peterokomesi-gif/Cyber-Security-Assessment-Thrive-Africa

# Cyber-Security-Assessment-Thrive-Africa ## 涵盖资产盘点、侦察、漏洞分析、风险优先级划分、治理、事件响应和 OSINT 的综合网络安全评估。 ## 每周交付成果 ### 第 1 周 — 资产盘点与威胁建模 - 编录了跨应用程序、数据库、基础设施和服务类别的 **11 个关键资产** - 将 **STRIDE 威胁建模框架** 应用于支付系统、API 和身份验证机制 - 识别了威胁行为者：网络罪犯、内部威胁、API 滥用以及有组织的欺诈团伙 - 为每项资产分配了敏感性和严重性评级 **关键产出：** 包含跨越 6 个威胁类别的 STRIDE 分析的资产登记表 ### 第 2 周 — 侦察与网络枚举 - 在 Kali Linux 攻击平台上使用 **Nmap** 和 **Netdiscover** 执行了主机发现和网络映射 - 对目标 VM 执行了 TCP SYN 扫描 (`-sS`)、版本检测 (`-sV`) 和 OS 指纹识别 (`-O`) - 枚举了两个目标系统上的开放端口和服务 **工具：** `nmap`, `netdiscover`, Kali Linux **关键发现（实验室环境）：** | 目标 | 开放端口 | 重要服务 | |--------|-----------|-----------------| | Metasploitable 2 | 21, 22, 23, 25, 80, 3306 | FTP (vsftpd 2.3.4), Apache 2.2.8, MySQL 5.0 | | Windows 10 VM | 135, 139, 445, 3389 | SMB, RDP, NetBIOS, MSRPC | ### 第 3 周 — 漏洞评估 - 针对 Metasploitable 2 Web 服务器（Apache 2.2.8）运行了 **Nikto v2.6.0** - 识别出 **8 个漏洞** — 4 个高危，3 个中危，1 个低危 - 将发现结果与 **NIST NVD** 进行交叉对比，以分配 CVE 标识符 **工具：** `nikto -h -p 80` **发现摘要：** | 漏洞 | 严重程度 | CVE | |--------------|----------|-----| | 过时的 Apache (2.2.8) | 高危 | CVE-2019-0211 | | 过时的 PHP (5.2.4) | 高危 | CVE-2012-1823 | | phpinfo() 页面暴露 | 高危 | N/A | | HTTP TRACE 方法已启用 | 高危 | N/A | | 目录列表已启用 | 中危 | N/A | | 缺失 HTTP 安全标头 | 中危 | N/A | | mod_negotiation MultiViews | 中危 | N/A | | PHP 复活节彩蛋泄露 | 低危 | N/A | ### 第 4 周 — 风险登记表与优先级划分 - 应用了与 **NIST SP 800-30 / ISO 27005** 对齐的风险评估方法 - 使用 **可能性 × 影响**（1–3 序数）模型对每项发现进行评分 - 制作了包含 SLA 绑定修复路线图的正式风险登记表 **风险评分 = 可能性 × 影响** | 分数 | 风险等级 | SLA | |-------|-----------|-----| | 9 | 严重 | ≤ 7 天 | | 6 | 高危 | ≤ 7 天 | | 4 | 中危 | ≤ 30 天 | | 1 | 低危 | ≤ 90 天 | **结果：** 2 个严重 · 1 个高危 · 4 个中危 · 1 个低危 ### 第 5 周 — 安全治理与策略框架 - 制定了 **5 项强制性可执行的安全策略**，专为金融科技风险敞口量身定制 - 将每项策略直接映射到已识别的漏洞，以实现完全可追溯性 - 定义了从董事会级别到最终用户的治理层级 **已制定的策略：** | 策略 | 关键义务 | |--------|----------------| | P1 — 信息安全 | 