企业安全建设——安全防线框架建设
2021-11-14 15:09:45 Author: www.freebuf.com(查看原文) 阅读量:21 收藏

前言

为什么会有此篇文章,早期的攻击,从弱口令,SQL注入,上传漏洞,演变到现在的反序列化,供应链,公私云,区块链等攻击方式,早期的防御方式从防火墙,防病毒,入侵检测,演变到现在的威胁情报,态势感知,各类风控系统,智能分析,我们的防御手段也随着攻击方式逐渐更新换代。

笔者站在自己仅有的知识体系框架下说出自己的企业安全建设蓝图,我们的安全防线不能只是单独的一层,比如我们在网络层与传输层不能仅仅依靠防火墙,内网只部署一个IDS设备,是不行的,我们可以根据企业自身的发展和业务,视情况在网络层,系统层,应用层,数据层,业务层,分别部署我们的安全防线。

当然,我们也不能只防守,还得布置点蜜罐,告诉蓝军们,得考虑点打。对于一套成体系的安全防线,我们应当做到如下3点,对于一直的攻击手段能够做到事前预防,对于二次三次利用的攻击手段能够事中拦截,对于未知的0day攻击手段,尽可能做到事后告警,分析朔源。

笔者将会从安全部门的目标,人员,运营这3个方向总结。

目标

我们安全工程师的最终目标是保护我们的网络,系统,应用,终端,数据,业务的安全。

网络:WEB安全,网络准入,入侵防范,应急响应,网络设备安全(WAF/IDS/IPS,服务器,蜜罐等设备)。
网络安全需要防范网络上的各种攻击,比如弱口令,SQL注入,XSS漏洞等漏洞,我们的蜜柑,WAF设备是否布置好了,是否全部覆盖,签名库是否及时更新,IPS的流量是否全覆盖,网络准入,怎样认证进入企业办公网,企业某些bu的流量都是可以通过生产网,办公网,服务器被攻陷后我们能否及时检测止损?应急响应,朔源,取证等团队怎么样,这些都是值得我们考虑的,当然,我们也应该注意物理安全,把我们的服务器放在干燥的地方,比如阿里的张北服务器。

系统:系统权限,系统日志审计,OA\邮件系统。
系统安全我们可以分为Windows和Linux,两者特有的就是一定要把目录权限设置好,启用的第三方服务非必要不要高权限启用,windows的话平时出的cve补丁及时加固,Linux的主机尽量放docker。平时没有必要的服务也可以关闭掉,比如windows的rmsvc,ssdpsrv,linux的postfix,smb等服务,不同点和需要注意的地方,Windows一般是有域的,蓝军们在内网常见的横向手法就是找密码,或者是靠各类exp。

比如ms17010,最近的打印机,还有就是打点内网web服务,Windows也有各类安全策略,自身是带杀毒软件的(WD),平时各类共享没必要的都还是关掉,liunx的话需要注意的就是对各类系统文件的权限一定要设置好。

至于我们的邮件系统,现在的安全形势也把我们的邮件系统送上了风口浪尖,不管是各类护网,APT,勒索都开始把突破点对准了邮箱,关于邮件的问题,无非就是接受与发出这2个点,我们可以以入站和出战这2点作为问题的突破口。入站是最主要的,问题可以归纳为垃圾邮件,恶意钓鱼邮件,员工邮箱/密码泄露。出战的问题可以归纳为泄露数据。

应用:资产识别,身份鉴定,应用控制,应用日志审计,风控中台,SDL安全审计,IOT设备。
应用安全我们可以先大致分为互联网应用与移动端应用安全,对于互联网应用来说,不同bu的人员平时工作访问的应用平台是不一样的,不同bu的账号是否可以进入相同的应用,我们的风控中台是否运行正常,日志运营是否正常,产品出的新应用是否没有安全问题。

办公应用的基础设施怎么样,平时交流沟通怎么解决,我们的IOT设备移动,摄像头,门禁等设备安全的运维与管理,移动应用来说,可以分为组件,业务,数据,代码等四个安全方向,组件可关注broadcastreceiver组件,webview组件,service组件,provider组件。业务安全着重点在于是否存在同名APP的钓鱼软件,我们APP的内容安全,以及是否存在有机器人的流量安全。数据安全在于数据存储,防泄漏,数据传输,手机有恶意的APP,窃取数据,能防止恶意APP截屏等操作吗?最后是我们的代码安全,app是否加壳,是否有签名验证,反编译能否查出代码等。

