Ywc

甲方安全建设

Word count: 3.6k / Reading time: 12 min
2019/10/24 Share

大部分内容来自nmask大佬:我所认知的甲方信息安全建设经验

基本步骤

1. 资产梳理

  • IP列表、业务分组(负责人、联系方向)、业务属性
  • 业务端口
  • 业务应用架构、技术堆栈

2.边界安全,防火墙策略控制(需要梳理业务端口)

  • 如果是硬件,使用防火墙统一控制
  • 如果是操作系统,Iptalbes+IPSEC
  • 及时监控业务端口的变化(外部nmap扫描搜集结果比对,或者编写脚步放到运维平台收集系统监听端口和防火墙策略)
  • 跳板机安全控制

3.账户安全管理

  • 弱密码
  • root、sudoer权限
  • 账户、授权、访问、审计等等

4.服务器安全

  • 安全基线检测
  • 操作审计
  • 异常登录审计(日志收集分析)
  • 漏洞清点/扫描,补丁修复测试和推进

5.WEB安全

  • 应用渗透测试
  • 接口安全(加密、通信)
  • webshell实时监测
  • Nginx日志分析/Nginx流量旁路分析

6.业务风控安全

  • 用户安全机制(密码、验证码、登录)
  • 交易安全

7.安全培训

  • 安全意识培训
  • 运维安全培训
  • WEB安全开发

8.安全规范和流程

  • 人员入职账户开通
  • 人员离职账户注销
  • 服务器上下架安全管理
  • 安全应急响应机制

9.内网安全

  • 内网服务器安全
  • 账户统一验证和管理机制(域ldap协议统一验证OA、RTX、邮件、内网业务系统)
  • 弱口令监测(NTLM/LM)
  • 账户异常登录
  • 网络隔离(物理/虚拟化)
  • 网络准入
  • PC安全(病毒统一管理、通知处理)

网络系统安全建设

安全域划分

内部网络系统:主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统
外部网络系统:主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统(不限于:公有云、Github、云存储等)

安全域风险等级

外部网络系统>生产网内部网络系统>测试开发网内部网络系统>办公网内部网络系统>其他网络系统

安全域风险对象

外部系统:外部攻击者(黑客、白帽子)
内部系统:内部违规操作员工、已渗透到内网系统的外部攻击者

安全建设方案

由于不同安全域的风险等级、风险对象有所区别,因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。

办公网-网络安全建设

WIFI安全

事前安全措施:1、建立双因素认证(通过个人账户密码+短信、动态密码);2、建立设备安全认证(限定特定的设备才能连接)
事中安全措施:1、建议WIFI账号爆破监控;2、WIFI账号爆破封禁策略运营

VPN安全

事前安全措施:1、远程接入公司内部网络进行双因素认证(个人账户密码+短信、动态密码);2、硬件指纹获取识别
事中安全措施:1、VPN异地登录;2、异常登录监控;3、VPN爆破监控以及封禁策略
事后安全措施:1、联系VPN账号所属者确定攻击行为

日志流量采集检测

事前安全措施:1、办公网网络流量(到边界、到IDC);2、日志采集检测
事中安全措施:1、员工异常行为监控(比如上传内部数据到网盘等);2、攻击监控
事后安全措施:1、对涉事员工进行相应处罚

Router统一管理

事前安全措施:1、即统一管理内部网络映射到外网需求(可利用nginx反向代理),减少系统暴露风险
事中安全措施:1、外网端口扫描监控

终端网络准入

事前安全措施:1、办公终端(PC)需要安装准入程序,才允许上内部网络
事中安全措施:1、终端异常行为监控
事后安全措施:1、对涉事员工进行相应处罚

安全域之间网络隔离

例如:办公网与生产网之间只能通过堡垒机登录,且只有特定端口才能通信等策略(根据实际情况配置)

办公网-系统安全建设

办公网服务器安全

事前安全措施:1、服务器基线检查;2、补丁检查;3、端口服务监控;4、服务器登录统一管理
事中安全措施:1、服务器进程监控;2、敏感账户登录监控;3、敏感命令执行监控;4、文件上传下载等(依赖主机安全产品,服务器上安装Agent)
事后安全措施:1、服务器木马;2、后门查杀;3、服务器安全加固(服务器应急响应)

