基本步骤
1. 资产梳理
- IP列表、业务分组(负责人、联系方向)、业务属性
- 业务端口
- 业务应用架构、技术堆栈
2.边界安全,防火墙策略控制(需要梳理业务端口)
- 如果是硬件,使用防火墙统一控制
- 如果是操作系统,Iptalbes+IPSEC
- 及时监控业务端口的变化(外部nmap扫描搜集结果比对,或者编写脚步放到运维平台收集系统监听端口和防火墙策略)
- 跳板机安全控制
3.账户安全管理
- 弱密码
- root、sudoer权限
- 账户、授权、访问、审计等等
4.服务器安全
- 安全基线检测
- 操作审计
- 异常登录审计(日志收集分析)
- 漏洞清点/扫描,补丁修复测试和推进
5.WEB安全
- 应用渗透测试
- 接口安全(加密、通信)
- webshell实时监测
- Nginx日志分析/Nginx流量旁路分析
6.业务风控安全
- 用户安全机制(密码、验证码、登录)
- 交易安全
7.安全培训
- 安全意识培训
- 运维安全培训
- WEB安全开发
8.安全规范和流程
- 人员入职账户开通
- 人员离职账户注销
- 服务器上下架安全管理
- 安全应急响应机制
9.内网安全
- 内网服务器安全
- 账户统一验证和管理机制(域ldap协议统一验证OA、RTX、邮件、内网业务系统)
- 弱口令监测(NTLM/LM)
- 账户异常登录
- 网络隔离(物理/虚拟化)
- 网络准入
- PC安全(病毒统一管理、通知处理)
网络系统安全建设
安全域划分
内部网络系统:主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统
外部网络系统:主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统(不限于:公有云、Github、云存储等)
安全域风险等级
外部网络系统>生产网内部网络系统>测试开发网内部网络系统>办公网内部网络系统>其他网络系统
安全域风险对象
外部系统:外部攻击者(黑客、白帽子)
内部系统:内部违规操作员工、已渗透到内网系统的外部攻击者
安全建设方案
由于不同安全域的风险等级、风险对象有所区别,因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。
办公网-网络安全建设
WIFI安全
事前安全措施:1、建立双因素认证(通过个人账户密码+短信、动态密码);2、建立设备安全认证(限定特定的设备才能连接)
事中安全措施:1、建议WIFI账号爆破监控;2、WIFI账号爆破封禁策略运营
VPN安全
事前安全措施:1、远程接入公司内部网络进行双因素认证(个人账户密码+短信、动态密码);2、硬件指纹获取识别
事中安全措施:1、VPN异地登录;2、异常登录监控;3、VPN爆破监控以及封禁策略
事后安全措施:1、联系VPN账号所属者确定攻击行为
日志流量采集检测
事前安全措施:1、办公网网络流量(到边界、到IDC);2、日志采集检测
事中安全措施:1、员工异常行为监控(比如上传内部数据到网盘等);2、攻击监控
事后安全措施:1、对涉事员工进行相应处罚
Router统一管理
事前安全措施:1、即统一管理内部网络映射到外网需求(可利用nginx反向代理),减少系统暴露风险
事中安全措施:1、外网端口扫描监控
终端网络准入
事前安全措施:1、办公终端(PC)需要安装准入程序,才允许上内部网络
事中安全措施:1、终端异常行为监控
事后安全措施:1、对涉事员工进行相应处罚
安全域之间网络隔离
例如:办公网与生产网之间只能通过堡垒机登录,且只有特定端口才能通信等策略(根据实际情况配置)
办公网-系统安全建设
办公网服务器安全
事前安全措施:1、服务器基线检查;2、补丁检查;3、端口服务监控;4、服务器登录统一管理
事中安全措施:1、服务器进程监控;2、敏感账户登录监控;3、敏感命令执行监控;4、文件上传下载等(依赖主机安全产品,服务器上安装Agent)
事后安全措施:1、服务器木马;2、后门查杀;3、服务器安全加固(服务器应急响应)
办公网终端PC安全
事前安全措施:1、防病毒;2、DLP;3、水印;4、行为监控
事中安全措施:1、DLP数据监控;2、水印监控
办公网-应用安全建设
SSO统一登录入口
事前安全措施:1、内部所有的办公系统使用一套SSO认证系统,可有效管理员工账户密码,预防弱口令等风险
事中安全措施:1、异常登录监控;2、弱口令监控
事后安全措施:1、强制修改用户账号密码;2、加固SSO
网站水印技术
事前安全措施:1、对有重要敏感数据的网站加上水印,防止数据被截图泄露等风险
事中安全措施:1、水印攻防监控
事后安全措施:1、对涉事员工进行相应处罚
邮箱安全
事前安全措施:1、邮箱访问安全加固方案,用来解决邮箱接口被爆破风险;2、附件安全扫描;3、异地登录报警;4、弱口令扫描
事中安全措施:1、邮件爆破监控;2、账户或者IP封禁;3、异地登录监控
事后安全措施:1、若爆破成功,则强制修改相关员工密码,且排查安全风险
WAF
事前安全措施:1、应用服务器上部署WAF,拦截web攻击
事中安全措施:2、WAF上进行攻击监测
事后安全措施:3、更新优化WAF拦截策略
办公网-员工安全
在职员工安全教育
