企業安全建設之淺談辦公網安全
前言
在大多數網際網路公司,安全建設的主要精力都投入在業務網安全上,辦公網往往成為短板。為避免教科書式的理論說教,本文以攻防的角度,以中型網際網路公司為例,討論下辦公網安全建設。這裡的辦公網是狹義的辦公網,僅包括員工辦公的網路區域,支撐辦公的erp、郵件等系統不包含在內。
辦公網滲透思路
辦公網通常是黑客入侵的一大突破口,究其原因我認為主要為:
- 辦公網安全投入相對業務網不足,入侵成本較低
- 辦公網的主體是人,人有七情六慾,上網行為千奇百怪,攻擊面大於業務網
- 業務網往往信賴辦公網,可以成為戰略迂迴進攻業務網的絕好跳板
- 研發、運營等重要資料往往高度集中在辦公終端,資料價值甚至超過業務網
滲透辦公網的思路很多,以下是一個舉例:
滲透辦公網的思路舉例
從入口的角度講,惡意連結、檔案是常見手段。
從黑客行為講,主要分為:
- 水平橫向滲透
- 縱向提權
從黑客目的角度講,主要分為:
- 以辦公網為跳板攻擊業務網
- 竊取HR、財務、高管等手中的重要資料
網路安全
下圖為常見的辦公網拓撲結構
辦公網拓撲舉例
- 防火牆
防火牆作為抵禦攻擊的第一道防護,責任重大,但是他又肩負著NAT上網的重要職責,效能和穩定性又要求很高。我認為從純安全形度講,選擇防火牆時需要考慮下列幾個功能:
- 惡意網站過濾
- 惡意檔案過濾
2016年gartner企業網路防火牆魔力象限
- IPS/IDS
IPS/IDS在這裡有個非常重要的作用就是識別使用Nday的軟體尤其是瀏覽器、辦公網套件漏洞攻擊員工的行為。有很多廠商宣稱自己的IPS/IDS可以識別0day,我個人認為目前比較成熟的0day識別技術主要依賴沙箱和機器學習,真要識別0day還是需要專業的APT裝置來做。
2017年gartner入侵檢測與防禦魔力象限
- 郵件安全閘道器
這個話題內容太多,可以單獨寫一篇,本文先省略。
- APT裝置
APT裝置通過分析郵件、流量中的檔案和流量行為識別APT行為,我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。
- 安全隔離
安全隔離的主要目的有兩個:
- 按需提供網路訪問許可權,避免許可權濫用
- 減小黑客在辦公網橫向滲透以及縱向提權的攻擊面,提高攻擊成本
出於這兩個目的,所以安全隔離通常和准入或者vlan劃分結合在一起,不同的地方主要在於准入可以根據使用者身份動態調整網路許可權,vlan劃分相對不夠靈活。
網路許可權隔離
上圖是一個簡單的分類,其中有幾類同學需要重點關注:
- 運維&DBA,系統許可權特別大,縱向提權的最佳目標,有種開玩笑的說法,黑掉一個運維的電腦,把所有文字檔案翻個遍,找不到一個密碼才是見鬼了。應當儘量限制其他人群對他們的訪問。
- 重要業務系統的管理員,這些同學負責對公司核心業務進行運營管理,對重要後臺系統具有很高的許可權,一旦他們電腦被入侵,後果會很嚴重。比如遊戲公司充值系統的後臺、廣告公司的客戶廣告投放管理系統、招聘公司的後臺簡歷管理系統、電商的訂單物流管理系統,出點事都是大事。應當儘量限制其他人群對他們的訪問,同時嚴格限制他們的外網訪問許可權。
- 高管、HR、財務,這些同學對辦公系統的訪問需求比較單一,主要網路訪問需求在外網,通常不懂技術,安全防護意識也最弱,也最得罪不起。他們的辦公電腦集中大量公司重要資料,一旦被入侵就直接產生損失了。這部分同學可以嚴格限制跟辦公網其他區域以及對內部系統的訪問。
無線安全
無線情況就特別複雜了,這裡討論比較常見的情況。不少公司的無線依靠靜態密碼保護,認證通過後即可以訪問辦公網路。這裡有兩個甲方常見誤區:
- 我無線只覆蓋公司內部,黑客咋搜到?