仅支持受支持的软件；在 72 小时内修补严重 CVE | | P2 — 访问控制 | 最小权限原则；强制启用 MFA；远程访问使用 VPN | | P3 — 密码与身份验证 | 至少 12 个字符；5 次尝试失败后锁定；90 天过期 | | P4 — 事件响应 | 1 小时内报告；2 小时内分类；5 天事件后审查 | | P5 — 安全配置 | TraceEnable Off；Options -Indexes；完整的 OWASP 标头集 | ### 第 6 周 — 事件响应剧本 - 定义了 **5 阶段 IR 生命周期**：检测 → 遏制 → 根除 → 恢复 → 事件后审查 - 构建了带有 SLA 计时器的 **4 级事件分类矩阵**：从低危（24 小时）到严重（<15 分钟） - 涵盖了 **6 种特定于金融科技的事件类型**：未经授权的访问、支付欺诈、数据泄露、恶意软件/勒索软件、Web 服务器入侵、账户接管 (ATO) - 定义了角色、上报流程和沟通协议 **场景剧本：** Web 服务器入侵（Apache/PHP 漏洞利用） - 检测触发器 → 防火墙日志异常、意外的文件修改、SIEM 进程生成警报 - 遏制 → 网络隔离、WAF 阻断、禁用 TRACE/phpinfo - 根除 → 修补 runtime，移除后门，审计账户 - 恢复 → 从经过验证的备份还原，验证 API 健康，重新启用支付 ### OSINT 调查 - 使用 SpiderFoot HX（202 个模块）和 theHarvester 4.8.2 进行了 **仅被动 OSINT 侦察** - 未执行任何主动利用或侵入性扫描 - 所有发现均仅通过公开来源获得 **工具：** `spiderfoot`, `theHarvester` **命令：** ``` # SpiderFoot — 被动模式 spiderfoot -s -u passive -o csv # theHarvester — 所有来源，500 个结果 theHarvester -d -l 500 -b all ``` **关键发现类别：** | 类别 | 发现 | |----------|---------| | DNS | 通过 DNS 暴力破解枚举出多个子域名 | | 云 | 识别出可公开枚举的云存储桶 | | 移动 | 索引了带有 bundle ID 和版本元数据的 iOS 应用程序 | | Web | 披露了 CMS 技术、主题路径和 REST API 端点 | | 代码 | 识别出多个公开的代码仓库组织 | | 网络 | 通过被动 DNS 确认了 IP 地址和 CDN 提供商 | ## 使用的工具与技术 | 工具 | 用途 | |------|---------| | Kali Linux | 攻击平台和评估环境 | | Nmap | 网络发现、端口扫描、OS 指纹识别 | | Netdiscover | 基于 ARP 的主机发现 | | Nikto v2.6.0 | Web 服务器漏洞扫描 | | SpiderFoot HX | 被动 OSINT 侦察（202 个模块） | | theHarvester 4.8.2 | 电子邮件、子域名和主机枚举 | | VirtualBox / VMware | 实验室虚拟化 | ## 展示的技能 - 网络侦察与枚举 - Web 应用程序漏洞评估 - CVE 识别和基于 CVSS 的严重性评级 - 使用 NIST SP 800-30 方法进行风险评分 - 安全策略制定和治理框架设计 - 事件响应生命周期规划和剧本制定 - 使用开源工具的被动 OSINT 技术 - 技术报告撰写和高管沟通 - 团队领导和结构化项目交付 ## 法律与道德免责声明 ## 许可证 本项目仅用于 **教育和作品集展示目的**。 所有报告内容均为知识产权 —— Thrive Africa 网络安全实习计划。 ## 致谢 感谢 **Thrive Africa 实习计划** 提供结构化的课程、指导，以及在专业背景下应用真实安全方法的机会。 *· Thrive Africa 网络安全实习 · 2026*

标签：CTI, ESC4, OSINT, 占用监测, 实时处理, 密码管理, 插件系统, 漏洞分析, 网络安全评估, 资产管理, 路径探测