taibeihacker
Moderator
总则
首先這裡的內網不包含網絡拓撲規劃、應用發布、訪問控制的等基礎網絡規劃的內容,對於身份鑑別模式和訪問控制有推薦的場景模式。對於內網安全的管控還是回歸風險評估三要素,從掃要素開始說起,更能體現管控工作的思路。風險評估三要素:
- 資產:這裡包含所有的IT資產和無形資產(包含數據和名譽);
- 威脅:這裡一般指的是面臨的內部和外部可能的有害行為和力量;
- 脆弱:這裡多指漏洞以及存在的其他隱患;
资产
換了個角度來分析就看出來為什麼內網安全第一步要做資產的收集整理歸類,其實這一步恰恰也是最繁雜的。一般公司不會再初創伊始就注重安全,肯定是發展到了一定階段才開始關注安全並建立自己的安全部門,除了緊急救火外,第一步要做的推進事項就是收集資產、分類資產、管控資產;特別要註明的是對不同的資產要執行不同的安全策略。類似OA、財務、域控等重要係統,它們或許有敏感數據,或許有內網權限集合,所以要格外特別保護,執行最嚴格的管理措施,但是對於測試虛擬化主機池,在做好隔離的情況下,不一定要執行一類的安全標準。執行資產發現的技術方案:
- 收集最原始的數據包括(IP、域名、URL等);
- 收集業務相關信息(資產歸屬和運維負責人、資產使用目的等);
- 使用以上數據對內網進行探測發現(masscan、nmap)發現活躍的Domain、IP、URL等,對於域名還要進行多種解析,求得子域名、A記錄、CNAME等(DNS、PDNS);
- 所有等級資產入庫,對於所有IP進行端口掃描獲取運行的服務、軟件及其版本、組件及其版本、標題等相關信息核對相關歸屬人入庫;
- 對以上信息進行管理形成統一的資產數據庫;
有了資產就可以對資產進行下一步的管控,分類工作,網絡拓撲規劃和架構的問題這裡不在討論範圍之列,但是為了後面審計工作好做,對於一些基本點還是有要求的:
要做基於身份和終端認證的身份鑑別和訪問控制,尤其是針應有層統一認證的APP,類似WEB類業務服務,進行SSO統一認證管理;
對於類MySQL、SSH這類服務的訪問控制則最好能夠依托堡壘機進行;
辦公地點互聯和移動辦公要求使用VPN;
內網最好沒有NAT,如果有NAT一定要建立好轉換對應表等;
脆弱
這裡的脆弱咱們一般還是基於漏洞管控的角度展開,一般有三個問題,第一如何發現漏洞,如何修復漏洞、後續管控問題。這個漏洞管控流程要形成閉環,爭取做到實時級或者準實時級監控,從而有效解決漏洞或者說是脆弱性的問題。發現漏洞
收集漏洞信息
關注業界報導、漏洞情報
自身挖掘和積累
建立老漏洞知識庫
漏洞探測:
購買商業漏掃產品(適合大面積覆蓋式探測)
利用開源產品(注重積累自身POC)
自研漏掃引擎(注重積累自身POC)
修復漏洞:
升級或補丁修復(適合的開源組件或購買的產品)
代碼級修復(對於自研的產品)
其他緩解措施:例如上防火牆、WAF(對於暫未有合適解決方案的漏洞)
漏洞閉環:
漏洞發現、告知和修復僅僅是第一步;
漏洞的複測與確認關閉
常態化監控避免復發
教育和推進安全標準化(安全培訓、安全制度和SDL機制)
威胁
這裡的威脅包含內部和外部的威脅,外部威脅常見,所有的攻擊行為都算,內部常見的攻擊行為也算,但是還有一類值得注意,敏感信息的洩露,機密文件(標書、報價單、錄用函、合同)還有知識產權資產(代碼、專利、技術方案等),除了上DLP監控外還需要對Github、各種網盤、代碼託管平台、雲平台進行監控,保障自身利益。這裡對於主動防禦(進攻類防禦等)不做介紹,對於外界的輿論安全等也暫不考慮。所以建立內網的IDS/IPS體係也是十分必要的。我們要建立的能力要具備兩點、第一事前、事中告警和事後應急審計。流量全鏡像備份系統(網鏡、天眼、SOC類產品)
日誌全收集平台(在各個終端是配置Agent,日誌統一收集匯總、整理分析留存)開源產品可以藉鑑ELK體系
自動化日誌、流量分析告警平台和通知體制