91免费版在线观看视频导航网站,日本一区二区三区福利视频免费,中文字字幕在线乱中文无码,国区一二三亚洲成人电影

推廣 熱搜: 集成  系統集成  弱電  軟件  kvm  服務器  思科  視頻會議  拼接  SFP 

企業網絡安全淺析

   日期:2017-06-21     來源:計算機與網絡安全    作者:兜哥    瀏覽:537    評論:0    
核心提示:在大多數互聯網公司,安全建設的主要精力都投入在業務網安全上,辦公網往往成為短板。為避免教科書式的理論說教,本文以攻防的角度,以中型互聯網公司為例,討論下辦公網安全建設。這里的辦公網是狹義的辦公網,僅包括員工辦公的網絡區域,支撐辦公的erp、郵件等系統不包含在內。

企業網絡安全淺析

一、辦公網安全

在大多數互聯網公司,安全建設的主要精力都投入在業務網安全上,辦公網往往成為短板。為避免教科書式的理論說教,本文以攻防的角度,以中型互聯網公司為例,討論下辦公網安全建設。這里的辦公網是狹義的辦公網,僅包括員工辦公的網絡區域,支撐辦公的erp、郵件等系統不包含在內。

辦公網滲透思路

辦公網通常是黑客入侵的一大突破口,究其原因我認為主要為:

  • 辦公網安全投入相對業務網不足,入侵成本較低
  • 辦公網的主體是人,人有七情六欲,上網行為千奇百怪,攻擊面大于業務網
  • 業務網往往信賴辦公網,可以成為戰略迂回進攻業務網的絕好跳板
  • 研發、運營等重要資料往往高度集中在辦公終端,數據價值甚至超過業務網

滲透辦公網的思路很多,以下是一個舉例:

滲透辦公網的思路舉例:

從入口的角度講,惡意鏈接、文件是常見手段。

從黑客行為講,主要分為:

  • 水平橫向滲透
  • 縱向提權

從黑客目的角度講,主要分為:

  • 以辦公網為跳板攻擊業務網
  • 竊取HR、財務、高管等手中的重要資料

網絡安全

下圖為常見的辦公網拓撲結構

辦公網拓撲舉例:

  • 防火墻

防火墻作為抵御攻擊的第一道防護,責任重大,但是他又肩負著NAT上網的重要職責,性能和穩定性又要求很高。我認為從純安全角度講,選擇防火墻時需要考慮下列幾個功能:

  • 惡意網站過濾
  • 惡意文件過濾

2016年gartner企業網絡防火墻魔力象限

  • IPS/IDS

IPS/IDS在這里有個非常重要的作用就是識別使用Nday的軟件尤其是瀏覽器、辦公網套件漏洞攻擊員工的行為。有很多廠商宣稱自己的IPS/IDS可以識別0day,我個人認為目前比較成熟的0day識別技術主要依賴沙箱和機器學習,真要識別0day還是需要專業的APT設備來做。

2017年gartner入侵檢測與防御魔力象限

  • 郵件安全網關

這個話題內容太多,可以單獨寫一篇,本文先省略。

  • APT設備

APT設備通過分析郵件、流量中的文件和流量行為識別APT行為,我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。

  • 安全隔離

安全隔離的主要目的有兩個:

1.按需提供網絡訪問權限,避免權限濫用

2.減小黑客在辦公網橫向滲透以及縱向提權的攻擊面,提高攻擊成本

出于這兩個目的,所以安全隔離通常和準入或者vlan劃分結合在一起,不同的地方主要在于準入可以根據用戶身份動態調整網絡權限,vlan劃分相對不夠靈活。

網絡權限隔離

上圖是一個簡單的分類,其中有幾類同學需要重點關注:

  • 運維&DBA,系統權限特別大,縱向提權的最佳目標,有種開玩笑的說法,黑掉一個運維的電腦,把所有文本文件翻個遍,找不到一個密碼才是見鬼了。應當盡量限制其他人群對他們的訪問。
  • 重要業務系統的管理員,這些同學負責對公司核心業務進行運營管理,對重要后臺系統具有很高的權限,一旦他們電腦被入侵,后果會很嚴重。比如游戲公司充值系統的后臺、廣告公司的客戶廣告投放管理系統、招聘公司的后臺簡歷管理系統、電商的訂單物流管理系統,出點事都是大事。應當盡量限制其他人群對他們的訪問,同時嚴格限制他們的外網訪問權限。
  • 高管、HR、財務,這些同學對辦公系統的訪問需求比較單一,主要網絡訪問需求在外網,通常不懂技術,安全防護意識也最弱,也最得罪不起。他們的辦公電腦集中大量公司重要數據,一旦被入侵就直接產生損失了。這部分同學可以嚴格限制跟辦公網其他區域以及對內部系統的訪問。

無線安全

無線情況就特別復雜了,這里討論比較常見的情況。不少公司的無線依靠靜態密碼保護,認證通過后即可以訪問辦公網絡。這里有兩個甲方常見誤區:

  • 我無線只覆蓋公司內部,黑客咋搜到?

