企業安全之做好這三點,護網沒在怕!
護網就像期末考試一樣,平時沒怎麼上心的學生,考試最怕掛科。學生時代,考前會懇求老師劃重點,臨時抱佛腳,好在考試中及格。臨近護網,做好這三點,能夠讓我們順利度過護網,取得好成績。
考前一週
從接到護網通知,到護網開始,一般會有一週的時間,可以給護網的同學們做準備。這一週是臨時抱佛腳的時間,學霸們可能沒這樣的經歷,對於“學渣”來說,考前複習,沒時間一點一點看知識點,主要根據考試內容做準備。護網前期一週,怎麼開始“複習”呢?“學渣”們趕快看過來。
網際網路資產發現
往年護網經驗來看,很多被打穿的單位,不是通過入口網站等主要系統進來的,而是通過攻擊平時不怎麼關注的邊緣系統,第三方外聯絡統,一步一步滲透進單位核心伺服器,所以,梳理清楚資產,是考前準備的第一步。
筆者這些年服務的甲方單位,很多不能拿出一份本單位完整的資產列表,各部門獨立運營自己的系統,根據需要開放域名和埠,安全部門很難對暴露在網際網路的資產進行控制,手上只有使用較多的資產資訊。
資產發現步驟:
1、根據一級域名發現所有子域名,可以採取搜尋引擎探測,site:xxx.com,暴力破解等方式。
2、根據子域名DNS解析記錄查詢IP
3、針對子域名和IP做埠探測
4、針對IP做域名反查,備選,很難保證準確性。
網路安全風險排查
小編這裡對網路拓撲、主機、應用配置需要注意的部分“劃了重點”,單位可以對照進行排查:
1、護網目標系統是否與單位其他網段網路隔離。
2、伺服器、網路裝置、安全裝置運維方式確認,是否為堡壘機,如果直接運維,建議護網期間,只允許運維人員網路訪問SSH、RDP等。
3、核心系統安全策略確認,建議護網期間配置更嚴格的ACL策略。
4、終端防毒軟體保證護網前期和護網期間每天進行病毒查殺。
5、口令安全,網路裝置、安全裝置口令設定為強口令,不能統一口令,業務系統是否對外部使用者開啟註冊。若提供外部使用者註冊,是否對外部使用者註冊時口令複雜度及長度進行強制要求。是否有密碼找回功能。
6、應用系統後臺地址暴露情況,是否對公網暴露。
7、網站上傳目錄是否有執行許可權。
8、VPN、伺服器賬號是否有長期不用的測試賬號、臨時賬號等。
9、監控裝置如流量分析、態勢感知裝置流量接入是否全部覆蓋單位網際網路網路,尤其容易疏忽的是第三方接入流量。
10、安全裝置如WAF、IPS可以根據網路情況,安全策略級別調高,如訪問頻率閥值,封堵時間等。
11、前期發現的漏洞,高危利用難度低的漏洞優先修復。
風險排查PDCA
護網期間工作計劃
最後需要對護網期間的工作做好計劃安排,組織架構,威脅上報流程,應急處置預案,護網環境確認等。
組織架構:可以分為領導小組,監控小組,分析小組,處置小組,應急小組,報告編寫小組,根據護網團隊規模分組,規模較小的單位,部分小組可以合併為一個,比如監控和分析。
威脅上報流程:單位安全部門需要與運維、應用、網路部門做好溝通,發現威脅後的處置流程,配合部門也要派出相應的人員值守,專職負責支撐護網。小編以及小編小夥伴們護網的幾家單位,護網期間大部分工作都是監控攻擊,然後封堵IP。
應急處置預案:擬定護網期間的不同場景,編寫應急處置預案,與各支撐部分進行確認。
護網環境確認:護網值守人員工作場所,監控裝置登入方式,堡壘機賬號,各支撐部門溝通方式等。
考前一天
內部演練
經過一週的抱佛腳,“學渣”們上考場前,已經提升了不少信心。在護網前一天,可以來一次內部演練,磨合一下流程。
內部演練主要的目的是為了驗證攻擊方的流量都能夠監控到,以及應急處置流程的順利實施:
安排紅隊攻擊方,對單位網路模擬攻擊,攻擊範圍要覆蓋單位全部系統(可以根據前期資產發現結果),攻擊方式也要多樣化,力求模擬攻擊方几乎所有型別的攻擊手段,包括web滲透、暴力破解、內網滲透、釣魚郵件等。監控小組需要確認,不同系統不同攻擊方式,是否全部監控到,如果有遺漏,需要及時調整。
模擬應急處置流程,監控小組發現攻擊後,提交給應急處置小組,開展應急處置工作,如封堵攻擊IP,通知收到釣魚郵件的員工,隔離內網被控制的主機等。
覆盤總結,內部演練後,總結演練過程中發現的問題,保證護網開始後,一切按照計劃開展。
安全意識宣講
護網期間,攻擊方的目標不僅僅是業務系統,也包括普通員工的電腦,如釣魚郵件、釣魚網頁、社會工程學之類,需要對全單位進行安全意識宣講,這裡小編擬了幾個需要注意的場景:
1、長時間使用叫號機器、ATM等單位資訊系統,不做業務辦理情況。(銀行單位)
2、無證件或者無證明檔案的外部人員要求進機房、辦公區等。
3、自稱是印表機、辦公電腦維護的IT人員,需要在辦公電腦操作或者插U盤。
4、之前沒連線過的WiFi,WiFi名稱一般為某某餐飲或門店,突然出現在WiFi列表中。
5、收到異常郵件,郵件中含有異常連結、附件等。
護網開始
準備了那麼久,終於到了考試的日子啦,放輕鬆心態,吃點清淡有營養易消化的早餐,元氣滿滿的走進考場。
護網開始後,按照原定計劃開展監控、處置、應急工作。防守比攻擊被動,不清楚什麼時候攻擊方開始攻擊自己,只能7*24小時盯著監控平臺。這裡筆者分享一些“考試技巧”:
1、長時間使用叫號機器、ATM等單位資訊系統,不做業務辦理情況。(銀行單位)
2、無證件或者無證明檔案的外部人員要求進機房、辦公區等。
3、自稱是印表機、辦公電腦維護的IT人員,需要在辦公電腦操作或者插U盤。
4、之前沒連線過的WiFi,WiFi名稱一般為某某餐飲或門店,突然出現在WiFi列表中。
5、收到異常郵件,郵件中含有異常連結、附件等。
有人說,沒參加過護網的安全從業人員,和沒參加過高考的學生一樣,是終身的遺憾。最後預祝各位護網的小夥伴,享受護網過程,尊重護網結果,開心安全工作每一天。歡迎關注本博主公眾