我所认知的甲方信息安全建设经验
推开门 烟火中的红尘 宣纸上 是故事里的人
毕业至今,从最初在乙方安全厂商做安全服务,辗转到互联网公司做安全研发,现今在金融国企做安全建设工作。几年信息安全职业生涯,我经历了从乙方到甲方的角色转换,经历了从互联网到国企的转变。兜兜转转的几年时间里,随着日常工作内容的改变,我对信息安全的认知也发生了一些变化。本篇我将记录总结一些甲方信息安全建设方面的经验,仅代表此时此刻我对于信息安全建设的一些认知(说明:甲方信息安全建设涉及内容太宽泛,本篇大致列举一些信息安全建设方面的措施,具体细节之后会单独记录成文)
网络系统安全建设
安全域划分
内部网络系统:主要指OA办公网内部、生产网内部、测试开发网内部、以及其他内部网络系统。
外部网络系统:主要指OA办公网互联网边界、生产网互联网边界、测试开发网互联网边界、互联网上相关所属的网络系统(不限于:公有云、Github、云存储等)。
安全域风险等级
外部网络系统>生产网内部网络系统>测试开发网内部网络系统>办公网内部网络系统>其他网络系统
安全域风险对象
外部系统:外部攻击者(黑客、白帽子)
内部系统:内部违规操作员工、已渗透到内网系统的外部攻击者
安全建设方案
由于不同安全域的风险等级、风险对象有所区别,因此我个人认为不同安全域的安全建设方案也该因地制宜。以下文章篇幅,我将根据不同安全域通过事前、事中、事后三个方面记录信息安全建设思路。
办公网-网络安全建设
WIFI安全
事前安全措施:1、建立双因素认证(通过个人账户密码+短信、动态密码);2、建立设备安全认证(限定特定的设备才能连接)
事中安全措施:1、建议WIFI账号爆破监控;2、WIFI账号爆破封禁策略运营
VPN安全
事前安全措施:1、远程接入公司内部网络进行双因素认证(个人账户密码+短信、动态密码);2、硬件指纹获取识别
事中安全措施:1、VPN异地登录;2、异常登录监控;3、VPN爆破监控以及封禁策略
事后安全措施:1、联系VPN账号所属者确定攻击行为
日志流量采集检测
事前安全措施:1、办公网网络流量(到边界、到IDC);2、日志采集检测
事中安全措施:1、员工异常行为监控(比如上传内部数据到网盘等);2、攻击监控
事后安全措施:1、对涉事员工进行相应处罚
Router统一管理
事前安全措施:1、即统一管理内部网络映射到外网需求(可利用nginx反向代理),减少系统暴露风险
事中安全措施:1、外网端口扫描监控
终端网络准入
事前安全措施:1、办公终端(PC)需要安装准入程序,才允许上内部网络
事中安全措施:1、终端异常行为监控
事后安全措施:1、对涉事员工进行相应处罚
安全域之间网络隔离
例如:办公网与生产网之间只能通过堡垒机登录,且只有特定端口才能通信等策略(根据实际情况配置)
办公网-系统安全建设
办公网服务器安全
事前安全措施:1、服务器基线检查;2、补丁检查;3、端口服务监控;4、服务器登录统一管理
事中安全措施:1、服务器进程监控;2、敏感账户登录监控;3、敏感命令执行监控;4、文件上传下载等(依赖主机安全产品,服务器上安装Agent)
事后安全措施:1、服务器木马;2、后门查杀;3、服务器安全加固(服务器应急响应)
办公网终端PC安全
事前安全措施:1、防病毒;2、DLP;3、水印;4、行为监控
事中安全措施:1、DLP数据监控;2、水印监控
办公网-应用安全建设
SSO统一登录入口
事前安全措施:1、内部所有的办公系统使用一套SSO认证系统,可有效管理员工账户密码,预防弱口令等风险
事中安全措施:1、异常登录监控;2、弱口令监控
事后安全措施:1、强制修改用户账号密码;2、加固SSO
网站水印技术
事前安全措施:1、对有重要敏感数据的网站加上水印,防止数据被截图泄露等风险
事中安全措施:1、水印攻防监控
事后安全措施:1、对涉事员工进行相应处罚
邮箱安全
事前安全措施:1、邮箱访问安全加固方案,用来解决邮箱接口被爆破风险;2、附件安全扫描;3、异地登录报警;4、弱口令扫描
事中安全措施:1、邮件爆破监控;2、账户或者IP封禁;3、异地登录监控
事后安全措施:1、若爆破成功,则强制修改相关员工密码,且排查安全风险
WAF
事前安全措施:1、应用服务器上部署WAF,拦截web攻击
事中安全措施:2、WAF上进行攻击监测
事后安全措施:3、更新优化WAF拦截策略
办公网-员工安全
在职员工安全教育
事前安全措施:1、定期对所有员工进行安全培训;2、对新员工进行入职安全培训;3、定期开展内部钓鱼测试;
4、针对RD可培训WEB安全开发;5、针对OP可培训安全运维。
事中安全措施:1、对员工行为进行监控(可通过前面介绍的几种方案);2、对钓鱼邮件进行告警
