声明！
学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec

企业网络架构

企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而异，但通常遵循一定的框架和原则。

人员部门架构

高层管理：

CIO（首席信息官)：
负责企业信息系统的战略规划、管理和优化，确保信息技术与企业战略保持一致。
CTO(首席技术官)：
负责运营技术的整体方向，包括技术创新、研发、技术选型等。

IT管理：

中央系统：
集中管理企业内的所有T资源，包括软件、硬件和数据。
自带设备(BYOD)：
员工自带移动设备（如手机、平板电脑）接入企业网络，需要制定相应的安全策略和管理规定。
影子IT:
员工可能在企业内部搭建的小网络或使用的未经授权的IT设备和软件，这增加了企业的安全风险，需要加以管理和控制。

中央技术团队：

客户服务团队：
提供技术支持和服务，包括工作站、笔记本的维护和服务台支持。
基础设施团队：
负责网络、服务器机群的规划、部署和维护。
数据库管理团队：
负责数据库存储、备份和恢复，确保数据的完整性和安全性。
技术团队：
通常由项目驱动，负责采购系统、维护和建立技术运营团队。根据信息技术基础设施库(ITIL)进行日常操作和管理。

安全部门：

由CISO（首席信息安全官)领导，负责企业整体的信息安全策略、规划和管理。安全部门
需要向CIO、CTO、CFO(首席财务官)和CRO(首席风险官)报告，确保信息安全写企业战略、财务和风险管理保持一致。

技术分类

企业管理技术

信息安全管理成熟度模型（ISM3)：
描述了企业安全运行和管理流程的成熟度等级，为企业提供了改进信息安全管理的指导。
安全职能：
包含战略、战术和运营安全所有方面。由CS0负责管理运营，确保企业信息安全策略的有效实施和持续改进
安全团队成员：
应了解企业文化、组织和关键人员，以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象，提高信息安全意识和管理水平。

典型企业网络分区

企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。
DMZ（非军事区)：

• 隔离内部与外部系统，提供安全的访问通道。
  蜜罐：
• 引诱和分析入侵者，收集攻击信息和行为模式。
  代理：
• 对外提供有限的服务，保护内部网络免受外部攻击。
  VPN:
• 员工与合作商通过VPN连接内网，确保远程访问的安全性和保密性。
  核心网络：
• 通常物理分离、冗余设计，确保网络的稳定性和可靠性
  内部网络：
• 包括有线、无线和VPN接入方式，提供全面的网络覆盖和接入服务。
  安管区：
• 管理日志、告警和事件，提供实时的安全监控和响应能力。

模糊的边界

随着云计算和SaaS服务的普及，传统网络结构逐渐减少，越来越多地在云中部署基础架构或使用SaaS服务。

用户从企业工作站登录到云或SaaS服务，需要企业提供身份凭据同步机制甚至SSO（单点登录）解决方案

云服务可能涉及在本地运行的硬件，例如Azure AD Connect系统等。

数据通过内部和外部服务进行管理，例如Oracle数据集成器等。

工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享，实现资源的灵活配置和优化利用。

外部攻击面

收集开源情报后，绘制网络范围内全部节点，关闭无用节点，减少攻击面。

使用nmap等工具进行网络扫描，例如nmap -Sn〈subnet>/24来发现网络中的活跃主机。

重点关注开启了SSH服务的未加固设备，及时进行加固和修复

使用nmap等工具进行服务探测和版本识别，例如nmap -PS -sV ip-address来发现目标主机上开放的服务和版本信息。

测试漏洞入口，大型网络主机和应用程序很容易缺少补丁或配置存在漏洞。使用漏扫软件(如Nessus等)验证漏洞存在性，并及时进行修复使用

searchsploit等工具搜索相关漏洞利用脚本，例如searchsploit <service name> <version>.来查找针对特定服务和版本的漏洞利用脚本。这有助于安全团队及时了解和应对潜在的威胁和漏洞

身份管理

身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具：

识别Windows典型应用

在Windowss环境中，常见的应用和服务包括Microsoft Exchange(邮件服务器)
SharePoint(文档协作平台)和Active Directory(目录服务)。要识别这些应用和服务
可以使用网络扫描工具，如sudo nmap -PS -sV somesystem.com,来探测目标系统上开放的服务和端口。

