由于API接口、VPN、WiFi这些入口往往会被安全人员忽略,这往往是攻击队最喜欢突破口,一旦搞定则畅通无阻。安全人员一定要梳理Web服务的API隐藏接口、不用的VPN、WiFi账号等,便于重点防守。
二、 纵深防御:立体防渗透收缩战线工作完成后,针对实战攻击,防守队应对自身安全状态开展全面体检,此时可结合战争中的纵深防御理论来审视当前网络安全防护能力。从互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、供应链安全甚至物理层近源攻击的防护,都要考虑进去。通过层层防护,尽量拖慢攻击队扩大战果的时间,将损失降至最小。
1) 资产动态梳理
清晰地信息资产是防守工作的基石,对整个防守工作是否顺利开展起决定作用。防守队应该通过开展资产梳理工作,形成信息资产列表,至少包括单位环境中所有的业务系统、框架结构、IP地址(公网、内网)、数据库、应用组件、网路设备、安全设备、归属信息、业务系统接口调用信息等,结合收缩战线工作的成果,最终形成准确清晰地资产列表,并定期动态梳理,不断更新,确保资产信息的准确性,为正式防守工作奠定基础。
2) 互联网端防护
互联网作为防护单位最外部的接口,是重点防护区域。互联网端的防护工作可通过接入第三方云防护平台、部署网络安全防护设备和进行攻击检测两方面开展。需部署的网络安全防护设备包括:下一代防火墙、防病毒网关、全流量分析设备、防垃圾邮件网关、WAF、IPS等。攻击检测方面,如果有条件,可以事先对互联网系统进行一次完整的渗透测试,检测互联网系统安全状况,查找存在的漏洞。
3) 访问策略梳理
访问控制策略的严格与否,与防守工作至关重要。从实战经验来看,严格的访问控制策略,对攻击队都能产生极大地阻碍。防守队应通过访问控制策略梳理工作,重新厘清不同安全域的访问策略,包括互联网边界、业务系统(含主机)之间、办公环境、运维环境、集权系统的访问以及内部与外部单位对接访问、无线网络策略等访问控制措施。
防守队应按照“最小原则”,只给必须使用的用户开放访问权限。按此原则梳理访问控制策略,禁止私自开放服务或者内部全通情况出现。这样,无论是阻止攻击队撕破边界打点,还是增加进入内部后开展横向渗透的难度,都是非常简单有效的手段。通过严格的访问控制措施尽可能地为攻击队制造障碍。
4) 主机加固防护
当攻击队从突破点进入内网后,首先做的就是攻击同网段主机。主机防护强度直接决定了攻击队内网攻击成果的大小。防守队应从以下几个方面对主机进行防护:对主机进行漏洞扫描,基线加固;最小化软件安装,关闭不必要的服务;杜绝主机弱口令,结合堡垒机开启双因子认证登录;高危漏洞必须打补丁(包括装在系统上的软件高危漏洞);开启日志审计功能。部署主机防护软件对服务进程、重要文件等进行监控,条件允许的情况下,还可开启防护软件的“软蜜罐”功能,进行攻击行为诱捕。
5) 供应链安全
攻击队擅长对各行业中广泛使用的软件、框架或设备进行研究储备,发现其中的安全漏洞,在攻防对抗中进行有的放矢,突破防守队网络边界,甚至拿下目标系统权限。
政企机构在安全运营工作中,应重视与供应链厂商建立安全应对机制,要求供应链厂商建立起自身网络环境(如搭建带有客户业务的测试环境,还对互联网提供开放)、产品的安全保障机制(包括源码、管理工具、技术文档、漏洞补丁等方面的管理),一旦暴露出安全问题,应及时给政企机构提供修复方案或处置措施。
同时,供应链厂商也应建立内部情报渠道,提高产品的安全性,为政企机构提供更可靠,更安全的产品和服务。
三、 守护核心:找到关键点正式防守工作中,根据系统的重要性划分出防守工作重点,找到关键点,集中力量进行防守。根据实战攻防经验,核心关键点一般包括:靶标系统、集权类系统、具有重要数据的业务系统等,在防守前应针对这些重点系统再次进行梳理和整改,梳理的越细越好。必要情况下对这些系统进行单独的评估,充分检验重点核心系统的安全性。同时在正式防守工作,对重点系统的流量、日志进行实时监控和分析。
1) 靶标系统