办公网终端PC安全

事前安全措施:1、防病毒;2、DLP;3、水印;4、行为监控
事中安全措施:1、DLP数据监控;2、水印监控

办公网-应用安全建设

SSO统一登录入口

事前安全措施:1、内部所有的办公系统使用一套SSO认证系统,可有效管理员工账户密码,预防弱口令等风险
事中安全措施:1、异常登录监控;2、弱口令监控
事后安全措施:1、强制修改用户账号密码;2、加固SSO

网站水印技术

事前安全措施:1、对有重要敏感数据的网站加上水印,防止数据被截图泄露等风险
事中安全措施:1、水印攻防监控
事后安全措施:1、对涉事员工进行相应处罚

邮箱安全

事前安全措施:1、邮箱访问安全加固方案,用来解决邮箱接口被爆破风险;2、附件安全扫描;3、异地登录报警;4、弱口令扫描
事中安全措施:1、邮件爆破监控;2、账户或者IP封禁;3、异地登录监控
事后安全措施:1、若爆破成功,则强制修改相关员工密码,且排查安全风险

WAF

事前安全措施:1、应用服务器上部署WAF,拦截web攻击
事中安全措施:2、WAF上进行攻击监测
事后安全措施:3、更新优化WAF拦截策略

办公网-员工安全

在职员工安全教育

事前安全措施:
1、定期对所有员工进行安全培训;
2、对新员工进行入职安全培训;
3、定期开展内部钓鱼测试;
4、针对RD可培训WEB安全开发;
5、针对OP可培训安全运维。
事中安全措施:1、对员工行为进行监控(可通过前面介绍的几种方案);2、对钓鱼邮件进行告警
事后安全措施:1、对涉事员工进行相应处罚;2、钓鱼邮件影响评估

离职员工安全审计

1、离职行为审计;2、办公电脑审计;3、人员离职账户注销

办公网-安全合规

1、ISO27001;2、等保2.0

生产网-系统安全建设

  • 主机安全:1、内部资产发现;2、webshell监控;3、反弹shell监控等日常运营工作
  • 日志分析监控:1、可以偏业务一些,比如接口防刷监控运维;2、也可以偏系统一些,攻击行为的监控运维
  • 网络抗DDOS、应用抗CC:主要靠部署一些流量清洗产品
  • 入侵检测、防御:IDS、IPS(对于告警记录的运维工作)
  • 堡垒机:服务器统一登录管理,秘钥管理,访问控制策略运维工作
  • Router层统一映射管理:互联网端口、IP映射管理,结合cmdb平台运维工作
  • WAF:部署waf产品,拦截WEB攻击,告警记录运营工作
  • 端口开放策略(ACL)
  • IPTABLES
  • 态势感知(SOC平台):流量监控平台,通过监控不同方向的流量,发现攻击行为
  • 蜜罐(欺骗防御):通过在内、外部部署蜜罐产品,发现攻击行为
  • 邮件沙箱、网关:针对邮件钓鱼、恶意附件的检测
  • 威胁情报:往往跟态势感知相结合

除了系统层面的安全建设,生产网更多的是跟运维相关的一些安全内容(比如安全基线等),也包含项目上线的一些安全流程规范管理。

外网边界安全建设

  • 资产收集:IP、域名、URL、数据接口、端口服务监控,梳理统计内外网端口映射关系、业务线负责人等信息,盘点边界资产。
  • 黑盒漏洞扫描:WEB漏洞扫描、主机漏洞扫描(可采购也可自研,定期巡检)
  • 业务逻辑漏洞扫描:通过流量、日志被动式检测简单的业务逻辑漏洞
  • GITHUB监控:自动化监控github泄露的公司相关代码、服务器个人相关信息等
  • SRC上报漏洞响应:建设SRC平台,收集白帽子提交的安全漏洞
  • 最新漏洞、0day响应:0day、1day漏洞的研究、应急团队,推动漏洞修复
  • 威胁情报
  • 渗透测试:定期开展从互联网边界实施的渗透测试工作,寻找安全漏洞

