一、辦公網安全
在大多數互聯網公司,安全建設的主要精力都投入在業務網安全上,辦公網往往成為短板。為避免教科書式的理論說教,本文以攻防的角度,以中型互聯網公司為例,討論下辦公網安全建設。這里的辦公網是狹義的辦公網,僅包括員工辦公的網絡區域,支撐辦公的erp、郵件等系統不包含在內。
辦公網滲透思路
辦公網通常是黑客入侵的一大突破口,究其原因我認為主要為:
- 辦公網安全投入相對業務網不足,入侵成本較低
- 辦公網的主體是人,人有七情六欲,上網行為千奇百怪,攻擊面大于業務網
- 業務網往往信賴辦公網,可以成為戰略迂回進攻業務網的絕好跳板
- 研發、運營等重要資料往往高度集中在辦公終端,數據價值甚至超過業務網
滲透辦公網的思路很多,以下是一個舉例:
滲透辦公網的思路舉例:
從入口的角度講,惡意鏈接、文件是常見手段。
從黑客行為講,主要分為:
- 水平橫向滲透
- 縱向提權
從黑客目的角度講,主要分為:
- 以辦公網為跳板攻擊業務網
- 竊取HR、財務、高管等手中的重要資料
網絡安全
下圖為常見的辦公網拓撲結構
辦公網拓撲舉例:
- 防火墻
防火墻作為抵御攻擊的第一道防護,責任重大,但是他又肩負著NAT上網的重要職責,性能和穩定性又要求很高。我認為從純安全角度講,選擇防火墻時需要考慮下列幾個功能:
- 惡意網站過濾
- 惡意文件過濾
2016年gartner企業網絡防火墻魔力象限
- IPS/IDS
IPS/IDS在這里有個非常重要的作用就是識別使用Nday的軟件尤其是瀏覽器、辦公網套件漏洞攻擊員工的行為。有很多廠商宣稱自己的IPS/IDS可以識別0day,我個人認為目前比較成熟的0day識別技術主要依賴沙箱和機器學習,真要識別0day還是需要專業的APT設備來做。
2017年gartner入侵檢測與防御魔力象限
- 郵件安全網關
這個話題內容太多,可以單獨寫一篇,本文先省略。
- APT設備
APT設備通過分析郵件、流量中的文件和流量行為識別APT行為,我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。
- 安全隔離
安全隔離的主要目的有兩個:
1.按需提供網絡訪問權限,避免權限濫用
2.減小黑客在辦公網橫向滲透以及縱向提權的攻擊面,提高攻擊成本
出于這兩個目的,所以安全隔離通常和準入或者vlan劃分結合在一起,不同的地方主要在于準入可以根據用戶身份動態調整網絡權限,vlan劃分相對不夠靈活。
網絡權限隔離
上圖是一個簡單的分類,其中有幾類同學需要重點關注:
- 運維&DBA,系統權限特別大,縱向提權的最佳目標,有種開玩笑的說法,黑掉一個運維的電腦,把所有文本文件翻個遍,找不到一個密碼才是見鬼了。應當盡量限制其他人群對他們的訪問。
- 重要業務系統的管理員,這些同學負責對公司核心業務進行運營管理,對重要后臺系統具有很高的權限,一旦他們電腦被入侵,后果會很嚴重。比如游戲公司充值系統的后臺、廣告公司的客戶廣告投放管理系統、招聘公司的后臺簡歷管理系統、電商的訂單物流管理系統,出點事都是大事。應當盡量限制其他人群對他們的訪問,同時嚴格限制他們的外網訪問權限。
- 高管、HR、財務,這些同學對辦公系統的訪問需求比較單一,主要網絡訪問需求在外網,通常不懂技術,安全防護意識也最弱,也最得罪不起。他們的辦公電腦集中大量公司重要數據,一旦被入侵就直接產生損失了。這部分同學可以嚴格限制跟辦公網其他區域以及對內部系統的訪問。
無線安全
無線情況就特別復雜了,這里討論比較常見的情況。不少公司的無線依靠靜態密碼保護,認證通過后即可以訪問辦公網絡。這里有兩個甲方常見誤區:
- 我無線只覆蓋公司內部,黑客咋搜到?