黑客如果真打算黑你,真可以到你公司附近,現在的AP發射能力都很強,黑客如果使用專用裝置,接受訊號能力也很強。
- 我無線密碼好複雜,黑客不可能暴力破解
本本上裝個kali,買個好點的usb網絡卡,wpa/wpa2密碼破解只是時間問題。另外現在不少wifi助手有記住密碼功能,內部員工一旦誤點了記住免費wifi,其他人使用wifi助手連線這個wifi就會自動認證,破解都不用了。所以無線網路最好可以限制僅能訪問外網,並且加上類似准入的二次認證機制,也可以使用域密碼或者證書認證,降低靜態密碼被洩露和破解的風險。
終端安全
終端安全是辦公網安全的重點,涉及面非常廣,核心訴求至少包括一下方面:
- 提高終端安全基線,減小攻擊面
- 基礎防病毒能力,具備抵禦常見Nday病毒木馬的能力,提高攻擊成本
- 基礎的終端系統、應用軟體資產蒐集以及管理能力,針對常見的Nday系統、應用軟體漏洞具有發現、修復的能力,提高攻擊成本
為了達到以上要求,需要藉助一定的商業解決方案。
- 終端安全加固
終端安全加固的目的是提高安全基線,減小攻擊面,事半功倍的方法是讓PC終端統一加入window域,通過域控策略統一管理終端的安全策略,介紹域策略的文章很多,這裡只提下幾個比較重要的點:
- 開啟屏保以及鎖屏時間
- 域賬戶密碼複雜度,密碼更換時間
- 禁用guest賬戶
- 開啟主機防火牆
- 禁止administror賬戶遠端登入(員工自己域賬戶是本地管理員,可以正常登入,很多公司喜歡用ghost預裝電腦,administror賬戶的密碼絕對是個大坑)
- 禁止域管理員遠端登入(一定要把域控和一般PC放在不同組策略下,不然這個策略害死人)
- 刪除IPC$ C$ D$ admin$(木馬經常利用)
- 開啟審計策略,記錄登入、賬戶相關事件
- 調整事件日誌的大小及覆蓋策略
- 關機清理虛擬記憶體頁面檔案
- 終端防病毒
終端防病毒肩負著具備抵禦常見Nday病毒木馬的能力,提高攻擊成本的重任,不過傳統解決方案基本就是純粹的黑名單和基於病毒特徵,似乎這一領域也是紅海中的紅海。可喜的是最近兩年終端安全又被各大安全廠商重視起來,因為越來越多的有針對性的攻擊行為被揭露,跳板都是辦公終端,大家對這塊越來越重視;另外新的檢測技術以及解決思路落地實現,安全廠商提出了EDR的概念,即終端檢測與響應。基本思路是預設攻擊者始終會滲漏公司網路,讓安全人員利用IoC和終端行為來快速檢測任何入侵,減小攻擊者造成的損害。
2016年gartner防病毒軟體魔力象限
- 終端管理
終端管理主要解決兩個安全問題:
- 系統、應用軟體版本的管理
- 系統、應用軟體漏洞的自動化修復
微軟的WSUS以及SCCM雖然只能搞定微軟系軟體以及flash的問題,但是已經可以解決大部分問題了,針對類似java、chrome這類常用第三方軟體的升級,就需要專業的終端管理解決方案了。
2015gartner終端管理
- 准入系統
准入系統可以基於員工身份做到靈活的網路許可權限制,保障主機安全基線的強制執行。這部分可以參考我以前的文章《企業安全建設之自建准入系統》。
資料安全
資料安全是個非常複雜的話題,有興趣可以參考下我之前的文章《企業安全建設之淺談資料防洩露》。
系統安全
辦公網的系統安全,出了加固手段,還需要通過漏洞掃描器定期自動化發現。我理解這裡的掃描器至少需要解決幾方面問題:
- 各種弱密碼
- 系統級漏洞,比如ms08-067、MS12-020
- 第三方軟體漏洞,比如Cisco WAG120N多個遠端命令執行漏洞
其他
- 蜜罐
部署一定數量的蜜罐,可以起到事半功倍的效果,最簡單的就是用類似honeyd之類開源的偽裝成window終端即可。
- siem
辦公網資料量基本不大而且商業產品居多,使用ossim就可以很好解決資料蒐集、展現、自定義報警、關聯分析的功能了。
建設步驟
通過以上努力,我們基本建設起了辦公網的縱深防禦系統,整個辦公網具有了一定的安全防護以及感知能力。公司的預算總是有限,人力也是捉襟見肘,從無到有建設這麼個安全防護體系不是一年半載的事,需要拍優先順序,下面是一個建議:
第一步,安全邊界建設,風險初步可控,比如IPS、NGFW
第二步,細化終端安全建設,進一步提高防護能力
第三步,提高安全感知能力,錦上添花
每個公司安全現狀不一樣,業務情況也不一樣,具體實施步驟和策略需要因地制宜。安全意識教育也是非常重要的一個環節,尤其針對社工,技術防護手段效果一般。
原文來自——Freebuf和公眾號(兜哥帶你學安全)