外网边界的安全建设工作,大致分为三个步骤:资产盘点、漏洞扫描、漏洞推修(定期重复),0day漏洞应急另算。

产品安全建设

第一道防线:产品安全设计(早期可通过安全编码、意识培训使RD、PM具备信息安全意识)
第二道防线:需求评审、架构评审、代码审计、白盒扫描(通过建立需求安全评审等机制,严格控制新项目上线流程)
第三道防线:黑盒扫描、灰盒扫描(项目上线后可定期开展黑盒扫描)
第四道防线:SRC、企业蓝军(通过SRC、蓝军渗透发现的漏洞进行补充)
在整个产品安全建设过程中,企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。

企业红蓝对抗

企业红军:负责企业安全建设、安全监控、安全加固
企业蓝军:负责攻击安全堡垒、找出安全薄弱点

网络安全红军的工作包含了以上所有的安全建设工作,而网络安全蓝军的工作是一个全新的视角,包含不限于:

内部钓鱼攻击
外部漏洞攻击
APT攻击
内部爆破攻击
员工信息收集
……
企业在蓝军团队建设过程中,可自研沉淀:漏洞扫描器、社工库、漏洞库等

私有云安全

有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:

网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等
数据安全:数据的备份加密、数据接口防重放、数据分级分类等
主机安全:防逃逸、内存溢出、入侵检测等
安全合规:等保2.0云安全相关章节

私有云安全

有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:

网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等
数据安全:数据的备份加密、数据接口防重放、数据分级分类等
主机安全:防逃逸、内存溢出、入侵检测等
安全合规:等保2.0云安全相关章节

安全组织架构

小规模

若公司规模小,个人认为可按事前、事中、事后划分信息安全组织架构(仅供参考)

系统安全
事前团队:负责内外网安全建设
事中团队:负责入侵监控、异常监控
事后团队:负责应急响应、事后处罚整改
产品安全:SDL
安全合规
业务安全

大规模

若公司规模大,可按安全区域划分组织架构(仅供参考)

系统安全:
办公网团队:负责办公网安全建设、安全监控、应急响应(内部可再按照前、中、后细分,再细分,可分WEB、移动、硬件等)
生产网团队:负责生产网安全建设、安全监控、应急响应
外网边界团队:负责边界安全建设、安全监控、应急响应
产品安全:SDL
安全合规
蓝军团队:如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的,但属于事前。
业务安全
云安全

其他

红队建设

情报

漏洞预警

开源项目(待整理)

http://wiki.beysec.com/

Reference

https://mp.weixin.qq.com/s/0Uu_os9MB5ZHnowlWkYbEA

CATALOG
  1. 1. 基本步骤
  2. 2. 网络系统安全建设
    1. 2.1. 安全域划分
    2. 2.2. 安全域风险等级
    3. 2.3. 安全域风险对象
    4. 2.4. 安全建设方案
      1. 2.4.1. 办公网-网络安全建设
        1. 2.4.1.1. WIFI安全
        2. 2.4.1.2. VPN安全
        3. 2.4.1.3. 日志流量采集检测
        4. 2.4.1.4. Router统一管理
        5. 2.4.1.5. 终端网络准入
        6. 2.4.1.6. 安全域之间网络隔离
      2. 2.4.2. 办公网-系统安全建设
        1. 2.4.2.1. 办公网服务器安全
        2. 2.4.2.2. 办公网终端PC安全
      3. 2.4.3. 办公网-应用安全建设
        1. 2.4.3.1. SSO统一登录入口
        2. 2.4.3.2. 网站水印技术
        3. 2.4.3.3. 邮箱安全
        4. 2.4.3.4. WAF
      4. 2.4.4. 办公网-员工安全
        1. 2.4.4.1. 在职员工安全教育
        2. 2.4.4.2. 离职员工安全审计
      5. 2.4.5. 办公网-安全合规
      6. 2.4.6. 生产网-系统安全建设
      7. 2.4.7. 外网边界安全建设
      8. 2.4.8. 产品安全建设
      9. 2.4.9. 企业红蓝对抗
      10. 2.4.10. 私有云安全
      11. 2.4.11. 私有云安全
      12. 2.4.12. 安全组织架构
        1. 2.4.12.1. 小规模
        2. 2.4.12.2. 大规模
  3. 3. 其他
    1. 3.1. 开源项目(待整理)
    2. 3.2. Reference