终端:灰色软件治理,规定设备办公,网络隔离,edr覆盖。
终端是大型企业员工接触最多,所以这方面的防护是重中之重,员工电脑终端允许从哪里下载软件,下载什么软件,下载了灰色软件怎么处理,是否能自由插U盘,硬盘,连接公用蓝牙与wifi,不同bu统一用windows还是MAC,必须满足什么条件才能让终端安全设备接入内网,接入内网是怎么认证,终端设备是否全然覆盖了我们企业的EDR,是否允许自己的终端设备办公?自己的移动端设备与终端设备有什么联系?终端机器的补丁和软件升级的处理,终端设备被恶意文件攻击或者被勒索应该怎么处置,这些都是我们不可回避的问题。

数据:数据泄露,数据传输,数据访问安全,数据备份&&恢复,数据权限。
数据安全可以说是我们企业安全防守建设的核心了,不管是入侵还是勒索,本质还是要我们的数据,数据包括企业终端数据安全,企业网络数据安全,企业存储数据安全等3个大方向,其实笔者在文中罗列了一些体系框架和无关要紧的建议,但是这些都会随着时代的前行不断更迭淘汰,唯一不变的还是规划体系的人和执行体系的人。

首先说一说我们的终端数据安全,平时我们企业的在职员工和数据打交道最多的就是我们的终端电脑设备了,一些比较敏感bu的员工他们的电脑磁盘是会被加密的,亦或者是文件,视频被加密,有些视频需要对应电脑的mac才能绑定播放,还有就是权限控制类方案,就是更细致的监控,比如我们对文件的阅读,粘贴复制编辑打印等细致常规操作,二次授权,当然还有我们的终端DLP系统,就是我们的数据防泄漏系统,该系统会通过3中泄露途径,使用泄露,存储泄露,传输泄露结合敏感文件识别,外发文件阻断,外设端口管控等方案技巧管控我们的敏感文件,当然还有桌面虚拟化,言外之意就是把所有的数据,统一存放在我们的虚拟桌面,所有数据不会落地在我们的终端,那问题就在于我们虚拟设备的认证性与安全性上面了,能否防截屏,怎么认证的。

还有就是我们企业内部数据的水印,对吧,哪位员工泄露了,根据水印去朔源,水印也分很多种,明文水印,隐藏水印,字库水印,矢量水印。接下来就是我们的企业网络数据安全,我们的网络端的DLP,分析流量是否有敏感文件传输,上网的流量,邮件网关的流量。然后是存储数据安全,就是我们自己的各类数据库,运维的员工SQL语句用的怎么样,别动不动就drop,自身存储数据的销毁与备份,大数据的存储与大数据平台的安全。

业务:业务逻辑,恶意流量,内容风控,接口安全。
业务安全也是有很多可以去聊的,网约车乘客受伤,这个也是在企业业务安全的范畴,网购既然能买98K,也是业务安全的范畴,我们的业务安全,可以从恶意流量,账号安全,钓鱼风控等三个方向细细说来,说先说说恶意流量,第一个就是反爬虫,各类机器人,比如我们双11,有很多优惠券,但是我们的顾客抢不到,全被机器人抢了,那优惠了寂寞,还有各类薅羊毛,黄牛刷单都是我们需要注意的。还有就是老生常谈的ddos攻击了。

第二点就是我们的账号安全,比如我们的手机号,既能登微信,又能登支付宝,又能看抖音和贴吧,属实是BAT都玩完了。第一就是登录账号的验证,是否有验证码,二次验证,多次错误锁定账户,是否可以随随便便注册辣鸡账户,在用辣鸡用户去测试各类逻辑漏洞,越权,fuzzing一些敏感的api,这些都是我们需要注意的.最后就是我们的钓鱼风控了,当我们顾客在xx上网购,突然有骗子说你的xx网购积分可以换东西,需要登录账号密码。

如果顾客被骗,对企业自身的负面印象也是很大的,我们也需要投入大量精力打击恶意钓鱼的相关app,怎么去寻找呢,一般都是相似域名或者谐音,比如阿里巴巴集团,注册了阿里爷爷,阿里弟弟,阿里一家人属实是整齐了,可以根据相似域名去寻找真正疑似钓鱼的网站。

