重保专题|6招带你轻松扫除重保期间互联网资产安全风险

阅读量18402

发布时间 : 2022-11-17 16:27:40

国庆假期来临、第二十次全国代表大会举办……今年的金秋十月在大家的期待中即将到来。然而,此类重要国家会议活动、节假日对于政府单位、国企、重点高校而言,却是需要异常警惕的时期。

因为这些组织单位自身的公信力以及较高的社会影响力决定了其成为黑产组织们的下手对象。并且,由于社会影响面大、监管部门要求等因素,这些组织单位对重要时期安全事件的容忍度更低,安全部门的24H值守也成为了必备手段。

尽管如此,网络安全攻击引起的事故仍频频发生。深究其原因,组织单位在风险管控的流程、能力上仍存在差距:

值守人员有限,安全告警数量过多,无法及时分析出有效攻击。
面对突然披露的0Day漏洞,不知道该如何快速排查、遏制影响面。
攻击一旦突破边界,无法立即实行有效措施阻止内网横向扩散,等等。

因此,如何针对以上难点展开有效防护,关系到这些组织单位、部门等用户在重要时期的整体安全。实际上,针对互联网资产的重保服务方案应立足于“事前”、“事中”、“事后”三个维度进行全生命周期互联网业务安全治理。

图1

一、重保不同阶段的互联网资产治理重点

1、重保前
(1) “关门收口”:针对暴露在互联网的资产进行全面清查梳理与暴露面收敛工作。
(2) 风险评估:通过自查、扫描等手段对各类资产进行风险评估,发现网络中存在的风险和隐患,并根据结果提供可操作的整改建议。
(3) 安全加固:利用专业的主机安全加固与检测响应工具、安全加固措施,防止黑客“埋雷”,并对整改后的风险点进行复检。
(4) 安全动员:设计攻防演练方案,组织重保前攻防演练并总结复盘,进一步减少安全隐患。同时通过安全意识培训使组织单位人员均能全面了解信息系统的安全事项,促进安全人员增强信息安全的相关技能,确保整个信息系统安全可靠地运行。
(5) 钓鱼防御:制定反钓鱼处置政策、快速响应预案,测试与培训员工发现网络钓鱼电子邮件的能力。

2、重保中
(1) 保障团队:成立信息安全处理小组,重保期间7*24小时安全监控与值守,每日分析当天web全流量、各类告警、安全设备等日志,针对网站可用性、暗链、挂马及其他安全事件进行分析和处置。
(2) 工作流程:确定重保期间工作流程,能够在第一时间对发生的重大外部安保事件、高危漏洞威胁等通报预警,及时采取相应处置措施,由专家级入侵取证人员分析入侵路径和手段,溯源取证。
(3) 攻防对抗:具备攻防数据可视化能力,能够提供多维画像供研判分析攻击,联动多种安全设备快速处置攻击行为,及时掌握全局攻击对抗的趋势,实时针对可疑的攻击及时调整策略。
(4) 应急响应:完善应急响应流程,按照事件发生的时间,首次发现的主要部位情况,通过大量日志化信息的关联分析,进行快速响应与审计溯源,并形成证据链及时上报。
(5) 溯源分析:通过对受害资产的日志及流量进行分析,还原攻击者的攻击路径与攻击手法,及时修复漏洞与风险,避免二次安全事件的发生。

3、重保后
(1) 回顾目标:明确在重保前的既定目标,设定整体的复盘基调。
(2) 评估结果:将重保前的既定目标作为参照物进行对比,通过对比,找到目标和实际结果的差距。
(3) 分析原因:根据上述评估结果,对重保期间防护成效进行深入分析,检查已有的现状及风险,找到原因和问题。
(4) 总结成果:对真实情况进行总结,对内部存在的防护薄弱点进行思考,对攻击事件进行汇总梳理,对存在安全缺陷进行整改跟进,缩小业务受攻击面,提升业务安全防护能力。

二、安全狗互联网资产全生命周期防护

面对政府单位、国企、重点高校在重保期间对互联网资产的安全防护难点与需求,安全狗的重保服务方案可通过在重保前、重保中、重保后等阶段有针对性地解决问题,让用户单位免受黑产组织安全威胁与侵扰!