黑客如果真打算黑你,真可以到你公司附近,現在的AP發射能力都很強,黑客如果使用專用設備,接受信號能力也很強。
- 我無線密碼好復雜,黑客不可能暴力破解
本本上裝個kali,買個好點的usb網卡,wpa/wpa2密碼破解只是時間問題。另外現在不少wifi助手有記住密碼功能,內部員工一旦誤點了記住免費wifi,其他人使用wifi助手連接這個wifi就會自動認證,破解都不用了。所以無線網絡最好可以限制僅能訪問外網,并且加上類似準入的二次認證機制,也可以使用域密碼或者證書認證,降低靜態密碼被泄露和破解的風險。
終端安全
終端安全是辦公網安全的重點,涉及面非常廣,核心訴求至少包括一下方面:
- 提高終端安全基線,減小攻擊面
- 基礎防病毒能力,具備抵御常見Nday病毒木馬的能力,提高攻擊成本
- 基礎的終端系統、應用軟件資產搜集以及管理能力,針對常見的Nday系統、應用軟件漏洞具有發現、修復的能力,提高攻擊成本
為了達到以上要求,需要借助一定的商業解決方案。
- 終端安全加固
終端安全加固的目的是提高安全基線,減小攻擊面,事半功倍的方法是讓PC終端統一加入window域,通過域控策略統一管理終端的安全策略,介紹域策略的文章很多,這里只提下幾個比較重要的點:
- 開啟屏保以及鎖屏時間
- 域賬戶密碼復雜度,密碼更換時間
- 禁用guest賬戶
- 開啟主機防火墻
- 禁止administror賬戶遠程登錄(員工自己域賬戶是本地管理員,可以正常登錄,很多公司喜歡用ghost預裝電腦,administror賬戶的密碼絕對是個大坑)
- 禁止域管理員遠程登錄(一定要把域控和一般PC放在不同組策略下,不然這個策略害死人)
- 刪除IPC$ C$ D$ admin$(木馬經常利用)
- 開啟審計策略,記錄登錄、賬戶相關事件
- 調整事件日志的大小及覆蓋策略
- 關機清理虛擬內存頁面文件
- 終端防病毒
終端防病毒肩負著具備抵御常見Nday病毒木馬的能力,提高攻擊成本的重任,不過傳統解決方案基本就是純粹的黑名單和基于病毒特征,似乎這一領域也是紅海中的紅海。可喜的是最近兩年終端安全又被各大安全廠商重視起來,因為越來越多的有針對性的攻擊行為被揭露,跳板都是辦公終端,大家對這塊越來越重視;另外新的檢測技術以及解決思路落地實現,安全廠商提出了EDR的概念,即終端檢測與響應。基本思路是默認攻擊者始終會滲漏公司網絡,讓安全人員利用IoC和終端行為來快速檢測任何入侵,減小攻擊者造成的損害。
2016年gartner防病毒軟件魔力象限
- 終端管理
終端管理主要解決兩個安全問題:
1.系統、應用軟件版本的管理
2.系統、應用軟件漏洞的自動化修復
微軟的WSUS以及SCCM雖然只能搞定微軟系軟件以及flash的問題,但是已經可以解決大部分問題了,針對類似java、chrome這類常用第三方軟件的升級,就需要專業的終端管理解決方案了。
2015gartner終端管理
- 準入系統
準入系統可以基于員工身份做到靈活的網絡權限限制,保障主機安全基線的強制執行。這部分可以參考我以前的文章《企業安全建設之自建準入系統》。
數據安全
數據安全是個非常復雜的話題,有興趣可以參考下我之前的文章《企業安全建設之淺談數據防泄露》。
系統安全
辦公網的系統安全,出了加固手段,還需要通過漏洞掃描器定期自動化發現。我理解這里的掃描器至少需要解決幾方面問題:
- 各種弱密碼
- 系統級漏洞,比如ms08-067、MS12-020
- 第三方軟件漏洞,比如Cisco WAG120N多個遠程命令執行漏洞
其他
- 蜜罐
部署一定數量的蜜罐,可以起到事半功倍的效果,最簡單的就是用類似honeyd之類開源的偽裝成window終端即可。
- siem
辦公網數據量基本不大而且商業產品居多,使用ossim就可以很好解決數據搜集、展現、自定義報警、關聯分析的功能了。
建設步驟
通過以上努力,我們基本建設起了辦公網的縱深防御系統,整個辦公網具有了一定的安全防護以及感知能力。公司的預算總是有限,人力也是捉襟見肘,從無到有建設這么個安全防護體系不是一年半載的事,需要拍優先級,下面是一個建議:
第一步,安全邊界建設,風險初步可控,比如IPS、NGFW