事后安全措施:1、对涉事员工进行相应处罚;2、钓鱼邮件影响评估
离职员工安全审计
1、离职行为审计;2、办公电脑审计;3、人员离职账户注销
办公网-外包安全管理
暂无涉猎
办公网-安全合规
1、ISO27001;2、等保2.0
生产网-系统安全建设
-
主机安全:1、内部资产发现;2、webshell监控;3、反弹shell监控等日常运营工作
-
日志分析监控:1、可以偏业务一些,比如接口防刷监控运维;2、也可以偏系统一些,攻击行为的监控运维
-
网络抗DDOS、应用抗CC:主要靠部署一些流量清洗产品
-
入侵检测、防御:IDS、IPS(对于告警记录的运维工作)
-
堡垒机:服务器统一登录管理,秘钥管理,访问控制策略运维工作
-
Router层统一映射管理:互联网端口、IP映射管理,结合cmdb平台运维工作
-
WAF:部署waf产品,拦截WEB攻击,告警记录运营工作
-
端口开放策略(ACL)
-
IPTABLES
-
态势感知(SOC平台):流量监控平台,通过监控不同方向的流量,发现攻击行为
-
蜜罐(欺骗防御):通过在内、外部部署蜜罐产品,发现攻击行为
-
邮件沙箱、网关:针对邮件钓鱼、恶意附件的检测
-
威胁情报:往往跟态势感知相结合
除了系统层面的安全建设,生产网更多的是跟运维相关的一些安全内容(比如安全基线等),也包含项目上线的一些安全流程规范管理。
外网边界安全建设
-
资产收集:IP、域名、URL、数据接口、端口服务监控,梳理统计内外网端口映射关系、业务线负责人等信息,盘点边界资产。
-
黑盒漏洞扫描:WEB漏洞扫描、主机漏洞扫描(可采购也可自研,定期巡检)
-
业务逻辑漏洞扫描:通过流量、日志被动式检测简单的业务逻辑漏洞
-
GITHUB监控:自动化监控github泄露的公司相关代码、服务器个人相关信息等
-
SRC上报漏洞响应:建设SRC平台,收集白帽子提交的安全漏洞
-
最新漏洞、0day响应:0day、1day漏洞的研究、应急团队,推动漏洞修复
-
威胁情报
-
渗透测试:定期开展从互联网边界实施的渗透测试工作,寻找安全漏洞
外网边界的安全建设工作,大致分为三个步骤:资产盘点、漏洞扫描、漏洞推修(定期重复),0day漏洞应急另算。
产品安全建设
-
第一道防线:产品安全设计(早期可通过安全编码、意识培训使RD、PM具备信息安全意识)
-
第二道防线:需求评审、架构评审、代码审计、白盒扫描(通过建立需求安全评审等机制,严格控制新项目上线流程)
-
第三道防线:黑盒扫描、灰盒扫描(项目上线后可定期开展黑盒扫描)
-
第四道防线:SRC、企业蓝军(通过SRC、蓝军渗透发现的漏洞进行补充)
在整个产品安全建设过程中,企业可自研沉淀”产品安全开发库”、”SDL流程平台”以及制定”产品安全相关流程制度”。
企业红蓝对抗
企业红军:负责企业安全建设、安全监控、安全加固
企业蓝军:负责攻击安全堡垒、找出安全薄弱点
网络安全红军的工作包含了以上所有的安全建设工作,而网络安全蓝军的工作是一个全新的视角,包含不限于:
-
内部钓鱼攻击
-
外部漏洞攻击
-
APT攻击
-
内部爆破攻击
-
员工信息收集
……
企业在蓝军团队建设过程中,可自研沉淀:漏洞扫描器、社工库、漏洞库等
私有云安全
有些企业内部会建设私有云,关于私有云安全我接触不多,大致列一下所涉猎的内容:
-
网络安全:租户间的虚拟网络隔离、虚拟机与宿主机间的访问策略、同租户不同虚机间的访问策略等
-
数据安全:数据的备份加密、数据接口防重放、数据分级分类等
-
主机安全:防逃逸、内存溢出、入侵检测等
-
安全合规:等保2.0云安全相关章节
安全组织架构
小规模
若公司规模小,个人认为可按事前、事中、事后划分信息安全组织架构(仅供参考)
-
系统安全
事前团队:负责内外网安全建设
事中团队:负责入侵监控、异常监控
事后团队:负责应急响应、事后处罚整改 -
产品安全:SDL
-
安全合规
-
业务安全
大规模
若公司规模大,可按安全区域划分组织架构(仅供参考)
-
系统安全:
办公网团队:负责办公网安全建设、安全监控、应急响应(内部可再按照前、中、后细分,再细分,可分WEB、移动、硬件等)
生产网团队:负责生产网安全建设、安全监控、应急响应
外网边界团队:负责边界安全建设、安全监控、应急响应 -
产品安全:SDL
-
安全合规
-
蓝军团队:如果规模小可不用设置蓝军团队。蓝军团队是脱离安全区域之外的,但属于事前。
-
业务安全
-
云安全
总结说明:本篇内容用于记录我认知中,甲方信息安全建设可以涉及的一些措施或者说抓手。我认为信息安全建设就像建造一幢房子,目前我列出尚属于整体外部框架部分,具体细节需后续工作中不断实践、总结后补充沉淀