行为。通过查看端口服务及管理员访谈，确认服务器对公网开放了FTP服务。03【步骤4】

日志分析通过日志分析，发现单位时间内存在多个用户名尝试登录FTP，确定存在FTP被暴力破解事件。04【步骤5】

策略分析在“运行”对话框中输入gpedit.msc。在打开的对话框中查看本地组策略编辑器展开“Windows设置>安全设置>账户策略>账户锁定策略”选项，双击“账户锁定阈值”选项，查看锁定次数0102【步骤6】

配置安全策略对“账户锁定阈值”选项进行设置。0102设置完FTP登录失败次数限制，完成实验【步骤7】FTP安全加固方法通过本任务，对FTP暴力破解应急响应的方法有一定思路，学会对FTP暴力破解事件进行安全加固。除此之外，对于安全加固可以从以下3个方面进行操作。（1）禁止使用FTP传输文件，若必须开放应限定管理IP地址并加强口令安全审计。（2）更改服务器FTP默认端口。（3）部署入侵检测设备，增强安全防护。任务评价任务评价了解资产侦测与安全管理的方法了解数据保护与安全审计的相关内容掌握判断FTP暴力破解事件的方法掌握对FTP暴力破解事件做出相应的应急响应任务测验选择题

A.GoogleB.SchodanC.CensysD.ZoomEye

以下哪个不属于针对网络安全专用的搜索引擎？（）A.Net

user

B.netstatC.netstat-ano

D.user

在Windows中“命令