第二步,細化終端安全建設,進一步提高防護能力
第三步,提高安全感知能力,錦上添花
每個公司安全現狀不一樣,業務情況也不一樣,具體實施步驟和策略需要因地制宜。安全意識教育也是非常重要的一個環節,尤其針對社工,技術防護手段效果一般。
二、數據防泄露
數據防泄露在每個公司都是很頭疼的事情,大大小小的泄露事件也總是不期而至。本文結合我的經驗從使用的層面介紹常見的數據防泄露技術手段。
核心數據資產的定義
數據防泄露是一個非常復雜的工程,投入再多人力也不為過,但是互聯網公司的安全人力大多非常有限,所以打蛇打七寸,我們需要先定義清楚什么是核心數據資產。通常理解會包含以下幾大類:
以上只是舉例,具體各個公司情況都不太一樣,需要結合自身實際。比如招聘類公司,簡歷就是十分重要的資產。
數據保護的生命周期
數據防泄露需要針對定義的核心數據的全生命周期進行保護。
數據防泄露的協議棧為:
這并非一個嚴格的劃分,只是便于把不同的數據防泄露產品和方案進行劃分。
設備級
0x01設備加密
設備防丟失,主要是預防設備丟失后造成的數據泄露,最常見的就是U盤等移動存儲,京東上一搜一大片。
密碼保護的:
指紋保護的:
雖然保護方式不一樣,但是底層數據加密基本都是AES128或者256,可以提高設備丟失后數據泄漏的門檻,對于高手來說還是可以搞定的。
對于硬盤,也有一些解決方案。
硬盤密碼:可以在bios里面設置硬盤密碼,這樣每次開機都需要輸入硬盤密碼。
0x02硬盤加密
如果冠希老師看到這段估計會怪我寫晚了……mac自帶的硬盤加密:
硬盤加密技術非常成熟了,商用產品非常多。不得不提的還有truecrypt,據說國內安全傳統四強之一就要求員工用這個。
truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤,大家可以按照盤符進行訪問,所有虛擬磁盤上的文件都被自動加密,需要通過密碼來進行訪問。TrueCrypt 提供多種加密算法,包括:AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish,其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等,最關鍵它免費。前段時間相傳軟件有安全隱患,網站被關停,也有說是因為作者拒絕配合某國政府調查而被迫關停,不過這都不會掩飾這是一款優秀的免費加密軟件。
0x03移動設備數據擦除
微軟郵件系統自帶一個十分強悍的功能,對于配置接受公司exchange郵件的移動終端,可以通過登錄OWA頁面直接遠程擦除整個設備的內容并完全恢復出廠配置。
文件級
0x01文件加密
文件加密目前國內的產品就非常強悍了,一搜一大把,我這里介紹一款微軟提供的免費文件加密產品RMS。RMS跟微軟的AD集成,可以針對郵件組進行授權讀寫打印權限控制,坦率講針對微軟的文件類型支持挺不錯,比如word,excel,ppt等,而且還有mac版。不過對于非微軟的文件類型就比較遺憾了,不過滿足正常辦公需要基本夠用。最強悍的是與郵件系統的集成,可以在發郵件的時候直接設置哪些郵件組的人才能看(收件人和可以加密看郵件的人很可能是子集關系)。
0x02端點級DLP
本質上是網絡級DLP的端點級實現,支持攔截功能。
網絡級
0x01網絡DLP
狹義的數據防泄漏產品就是指網絡DLP,這是一個經久不衰的安全領域,16年的gartner排名如下:
- 網絡級DLP的未來趨勢是與云訪問安全代理 (CASB) 功能集成,將敏感數據的發現范圍進一步擴大到云應用程序。
- 擴展了 DLP 覆蓋范圍到云應用程序中的內容,包括 Office 365、Box、Dropbox、Google Apps 或 Salesforce。
利用全部的 CASB 功能,持續監控云應用程序中內容的增加、修改和訪問權限。
應用級
應用級DLP主要是指郵件DLP,本質上是掃描郵件的內容和附件,與設定的數據安全策略匹配,這里就不展開了。
總結
數據防泄漏是個非常復雜的系統工程,任何技術手段都不能確保不被繞過,必要的技術手段可以提高門檻,最后的落地強依賴于公司相關數據安全管理策略的執行,常說的七分管理三分技術在這里非常合適。