黑客如果真打算黑你,真可以到你公司附近,現在的AP發射能力都很強,黑客如果使用專用設備,接受信號能力也很強。

  • 我無線密碼好復雜,黑客不可能暴力破解

本本上裝個kali,買個好點的usb網卡,wpa/wpa2密碼破解只是時間問題。另外現在不少wifi助手有記住密碼功能,內部員工一旦誤點了記住免費wifi,其他人使用wifi助手連接這個wifi就會自動認證,破解都不用了。所以無線網絡最好可以限制僅能訪問外網,并且加上類似準入的二次認證機制,也可以使用域密碼或者證書認證,降低靜態密碼被泄露和破解的風險。

終端安全

終端安全是辦公網安全的重點,涉及面非常廣,核心訴求至少包括一下方面:

  • 提高終端安全基線,減小攻擊面
  • 基礎防病毒能力,具備抵御常見Nday病毒木馬的能力,提高攻擊成本
  • 基礎的終端系統、應用軟件資產搜集以及管理能力,針對常見的Nday系統、應用軟件漏洞具有發現、修復的能力,提高攻擊成本

為了達到以上要求,需要借助一定的商業解決方案。

  • 終端安全加固

終端安全加固的目的是提高安全基線,減小攻擊面,事半功倍的方法是讓PC終端統一加入window域,通過域控策略統一管理終端的安全策略,介紹域策略的文章很多,這里只提下幾個比較重要的點:

  • 開啟屏保以及鎖屏時間
  • 域賬戶密碼復雜度,密碼更換時間
  • 禁用guest賬戶
  • 開啟主機防火墻
  • 禁止administror賬戶遠程登錄(員工自己域賬戶是本地管理員,可以正常登錄,很多公司喜歡用ghost預裝電腦,administror賬戶的密碼絕對是個大坑)
  • 禁止域管理員遠程登錄(一定要把域控和一般PC放在不同組策略下,不然這個策略害死人)
  • 刪除IPC$ C$ D$ admin$(木馬經常利用)
  • 開啟審計策略,記錄登錄、賬戶相關事件
  • 調整事件日志的大小及覆蓋策略
  • 關機清理虛擬內存頁面文件
  • 終端防病毒

終端防病毒肩負著具備抵御常見Nday病毒木馬的能力,提高攻擊成本的重任,不過傳統解決方案基本就是純粹的黑名單和基于病毒特征,似乎這一領域也是紅海中的紅海。可喜的是最近兩年終端安全又被各大安全廠商重視起來,因為越來越多的有針對性的攻擊行為被揭露,跳板都是辦公終端,大家對這塊越來越重視;另外新的檢測技術以及解決思路落地實現,安全廠商提出了EDR的概念,即終端檢測與響應。基本思路是默認攻擊者始終會滲漏公司網絡,讓安全人員利用IoC和終端行為來快速檢測任何入侵,減小攻擊者造成的損害。

2016年gartner防病毒軟件魔力象限

  • 終端管理

終端管理主要解決兩個安全問題:

1.系統、應用軟件版本的管理

2.系統、應用軟件漏洞的自動化修復

微軟的WSUS以及SCCM雖然只能搞定微軟系軟件以及flash的問題,但是已經可以解決大部分問題了,針對類似java、chrome這類常用第三方軟件的升級,就需要專業的終端管理解決方案了。

2015gartner終端管理

  • 準入系統

準入系統可以基于員工身份做到靈活的網絡權限限制,保障主機安全基線的強制執行。這部分可以參考我以前的文章《企業安全建設之自建準入系統》。

數據安全

數據安全是個非常復雜的話題,有興趣可以參考下我之前的文章《企業安全建設之淺談數據防泄露》。

系統安全

辦公網的系統安全,出了加固手段,還需要通過漏洞掃描器定期自動化發現。我理解這里的掃描器至少需要解決幾方面問題:

  • 各種弱密碼
  • 系統級漏洞,比如ms08-067、MS12-020
  • 第三方軟件漏洞,比如Cisco WAG120N多個遠程命令執行漏洞

其他

  • 蜜罐

部署一定數量的蜜罐,可以起到事半功倍的效果,最簡單的就是用類似honeyd之類開源的偽裝成window終端即可。

  • siem

辦公網數據量基本不大而且商業產品居多,使用ossim就可以很好解決數據搜集、展現、自定義報警、關聯分析的功能了。

建設步驟

通過以上努力,我們基本建設起了辦公網的縱深防御系統,整個辦公網具有了一定的安全防護以及感知能力。公司的預算總是有限,人力也是捉襟見肘,從無到有建設這么個安全防護體系不是一年半載的事,需要拍優先級,下面是一個建議:

