淺談企業網路安全邊界
前言
企業網路安全關鍵在找準安全邊界(攻擊點):邊界的左邊是攻擊者(指令碼小子、駭客、APT攻擊),邊界的右邊是網路資產、資訊資產。企業網路安全建設則在安全邊界處設防,儘可能做到沒有安全邊界被攻破。
然而隨著業務增多、技術演變、模式調整等因素,安全邊界越來越多,也越來越模糊。但我們仍然要梳理出企業網路所有的安全邊界,並全部加以防護,畢竟網路安全遵循短板效應,掛一漏萬。
本文結合自身多年乙方安全和甲方安全的經驗,儘量梳理出全的、實用的企業網路安全邊界,與大家交流。
1、企業網路架構
如下用於發現安全邊界的企業網路架構demo圖
2、發現網路安全邊界
從“大安全”的角度,企業網路安全分被攻擊和“被”發起攻擊,所以企業既要保證自身網路安全,還要保證不被利用起來攻擊其他企業網路
本文概括了以下網路安全邊界(攻擊點)
2.1、DNS服務
①沒有託管DNS解析服務,自搭的DNS服務解析內外網域名,注意內外網區分
②DNS服務軟體漏洞
②DNS被用來放大攻擊他人網路
2.2、CDN服務
①CDN的DNS服務失效,導致自己業務無法訪問
②CDN回原流量(cdn請求業務伺服器)未加密,被嗅探
④同一CDN伺服器的其他公司業務存在漏洞(邊緣節點不隔離)
cdn工作方式有需要ssl key進行解密和邊緣伺服器路由(返回最優源伺服器地址)兩種方式,顯然後者更安全
2.3、業務伺服器
①採用多閘道器負載均衡 防止DDOS攻擊、CC攻擊
②閘道器/防火牆採用最少埠原則,僅允許入方向的80、443埠,不允許出方向的流量,防止外帶洩露資料
③對提供web服務進行安全評估,全站https
(大部分企業對外業務為web形式)
2.4、雲託管伺服器
雲伺服器提供了類似防火牆的功能,但云伺服器內部網路隔離安全仍需驗證。
2.5、郵件服務
①偽造發件人攻擊
以前的郵局遞信都是在各郵局分部放置一個郵筒,只要貼上郵票任何人都能以任何身份向任何人寄信。
網際網路郵件服務分為寄信服務和收信服務。下面是郵件傳送接收過程簡述
1、使用者A使用密碼登入163郵箱後,撰寫郵件傳送到好友B的qq郵箱;
2、163郵箱伺服器的寄信服務將郵件遞送到qq郵箱伺服器,此過程不需要提供密碼
3、使用者B登入qq郵箱後,通過qq郵箱收信服務,收到來自A的郵件
其實網際網路郵件與郵局遞信流程上並未改變,只是163郵箱,qq郵箱等代替了郵局分部,都存在身份認證的問題。
比如惡意使用者C,偽造郵件遞送到qq郵箱伺服器傳送給使用者B,且聲稱自己是使用者A,此過程是可行的,只需要找到QQ郵箱的SMTP伺服器地址即可
有兩類偽造情況:偽造發件人[email protected],發郵件到[email protected];另一種是偽造[email protected]發郵件到[email protected]。都存在社工攻擊場景
配置DNS的SPF(宣稱本域發件伺服器的ip地址),DKIM(宣稱本域公鑰)策略,接收域進行驗證
②攜帶惡意附件,客戶端防毒,郵件閘道器防毒
③密碼爆破,郵件中包含伺服器資訊、架構資訊、商務資訊
④郵件客戶端漏洞:foxmail,outlook,web方式,企業郵箱
2.6、訪客WiFi
①設定WAP2密碼,禁止訪問內部網路
②保護WiFi物理安全,保證不被重置密碼,更新韌體等
③限制WiFi強度,不需要擴散很遠
④檢測偽造的相同SSID的WiFi,防範釣魚
⑤禁止私搭WiFi接入點
2.7、VPN
①賬號及許可權設定,不同許可權訪問不同的內部網路
②證書方式登陸,防止爆破
③VPN軟體安全
2.8、辦公網路訪問業務伺服器
辦公網路不是所有人都可以操作業務伺服器,所以使用堡壘機進行賬號認證,且對賬號設定不同許可權。
業務伺服器一般不需要訪問辦公網路,否則需要做相應訪問控制
2.9、辦公網路VLAN分割槽
辦公網的交換機應部署VLAN,各部門在各自vlan中,印表機歸於各自vlan。(財務、HR等部門涉及的資料更為敏感)。
分割槽也能有效應對攻擊者的後滲透階段
2.10、辦公網路IDS/IPS
攻擊者滲透辦公網路被後會發動內網攻擊,比如埠掃描、arp欺騙、dns欺騙、密碼嗅探等。應在內外部署入侵檢測及防護系統(IDS/IPS),及時發現內網攻擊。(內部員工也可能是攻擊者)
2.11、辦公網路伺服器
辦公網會有OA系統,內部共享,測試站、預釋出站,專案管理系統,文件系統,內部論壇等供辦公使用的系統,這些系統儲存了員工資料、專案資料等受保護資訊。而且相比員工PC機會穩定許多,且會長久開機,對於攻擊者來說是很好的落腳點
攻擊者通過員工終端,WiFi等進入到企業辦公內網後,一般會繼續攻擊辦公伺服器當作落腳點方便後續滲透
2.12、辦公網路IoT
辦公區的聯網飲水機,監控攝像頭、打卡機都是小的pc系統,也會被攻擊者當作落腳點
2.13、辦公網路手機、筆記本訪問BYOD
員工手機、自帶筆記本可能攜帶惡意軟體,會對內部網路進行攻擊。需要對BYOD裝置進行強制安裝防毒軟體、終端管理軟體(MDM)或網路隔離
2.14、辦公網路PC軟體安裝、U盤
域控釋出域策略限制員工隨意安裝軟體,禁止插入U盤,禁止進BIOS設定。避免由員工引入惡意攻擊軟體
域控定期檢測員工PC機上是否有惡意攻擊軟體(挖礦軟體等)
2.15、辦公網路上網行為管理
禁用部分協議,阻止員工上傳程式碼到GitHub,x雲盤等
禁止辦公網路訪問論壇,小說網等
對員工訪問行為有所記錄,在內部網路對外發起攻擊,方便查來源
2.16、web服務,APP
企業暴露在外的最大的受攻擊面還是對外提供的業務,即web、app等服務。
攻擊者更多的通過這些服務攻擊下業務伺服器 》 竊取敏感資訊 & 利用伺服器資源對外攻擊(挖礦、DDOS)》 作為跳板攻擊辦公內網 》竊取更多的敏感資訊 &獲得更多的計算資源
企業需要進行SDL安全評估、程式碼審計(特別框架及模組程式碼)
當然除了敏感資料、計算資源,各種web漏洞(注入,xss,csrf,越權,上傳下載)中的業務邏輯漏洞,也會對企業利益及使用者利益造成損害(盜號、盜刷),也需要進行保護。
3、總結
企業保護物件應包含敏感資訊、計算資源、業務邏輯
網路安全是一個動態發展的過程,各種新業務出現,各種新系統出現,各種新漏洞出現。企業都需要有個安全運營中心,實時掌握安全邊界的安全現狀。
本文討論的是一個非常之巨集大的東西,只能“簡而言之”,希望能給讀者以啟發。
本文會不斷更新,希望讀者能留言交流