内网安全建设思路
总则
首先这里的内网不包含网络拓扑规划、应用发布、访问控制的等基础网络规划的内容,对于身份鉴别模式和访问控制有推荐的场景模式。对于内网安全的管控还是回归风险评估三要素,从扫要素开始说起,更能体现管控工作的思路。
+ 风险评估三要素:
- 资产:这里包含所有的IT资产和无形资产(包含数据和名誉);
- 威胁:这里一般指的是面临的内部和外部可能的有害行为和力量;
- 脆弱:这里多指漏洞以及存在的其他隐患;
资产
换了个角度来分析就看出来为什么内网安全第一步要做资产的收集整理归类,其实这一步恰恰也是最繁杂的。一般公司不会再初创伊始就注重安全,肯定是发展到了一定阶段才开始关注安全并建立自己的安全部门,除了紧急救火外,第一步要做的推进事项就是收集资产、分类资产、管控资产;特别要注明的是对不同的资产要执行不同的安全策略。类似OA、财务、域控等重要系统,它们或许有敏感数据,或许有内网权限集合,所以要格外特别保护,执行最严格的管理措施,但是对于测试虚拟化主机池,在做好隔离的情况下,不一定要执行一类的安全标准。
-
执行资产发现的技术方案:
- 收集最原始的数据包括(IP、域名、URL等);
- 收集业务相关信息(资产归属和运维负责人、资产使用目的等);
- 使用以上数据对内网进行探测发现(masscan、nmap)发现活跃的Domain、IP、URL等,对于域名还要进行多种解析,求得子域名、A记录、CNAME等(DNS、PDNS);
- 所有等级资产入库,对于所有IP进行端口扫描获取运行的服务、软件及其版本、组件及其版本、标题等相关信息核对相关归属人入库;
- 对以上信息进行管理形成统一的资产数据库; -
有了资产就可以对资产进行下一步的管控,分类工作,网络拓扑规划和架构的问题这里不在讨论范围之列,但是为了后面审计工作好做,对于一些基本点还是有要求的:
- 要做基于身份和终端认证的身份鉴别和访问控制,尤其是针应有层统一认证的APP,类似WEB类业务服务,进行SSO统一认证管理;
- 对于类MySQL、SSH这类服务的访问控制则最好能够依托堡垒机进行;
- 办公地点互联和移动办公要求使用VPN;
- 内网最好没有NAT,如果有NAT一定要建立好转换对应表等;
脆弱
这里的脆弱咱们一般还是基于漏洞管控的角度展开,一般有三个问题,第一如何发现漏洞,如何修复漏洞、后续管控问题。这个漏洞管控流程要形成闭环,争取做到实时级或者准实时级监控,从而有效解决漏洞或者说是脆弱性的问题。
- 发现漏洞
- 收集漏洞信息
- 关注业界报道、漏洞情报
- 自身挖掘和积累
- 建立老漏洞知识库
- 漏洞探测:
- 购买商业漏扫产品(适合大面积覆盖式探测)
- 利用开源产品(注重积累自身POC)
- 自研漏扫引擎(注重积累自身POC)
- 收集漏洞信息
- 修复漏洞:
- 升级或补丁修复(适合的开源组件或购买的产品)
- 代码级修复(对于自研的产品)
- 其他缓解措施:例如上防火墙、WAF(对于暂未有合适解决方案的漏洞)
- 漏洞闭环:
- 漏洞发现、告知和修复仅仅是第一步;
- 漏洞的复测与确认关闭
- 常态化监控避免复发
- 教育和推进安全标准化(安全培训、安全制度和SDL机制)
威胁
这里的威胁包含内部和外部的威胁,外部威胁常见,所有的攻击行为都算,内部常见的攻击行为也算,但是还有一类值得注意,敏感信息的泄露,机密文件(标书、报价单、录用函、合同)还有知识产权资产(代码、专利、技术方案等),除了上DLP监控外还需要对Github、各种网盘、代码托管平台、云平台进行监控,保障自身利益。这里对于主动防御(进攻类防御等)不做介绍,对于外界的舆论安全等也暂不考虑。所以建立内网的IDS/IPS体系也是十分必要的。我们要建立的能力要具备两点、第一事前、事中告警和事后应急审计。
- 流量全镜像备份系统(网镜、天眼、SOC类产品)
- 日志全收集平台(在各个终端是配置Agent,日志统一收集汇总、整理分析留存)开源产品可以借鉴ELK体系
- 自动化日志、流量分析告警平台和通知体制
威胁的一点小补充
对于审计还想所说一句,基于IP的使用ACL类技术进行的访问控制虽然成本低廉、但缺乏动态变化兼容的能力,基于身份、终端认证的访问控制及其日志的留存对于事后的审计、追踪、问责具有非常重要的意义。
总结
对于以上三者种种,一个新成立的安全部门上俩最重要的事情除了救火,就是建立者三位一体的体系,收集好资产建立最基本的管控运营的基础、并整合漏洞扫系统(建立对于漏洞的处置闭环),同时结合威胁情报,监控内外部安全事件,及时处置、善后。建立者三位一体的体系之后,内网安全战争的最基本的物质基础才算建设好,有了这些武器装备才能真正开始内网的安全战争。