內網安全建設思路(轉)
阿新 • • 發佈:2018-12-21
總則
首先這裡的內網不包含網路拓撲規劃、應用釋出、訪問控制的等基礎網路規劃的內容,對於身份鑑別模式和訪問控制有推薦的場景模式。對於內網安全的管控還是迴歸風險評估三要素,從掃要素開始說起,更能體現管控工作的思路。
風險評估三要素:
- 資產:這裡包含所有的IT資產和無形資產(包含資料和名譽);
- 威脅:這裡一般指的是面臨的內部和外部可能的有害行為和力量;
- 脆弱:這裡多指漏洞以及存在的其他隱患;資產
換了個角度來分析就看出來為什麼內網安全第一步要做資產的收集整理歸類,其實這一步恰恰也是最繁雜的。一般公司不會再初創伊始就注重安全,肯定是發展到了一定階段才開始關注安全並建立自己的安全部門,除了緊急救火外,第一步要做的推進事項就是收集資產、分類資產、管控資產;特別要註明的是對不同的資產要執行不同的安全策略。類似OA、財務、域控等重要系統,它們或許有敏感資料,或許有內網許可權集合,所以要格外特別保護,執行最嚴格的管理措施,但是對於測試虛擬化主機池,在做好隔離的情況下,不一定要執行一類的安全標準。
-
執行資產發現的技術方案:
- 收集最原始的資料包括(IP、域名、URL等);
- 收集業務相關資訊(資產歸屬和運維負責人、資產使用目的等);
- 使用以上資料對內網進行探測發現(masscan、nmap)發現活躍的Domain、IP、URL等,對於域名還要進行多種解析,求得子域名、A記錄、CNAME等(DNS、PDNS);
- 所有等級資產入庫,對於所有IP進行埠掃描獲取執行的服務、軟體及其版本、元件及其版本、標題等相關資訊核對相關歸屬人入庫;
- 對以上資訊進行管理形成統一的資產資料庫; - 有了資產就可以對資產進行下一步的管控,分類工作,網路拓撲規劃和架構的問題這裡不在討論範圍之列,但是為了後面審計工作好做,對於一些基本點還是有要求的:
- 要做基於身份和終端認證的身份鑑別和訪問控制,尤其是針應有層統一認證的APP,類似WEB類業務服務,進行SSO統一認證管理;
- 對於類MySQL、SSH這類服務的訪問控制則最好能夠依託堡壘機進行;
- 辦公地點互聯和移動辦公要求使用VPN;
- 內網最好沒有NAT,如果有NAT一定要建立好轉換對應表等;
脆弱
這裡的脆弱咱們一般還是基於漏洞管控的角度展開,一般有三個問題,第一如何發現漏洞,如何修復漏洞、後續管控問題。這個漏洞管控流程要形成閉環,爭取做到實時級或者準實時級監控,從而有效解決漏洞或者說是脆弱性的問題。 - 發現漏洞
- 收集漏洞資訊
- 關注業界報道、漏洞情報
- 自身挖掘和積累
- 建立老漏洞知識庫
- 漏洞探測:
- 購買商業漏掃產品(適合大面積覆蓋式探測)
- 利用開源產品(注重積累自身POC)
- 自研漏掃引擎(注重積累自身POC)
- 收集漏洞資訊
- 修復漏洞:
- 升級或補丁修復(適合的開源元件或購買的產品)
- 程式碼級修復(對於自研的產品)
- 其他緩解措施:例如上防火牆、WAF(對於暫未有合適解決方案的漏洞)
- 漏洞閉環:
- 漏洞發現、告知和修復僅僅是第一步;
- 漏洞的複測與確認關閉
- 常態化監控避免復發
- 教育和推進安全標準化(安全培訓、安全制度和SDL機制)
威脅
這裡的威脅包含內部和外部的威脅,外部威脅常見,所有的攻擊行為都算,內部常見的攻擊行為也算,但是還有一類值得注意,敏感資訊的洩露,機密檔案(標書、報價單、錄用函、合同)還有智慧財產權資產(程式碼、專利、技術方案等),除了上DLP監控外還需要對Github、各種網盤、程式碼託管平臺、雲平臺進行監控,保障自身利益。這裡對於主動防禦(進攻類防禦等)不做介紹,對於外界的輿論安全等也暫不考慮。所以建立內網的IDS/IPS體系也是十分必要的。我們要建立的能力要具備兩點、第一事前、事中告警和事後應急審計。- 流量全映象備份系統(網鏡、天眼、SOC類產品)
- 日誌全收集平臺(在各個終端是配置Agent,日誌統一收集彙總、整理分析留存)開源產品可以借鑑ELK體系
- 自動化日誌、流量分析告警平臺和通知體制
威脅的一點小補充
對於審計還想所說一句,基於IP的使用ACL類技術進行的訪問控制雖然成本低廉、但缺乏動態變化相容的能力,基於身份、終端認證的訪問控制及其日誌的留存對於事後的審計、追蹤、問責具有非常重要的意義。總結
對於以上三者種種,一個新成立的安全部門上倆最重要的事情除了救火,就是建立者三位一體的體系,收集好資產建立最基本的管控運營的基礎、並整合漏洞掃系統(建立對於漏洞的處置閉環),同時結合威脅情報,監控內外部安全事件,及時處置、善後。建立者三位一體的體系之後,內網安全戰爭的最基本的物質基礎才算建設好,有了這些武器裝備才能真正開始內網的安全戰爭。