前言
近几年,安全攻防/红蓝对抗场景越来越多,如何做好内部的安全运营是每个企业或者机构面临的问题。本篇博客将从本人项目经验出发,介绍安全运营及个人的几点思考。
正文
1.安全运营概述
安全运营问题对于每个大型企业都是无法回避的问题,在业务不断拓展,资产量以指数级增长的情况下,安全风险点以及风险暴露面也将随之持续扩大。提前进行安全运营的规划,就是未雨绸缪。每个企业内部情况都有差异,本篇博客将以金融行业为例,介绍安全运营。安全运营的内容较多,涉及安全服务以及安全设备,有外包需求的还需要考虑外包业务中的安全风险。安全运营作为一个大的命题,仅仅通过一两篇博文难以覆盖全面。在红蓝对抗背景下,从实战对抗的角度看到安全运营,是一个好的切入点。
2.红蓝对抗概述
此概念最早出现在军事演习中,红方担任攻击方,蓝方担任防守方,以对抗实战的形式促进军事实力的进步。同样的国内安全领域近几年也开始布局红蓝对抗行动,伴随着HW行动的全面推动,红蓝对抗已经开始成为安全行业的一大趋势。在这样的背景下,安全运营的建设更像是大考前的备考,是否能够考核通过,成绩是否可观,也是企业高层必须开始关注的重点。
3.安全运营内容
前面说到的,安全运营涉及安全服务、安全设备、外包管理等方面,涵盖面广,内容繁多。鉴于此,后面内容将以攻防角度切入,阐述安全运营的必要性以及成果。
3.1互联网安全边界防护
从渗透测试角度,互联网边界将是最主要的突破口,寻找互联网边界的安全漏洞同样也是攻击者最先考虑的问题,那么在安全运营中,互联网边界的防护也是重中之重,就好比战役中的正面战场,需要预先投入较多资源。除了周期性的安全渗透测试评估(主要针对新上线的系统或业务)以外,安全设备的引入也尤为关键。
从安全设备角度,目前常规防火墙、WAF设备(WEB应用防火墙)、IPS设备(入侵防御设备)仍是主力,策略调优的WAF设备可以阻挡较多的恶意攻击以及扫描行为,从而为后端的流量分析减轻较大的压力。
3.2 内部资产管理
清晰的内部资产管理一定程度上决定了防守的成功与否,在摸清自身资产的情况下,才能够在风险出现时,及时有效的处置。所以这部分工作要做在前头。从新业务上线/老旧系统下线,都要有记录,资产清单需要随着业务增减动态变化。但实际的企业内部,资产梳理会遇到很大阻力,一是僵尸资产过多,无人认领;二是资产梳理需要大量的精力,业务为先的情况下很难推动。那么退而求其次,在资产梳理阻力较大的情况下,我们可以先从互联网业务区的资产梳理开始,逐渐过渡到办公区、测试区等等。
3.3 内网安全管理
很多企业目前仍存在一个误区,内网和外网相比,安全风险较低。实则不然,内网混乱,结构不清,一旦攻击者突破边界,将会导致内网资产大量失陷,而混乱的内网环境将会为应急溯源造成极大的阻碍。所以内网安全不容忽视,从内网建设初期就要做好规划,包括VLAN划分、防火墙的部署,区域的隔离,安全设备的部署等事项。
在内网网络架构较清晰的情况下,要引入防护类、监控类安全设备,比如IPS/IDS 设备以及流量监测设备,对内网中可疑流量进行及时发现,从实际的落地来看,内网中引入旁路监控类设备效果刚好,部署也比较容易。
3.4 漏洞管理
漏洞管理是企业内部逃不开的一个问题,扫描漏洞可以在短时间内完成,但是漏洞管理可以说是一个巨大、繁杂、需要持续进行的一个工作。目前很多企业仍停留在表单跟踪的程度,漏洞管理平台的缺失导致漏洞跟进存在较大的难度。所以在初期安全建设中,安全漏洞管理需要提前布局,统一化管理。那么在后续的漏洞修复中就可以游刃有余。
漏洞扫描后的数据量较大,那么在实际的场景下可以采用漏洞优先级与业务优先级同步考量的策略,以解决漏洞问题。
一级漏洞分级标准:
高危漏洞中远程命令执行,远程命令注入、权限提升类型漏洞、未授权漏洞、命令溢出
二级漏洞分级标准:
高危漏洞中的拒绝服务攻击漏洞,以及其他所有的中危漏洞
除此之外,漏洞的区域可以按照 DMZ区-核心业务区-普通业务区-网管区-办公区-测试网,的优先级,逐步推进漏洞修复。
漏洞修复问题不可能一蹴而就,想在短期内解决大量漏洞问题几乎不可能。在业务与安全不能并重的情况下,修复等级和修复区域的选择会是一个不错的解决思路。此外进行端口更改/网络防火墙端口封禁等方法进行风险缓解,也是一个可以参考的思路。
3.5 邮件/通讯工具 安全
3.6 内部安全意识
3.7 外包管理
……持续更新
详见【企业安全运营】安全攻防背景下如何做好安全运营(二)