事前安全措施:
1、定期对所有员工进行安全培训;
2、对新员工进行入职安全培训;
3、定期开展内部钓鱼测试;
4、针对RD可培训WEB安全开发;
5、针对OP可培训安全运维。
事中安全措施:1、对员工行为进行监控(可通过前面介绍的几种方案);2、对钓鱼邮件进行告警
事后安全措施:1、对涉事员工进行相应处罚;2、钓鱼邮件影响评估
离职员工安全审计
1、离职行为审计;2、办公电脑审计;3、人员离职账户注销
办公网-安全合规
1、ISO27001;2、等保2.0
生产网-系统安全建设
- 主机安全:1、内部资产发现;2、webshell监控;3、反弹shell监控等日常运营工作
- 日志分析监控:1、可以偏业务一些,比如接口防刷监控运维;2、也可以偏系统一些,攻击行为的监控运维
- 网络抗DDOS、应用抗CC:主要靠部署一些流量清洗产品
- 入侵检测、防御:IDS、IPS(对于告警记录的运维工作)
- 堡垒机:服务器统一登录管理,秘钥管理,访问控制策略运维工作
- Router层统一映射管理:互联网端口、IP映射管理,结合cmdb平台运维工作
- WAF:部署waf产品,拦截WEB攻击,告警记录运营工作
- 端口开放策略(ACL)
- IPTABLES
- 态势感知(SOC平台):流量监控平台,通过监控不同方向的流量,发现攻击行为
- 蜜罐(欺骗防御):通过在内、外部部署蜜罐产品,发现攻击行为
- 邮件沙箱、网关:针对邮件钓鱼、恶意附件的检测
- 威胁情报:往往跟态势感知相结合
除了系统层面的安全建设,生产网更多的是跟运维相关的一些安全内容(比如安全基线等),也包含项目上线的一些安全流程规范管理。
外网边界安全建设
- 资产收集:IP、域名、URL、数据接口、端口服务监控,梳理统计内外网端口映射关系、业务线负责人等信息,盘点边界资产。
- 黑盒漏洞扫描:WEB漏洞扫描、主机漏洞扫描(可采购也可自研,定期巡检)
- 业务逻辑漏洞扫描:通过流量、日志被动式检测简单的业务逻辑漏洞
- GITHUB监控:自动化监控github泄露的公司相关代码、服务器个人相关信息等
- SRC上报漏洞响应:建设SRC平台,收集白帽子提交的安全漏洞
- 最新漏洞、0day响应:0day、1day漏洞的研究、应急团队,推动漏洞修复
- 威胁情报
- 渗透测试:定期开展从互联网边界实施的渗透测试工作,寻找安全漏洞
外网边界的安全建设工作,大致分为三个步骤:资产盘点、漏洞扫描、漏洞推修(定期重复),0day漏洞应急另算。
产品安全建设
第一道防线:产品安全设计(早期可通过安全编码、意识培训使RD、PM具备信息安全意识)
第二道防线:需求评审、架构评审、代码审计、白盒扫描(通过建立需求安全评审等机制,严格控制新项目上线流程)
第三道防线:黑盒扫描、灰盒扫描(项目上线后可定期开展黑盒扫描)
第四道防线:SRC、企业蓝军(通过SRC、蓝军渗透发现的漏洞进行补充)
在整个产品安全建设过程中,企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。
企业红蓝对抗
企业红军:负责企业安全建设、安全监控、安全加固
企业蓝军:负责攻击安全堡垒、找出安全薄弱点
网络安全红军的工作包含了以上所有的安全建设工作,而网络安全蓝军的工作是一个全新的视角,包含不限于:
内部钓鱼攻击
外部漏洞攻击
APT攻击
内部爆破攻击
员工信息收集
……
企业在蓝军团队建设过程中,可自研沉淀:漏洞扫描器、社工库、漏洞库等
私有云安全
有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:
网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等
数据安全:数据的备份加密、数据接口防重放、数据分级分类等
主机安全:防逃逸、内存溢出、入侵检测等
安全合规:等保2.0云安全相关章节
私有云安全
有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:
网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等
数据安全:数据的备份加密、数据接口防重放、数据分级分类等
主机安全:防逃逸、内存溢出、入侵检测等
安全合规:等保2.0云安全相关章节
安全组织架构
小规模
若公司规模小,个人认为可按事前、事中、事后划分信息安全组织架构(仅供参考)
系统安全
事前团队:负责内外网安全建设
事中团队:负责入侵监控、异常监控
事后团队:负责应急响应、事后处罚整改
产品安全:SDL
安全合规
业务安全
大规模
若公司规模大,可按安全区域划分组织架构(仅供参考)
系统安全:
办公网团队:负责办公网安全建设、安全监控、应急响应(内部可再按照前、中、后细分,再细分,可分WEB、移动、硬件等)
生产网团队:负责生产网安全建设、安全监控、应急响应
外网边界团队:负责边界安全建设、安全监控、应急响应
产品安全:SDL
安全合规
蓝军团队:如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的,但属于事前。
业务安全
云安全
其他
红队建设
情报
漏洞预警