在重保前期,各单位部门需要做的是围绕资产梳理、风险评估、安全加固、安全动员、钓鱼防御等主要内容展开备战。

01关门收口

资产梳理


图2

针对暴露在互联网的资产进行全面清查梳理工作,关闭检测到所有直接暴露在互联网的端口、域名、服务等;明确网站与系统的主管单位和具体责任人,形成详细清单和台账。

远程办公安全接入——隐藏端口、服务、IP

图3

基于云实现的应用隐身,可实现企业网络的完全隐身(不暴露IP及端口)。
基于SDP的隐身,通过SPA协议(在初次建立连接时,要求协商的第一个包必须为SPA报文,且该报文中会携带私有凭证)隐藏网络端口与服务,让业务服务器只对授权的SDP终端可见。

02风险评估

图4

漏洞扫描:通过多种专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估,并提供可操作的安全建议。

配置核查:针对行业特点和安全基线规范基准的脚本,通过对数据库、中间件和应用的配置等进行细粒度的安全符合性检查,找出不符合的项并实施安全措施来控制安全风险。

弱口令扫描:通过专用工具对指定的主机、应用、服务等进行弱口令扫描并提供可操作的弱口令修复建议。

入侵痕迹检查:针对隐藏创建账号、未知网络连接、webshell、僵木蠕等可疑入侵痕迹提前进行排查。

安全机制校验:针对现有安全体系的安全监控、安全防护、安全策略、网络策略进行查漏补缺并提供可操作的安全建议,安全策略必须遵循最小开放、全面覆盖原则。

敏感信息检查:对组织单位全局进行敏感信息检查,包括敏感文件分布情况、敏感文件流转记录并提供存储与备份建议。

渗透测试:模拟黑客的思维和方法发现业务系统漏洞及安全隐患,全面验证脆弱点,明确测试对象的安全隐患,并能够检视安全加固后的安全防御能力,最大限度削减脆弱性,主要渗透对象包括了互联网应用系统、互联网可达设备或主机。

图5

03安全加固

图6

主机安全加固:基于文件自主访问控制,对服务器上的敏感数据设置访问权限;实现文件强制访问控制,提供操作系统访问控制权限以外的高强度的强制访问控制机制,杜绝重要数据被非法篡改、删除等情况的发生,确保服务器重要数据完整性不被破坏。

应用系统安全加固:对应用系统身份鉴别风险验证,查看传输体中的用户信息和密码信息是否有使用强加密方式进行传输,是否有对不同登录用户进行身份识别并采取相应措施保证应用系统中不存在重复的用户身份标识,身份鉴别信息不易被冒用;同时对系统用户的每一次登录和其对系统重要模块的操作均记录日志,通过日志安全分析操作行为,发现安全问题。

互联网资产加固:从代码层修复漏扫及渗透发现的问题,对于无法从代码层修复的系统直接关闭系统或关闭映射,若实在无法关闭应将其与其它系统单独隔离出来;所有对外业务使其经过安全防护设备(防火墙、WAF、入侵检测、防毒墙等);对于公有云上资产设置安全组,接入云安全防护(如云防火墙)、软件安全防护软件等。

除此之外,协助组织单位构建重保期间安全纵深防御能力增强体系:

图7

重要“服务器”安全纵深加强:

主机入侵监测及安全管理系统:通过在主机上安全软探针对服务器实时进行入侵检测及防护。

自适应微隔离系统:通过微隔离技术,识别业务流量对服务器东西向流量进行管控。

主机漏洞补丁管理系统:通过OVAL、NASL技术识别漏洞风险对服务器进行有效的补丁管理识别及修复。

容器安全系统:通过部署防护容器对容器全生命周期进行安全保护。

应用安全纵深加强:

主机应用防火墙:通过核心rasp技术及部署软探针对主机应用服务器提供有效的web应用防护。

网站防篡改系统:通过第二代水印技术 + 第三代文件保护技术网站进行双重防护,实时发现网页被篡改风险。

威胁检测与溯源反制纵深加强:

网络流量分析系统:通过部署硬件网关设备实时分析网络全流量,发现网络层面安全风险。

欺骗防御系统:通过欺骗技术设置陷阱协助主动发现攻击行为并进行精准溯源。

综合安全分析预警平台:通过大数据分析技术结合众多数据来源,提前预警发现安全风险。

04安全动员
在完成暴露面风险缩减、风险评估、安全加固工作并对发现的风险点进行修补之后,邀请多支经验丰富的红队人员一同参与红蓝攻防演练,模拟高度仿真的网络攻击行为,检测企业内部安全部门的安全事件应急能力。

本阶段的攻防演练突破传统渗透测试的限制,在攻击设备及流量全面审计的前提下,不限攻击路径,不限攻击手段(加入社工钓鱼,近源攻击等手段),进行高仿真模拟演练。

红队人员进行全范围、多层次、多重混合的模拟攻击,以攻击者的角度出发,采用攻击者的思维方式对企业真实线上环境进行攻击测试,并尝试发现不同角度存在的安全漏洞和防护体系缺陷。

企业安全部门的人员与系统运维人员开启主动防御与检测手段,检验企业整体网络“从外到内”、“从内到内”、“从内到外”的安全检测与应急能力。


图8

从外到内:用搜集到的企业资产信息,针对性的对企业外部的Web及其他开放应用服务、网络设备、防火墙规则等的安全性测试,一旦外部资产存在高危风险缺陷,则可直接从外部攻击企业内部的应用服务器然后获取内部重要数据。利用社会工程学和无线安全测试对企业内部人员和企业无线设备进行安全测试获取企业内部敏感数据。

从内到内:在内部网络对主机、应用系统、网络设备等进行横向的攻击测试,找出内网存在的安全风险。

从内到外:在内部网络对主机、应用系统、网络设备等进行控制,尝试反弹shell权限、收集大量重要情报信息等传输到外部网络。

总结与整改:及时修复、验证演练过程中发现的风险点,举一反三进行内部其他资产自我排查,避免相同风险点重复出现;向全体员工开展网络安全意识培训,就本次演练暴露的问题与日常办公实际相结合;针对演练全流程所暴露的问题,及时制定、完善企业内部的信息安全信管理条令条例。

05钓鱼防御

制定反钓鱼处置政策:涵盖有关网络钓鱼、常见社会工程诈骗和相关安全意识主题,包括用户不得安装未经授权的软件;在点击之前总是分析网址;永远不要回复可疑的电子邮件或文本,并始终报告任何看起来可疑的电子邮件或交互;应与请求者口头确认超过特定额度的电汇,以防止商业电子邮件攻击或电汇欺诈等内容。

培训和测试员工发现网络钓鱼电子邮件的能力:针对最有可能面对的网络钓鱼活动对特定业务部门进行培训和测试。例如,开发人员可能会看到以云计算厂商为主题的活动,而招聘人员可能会看到以简历为主题的网络钓鱼诱饵。

协助设置举报机制:鼓励用户举报钓鱼邮件,让每个员工都保持警觉,能够第一时间发现钓鱼攻击。

监控暗网:持续监控暗网中的公司名称和公司电子邮件地址,可以在犯罪分子侦察阶段及时发现企业是否即将成为网络钓鱼活动的目标。

制定网络钓鱼事件的响应预案:制定预案响应网络钓鱼攻击事件并做处置,同时对网络钓鱼事件的响应进行桌面演练。

06服务内容说明

重保竭诚服务

自2013年成立以来,安全狗连续多年担任CNCERT、CNVD、CNNVD、等国家级安全部门的技术支撑单位,曾在十九大、杭州G20、厦门金砖会晤、青岛上合峰会、数字中国建设峰会等多场高级别活动承担网络安保工作,零失误完成任务。

面对即将到来的国庆、二十大重保敏感时期,安全狗可持续为用户单位提供重保支撑服务,通过提供覆盖互联网资产全生命周期安全的服务,以防攻击、防破坏、防泄密、防重大故障为重点,构建多层次多方面的安全防护体系,助您在重要敏感时期零安全事件!

如果您有任何的安全问题或重保服务需求,欢迎致电18750226470,安全狗实战经验丰富的安全专家们将以专业的技术、强大的解决方案、全面的重保服务为您的网络安全重保持续护航。

本文由安全狗safedog原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/280641

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全狗safedog
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66