识别Linux典型应用

在Linux环境中，OpenSSH(安全壳协议)用于远程登录和管理，Samba则用于文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。

识别WEB服务

企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb
http:/someweb.org 等工具来识别WEB服务的类型、版本和配置信息。

识别客户端设备

在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的客户端设备，以确保它们符合企业的安全策略。

身份和访问管理

身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储，包括用户账号和服务账号。，为了确保系统的安全性，普通用户不能执行系统级配置管理命令，而需要使用sudo权限或以管理员身份运行。

目录服务

LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议，它广泛应用于AD(Active Directory)和OpenLDAP等目录服务中。通过域集中管理，可以实现资源的集中存储和集中管理，包括组策略的应用和更新。

数据分类

企业数据存储

随着数据分析的兴起和监管要求的加强，企业需要集中存储和管理大量数据。常见的存储方案包括SAN(存储区域网络)和NAS(网络附加存储)。

SAN由高速网络连接多个存储设备组成，提供高性能的数据存储和访问能力；
而NAS侧是单个设备拥有大量存储，通过本地网络供服务器和工作站访问。

此外，企业还可以使用串行局域网(SoL)协议，使串行数据基于HTTPS传输，以提高数据传输的安全性和可靠性。

企业虚拟化平台

虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的
vSphere和vCenter、Proxmox等。这些平台可以实现资源的动态分配和优化利用，提高系统的灵活性和可扩展性。

数据湖

数据湖是一个保存大量不同形式数据的大型存储库，结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一，而另一种本地解决方案是DataBricks。.

此外，还有基于云的大数据解决方案，如Cloudera、Google BigQuery、Oracle BigData、
Amazon EMR、Azure Data Lake Storage和Azure HDInsight(基于云的Hadoop)等。

围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析服务。然而，数据湖也
面l临着安全风险，如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命
令行shel I。因此，需要加强对数据湖的安全管理和监控。

企业数据库

企业数据库是存储和管理业务数据的重要工具。

常见的SQL数据库包括Oracle SQL、Microsoft SQL Server和MySQL等；

而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。
此外，还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等

它们提供了不同的数据存储和查询方式以满足企业的多样化需求。

传统存储形式

传统存储形式中，共享驱动器是一种常见的资源共享方式，它允许用户通过网络协议(SMB/CIFS)访问远程服务器上的文件和文件夹。

使用smbclient命令行工具，可以列出远服务器上的共享资源，以及从共享资源中下载文件。例如，使用smbclient -L server -U user命令可以列出指定服务器上的共享资源，而smbclient\\\someserver\\test -U user 则可以连接到名为test的共享资源，并使用get命令下载文件。

在windows系统中，还存在一些默认的共享资源，如C(所有驱动器的默认共享)、ADMIN(管理共享)和IPC$(管道，用于与其他计算机互操作的特殊连接器)。这些默认共享通岸用于系统管理和维护任务。

SOC管理流程

SOC(Security Operations Center,安全运营中心)是企业信息安全计划的重要组成部门，它负责监控、分析和响应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理系，需要了解SOC如何适应ISMS(Information Security Management System,信息安全理体系)。

IS027001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准
IS027001标准提供了一种基于控制方法的审计和认证框架,而NIST网络安全框架则更注重预防和应对网络攻击，包括识别、保护、检测、响应和恢复五个阶段。然而，这些标准并没有具体提出建立SOC的要求，因此每个企业安全运营的组织方法都不尽相同。

信息安全生命周期通常包括四个阶段：安全策略、能力设计、实施和运营。戴明环(PDC)是信息安全生命周期的早期表现，它包括计划、做、检查和行动四个步骤。而SABSA框架
则对信息安全生命周期进行了改进，将其划分为战略规划、设计、实施和管理测量四个阶段。

从渗透测试的角度来看，掌握S0C的日常操作活动是为了避免被检测出来；而从防御者的角度来看，掌握SOC完整的生命周期视图可以确保其有效性。SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。

SOC层级

SOC通常分为不同的层级，每个层级负责不同的任务。例如：
L1:提供监视告警、分类和解决小问题。
L2:提供对日常事件的分析、遏制和解决。
L3:负责损失控制、深入调查和取证分析IR(Incident Response,事件响应)事件。
L4:安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全邦告和其他主动安全程序。