人员

1.外部SRC,白帽子

作用:吸引外部安全力量规范地参与进来

2.安全解决方案团队(企业红军)

作用:
(1)日常SRC安全运营,内部安全运营,数据安全,安全分享,安全培训
(2)安全加固,应急响应朔源,恶意样本分析,企业内部红蓝对抗演练
(3)企业集团内部安全规则建设

3.安全工程师(业务蓝军)

作用:
(1)企业集团的业务SDL审计,符合企业自身业务的漏洞扫描器
(2)web安全,app安全,企业内部红蓝对抗演练
(3)安全研究,漏洞挖掘,漏洞分析

4.威胁情报(事态感知)

(1)安全情报,机读情报,勒索情报,画像情报,漏洞情报等情报的收集分析,数据分析
(2)自身威胁情报平台的日常运营告警
(3)对威胁企业自身的黑灰产,羊毛党,欺诈等团伙建立风险大盘,全链路监控

5.安全产品研发工程师

(1)WAF,EDR,防病毒,蜜罐等产品的研发。
(2)符合企业自身,效率更高的安全工具的开发。
企业从0到1,建设一个成体系的安全框架是异常困难的,企业内部的安全部门,安全工程师可大致分配在运维开发,安全防护,安全运营,安全研究,威胁情报&&事态感知这5个大方向。成熟的安全防线=技术手段+有效的安全运营。
运维开发:安全制度,安全架构,内控系统,在职员工的安全意识培训,宣传,开发安全。
安全防护:网络层,系统层,应用层,数据层,业务层的安全防线规则的覆盖,设备加固,打补丁。
安全运营:安全事件的闭环,解决方案的提供,恶意攻击的捕获分析,内部红蓝对抗,SRC。
安全研究:勒索病毒&&木马样本分析,漏洞挖掘,新生代攻击技术。
威胁情报&&事态感知:APT事件&&供应链攻击事件,竞对的研究方向,安全前沿信息。

运营

1.员工安全意识培训

如果自己企业员工内部安全意识淡薄,不管我们自己的安全防线是多么的固若金汤,在外部的攻击者看来,都是脆弱的,应该从哪些地方着手培训呢。
(1)第一点就是老生常谈的钓鱼邮件了,后缀,邮件名称(升职,放假,安全更新等),各类简历等。
(2)不能因为想要sohu办公方便,安装非法的VPN或者其他网络通道。
(3)将企业自身的文件或者工作中的代码随意上传到公网上,密码运维等文件不要放在桌面。
(4)内部员工锁抽屉,锁屏,安保的防止可疑人员进入公司,防止近源渗透,pc/企业密码不应该用强弱口令,账号共享。

2.安全运维框架

在平台基础设施和安全工程师都已经具备的时候,运营团队的周报,月报,年报,红蓝对抗的内部例会等汇报管理,防病毒软件的覆盖率,入侵检测的准确率,误报率,安全事件的响应时长,高危漏洞排查,加固所需的时间,安全事件发生时自动化推送,安全事件的闭环,运营框架体系能在企业推广到什么深度,还有哪些没有体系的灰色地带,这些都是我们值得思考的,安全前沿情报,新型技术的研究等手段的扩充,我们在各个安全团队竞争力怎么样,比我更厉害的安全运营团队他们此刻在研究什么?

3.需要什么的安全运营?

安全运营最本质的目的还是希望一年下来企业平平安安,如果能防住几波攻击那当然是皆大欢喜,但是实际情况是安全团队一年里难免会与各种业务的老板有些小摩擦,安全团队也不敢打包票用我这套体系绝对安全,不可能有风险,只能不断的完善,最难的还是坚持下来,就如同阵地战一样,我们不知道蓝军和入侵者们什么时候来,每天都是挖战壕,日复一日的干着同样的事情,优秀的运营人员坚持把每个告警更到底,坚持每天把每件事情做好,这才是最难的。

后记

笔者根据自己的攻防经验对于安全建设提出了一些不太成熟的设想,衷心希望各位安全大佬提出富有指导性的意见,笔者将不胜感激。


文章来源: https://www.freebuf.com/articles/others-articles/304684.html
如有侵权请联系:admin#unsafe.sh