第一步,安全邊界建設,風險初步可控,比如IPS、NGFW

第二步,細化終端安全建設,進一步提高防護能力

第三步,提高安全感知能力,錦上添花

每個公司安全現狀不一樣,業務情況也不一樣,具體實施步驟和策略需要因地制宜。安全意識教育也是非常重要的一個環節,尤其針對社工,技術防護手段效果一般。

二、數據防泄露

數據防泄露在每個公司都是很頭疼的事情,大大小小的泄露事件也總是不期而至。本文結合我的經驗從使用的層面介紹常見的數據防泄露技術手段。

核心數據資產的定義

數據防泄露是一個非常復雜的工程,投入再多人力也不為過,但是互聯網公司的安全人力大多非常有限,所以打蛇打七寸,我們需要先定義清楚什么是核心數據資產。通常理解會包含以下幾大類:

以上只是舉例,具體各個公司情況都不太一樣,需要結合自身實際。比如招聘類公司,簡歷就是十分重要的資產。

數據保護的生命周期

數據防泄露需要針對定義的核心數據的全生命周期進行保護。

數據防泄露的協議棧為:

這并非一個嚴格的劃分,只是便于把不同的數據防泄露產品和方案進行劃分。

設備級

0x01設備加密

設備防丟失,主要是預防設備丟失后造成的數據泄露,最常見的就是U盤等移動存儲,京東上一搜一大片。

密碼保護的:

指紋保護的:

雖然保護方式不一樣,但是底層數據加密基本都是AES128或者256,可以提高設備丟失后數據泄漏的門檻,對于高手來說還是可以搞定的。

對于硬盤,也有一些解決方案。

硬盤密碼:可以在bios里面設置硬盤密碼,這樣每次開機都需要輸入硬盤密碼。

0x02硬盤加密

如果冠希老師看到這段估計會怪我寫晚了……mac自帶的硬盤加密:

硬盤加密技術非常成熟了,商用產品非常多。不得不提的還有truecrypt,據說國內安全傳統四強之一就要求員工用這個。

truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤,大家可以按照盤符進行訪問,所有虛擬磁盤上的文件都被自動加密,需要通過密碼來進行訪問。TrueCrypt 提供多種加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等,最關鍵它免費。前段時間相傳軟件有安全隱患,網站被關停,也有說是因為作者拒絕配合某國政府調查而被迫關停,不過這都不會掩飾這是一款優秀的免費加密軟件。

0x03移動設備數據擦除

微軟郵件系統自帶一個十分強悍的功能,對于配置接受公司exchange郵件的移動終端,可以通過登錄OWA頁面直接遠程擦除整個設備的內容并完全恢復出廠配置。

文件級

0x01文件加密

文件加密目前國內的產品就非常強悍了,一搜一大把,我這里介紹一款微軟提供的免費文件加密產品RMS。RMS跟微軟的AD集成,可以針對郵件組進行授權讀寫打印權限控制,坦率講針對微軟的文件類型支持挺不錯,比如word,excel,ppt等,而且還有mac版。不過對于非微軟的文件類型就比較遺憾了,不過滿足正常辦公需要基本夠用。最強悍的是與郵件系統的集成,可以在發郵件的時候直接設置哪些郵件組的人才能看(收件人和可以加密看郵件的人很可能是子集關系)。

0x02端點級DLP

本質上是網絡級DLP的端點級實現,支持攔截功能。

網絡級

0x01網絡DLP

狹義的數據防泄漏產品就是指網絡DLP,這是一個經久不衰的安全領域,16年的gartner排名如下:

  • 網絡級DLP的未來趨勢是與云訪問安全代理 (CASB) 功能集成,將敏感數據的發現范圍進一步擴大到云應用程序。
  • 擴展了 DLP 覆蓋范圍到云應用程序中的內容,包括 Office 365、Box、Dropbox、Google Apps 或 Salesforce。

利用全部的 CASB 功能,持續監控云應用程序中內容的增加、修改和訪問權限。

應用級

應用級DLP主要是指郵件DLP,本質上是掃描郵件的內容和附件,與設定的數據安全策略匹配,這里就不展開了。

總結

數據防泄漏是個非常復雜的系統工程,任何技術手段都不能確保不被繞過,必要的技術手段可以提高門檻,最后的落地強依賴于公司相關數據安全管理策略的執行,常說的七分管理三分技術在這里非常合適。

 
標簽: 網絡安全
打賞
 
更多>同類資訊
0相關評論

 
推薦資訊
點擊排行
?
網站首頁  |  付款方式  |  版權隱私  |  使用協議  |  聯系方式  |  關于我們  |  網站地圖  |  排名推廣  |  廣告服務  |  RSS訂閱  |  違規舉報  |  京ICP備11008917號-2  |