前言
在某一天的深夜,作为安全从业人员,穿着大裤衩子,坐在门前,点燃一根烟(画面自己想象)开始思考企业如何打造自己的安全体系,虽然这不是作为月薪3k该考虑的问题,但是毕竟当初笔者的从业理想是想成为道哥一样的人,为安全行业贡献自己的一份力。于是写下自己的想法,对于中小企业我希望能够完善自己的安全体系,花最少的钱做好安全这件事;对于安全人员我希望大家多考虑企业面临的危险点,而不只是会开一个扫描器做一个定时任务、开一个dirsearch就睡觉的那种!
随着国家现在化、信息化的不断推进,同时5G时代的来临,很多企业开始慢慢数字化转型,我们感受到了信息化给我们带来的方便与快捷,不管是衣食住行都比较以前都有了青铜到黄金的提升,这点上笔者深有体会!那么在这个高速发展的信息化道路上,不容忽视的一个大问题就是安全问题!!!我相信很多人和笔者一样收到过一些某某贷、售房等推销的电话,那么我们就不得不质问一个问题了,在如今我们每天都在面对手机的时代,上个厕所都在刷抖音的时代,我们的个人信息怎么得到保障?谁来保障?国家是不是应该颁布安全行业规则?
对于企业面临的安全问题依然很严峻,尽管你的网站采用https,但是这也避免不了病毒带来的对业务的影响,对于国家也是提出了没有网络安全就没有国家安全,加大了企业安全问题的整顿,我们知道我们的等保1.0到2.0有了改变,变得比以前严了,增加了对物联网、云的等保工作,同时也加大了对一些不整改的企业的惩罚,同时不同行业也出台了适合自己的安全管理体系,笔者曾经阅读过《银行安全管理体系》确实不错,大家有时间可以看看。可以看出安全问题已经不是一个企业能避免的问题了。面对庞大的安全体系,笔者将尽可能给大家从不同维度描述、讲解。
面临的问题
- 架构:运维 业务 应用 内部
- 运维:服务器配置问题 未更新补丁 采用有漏洞的中间件及服务 弱口令等
- 业务:活动促销 账号体系 交易体系 风控体系等
- 应用:web漏洞 app漏洞
- 内部:安全意识不足 办公网补丁 wifi密码 钓鱼邮件
- 老板信息 政府领导人名单 学生学号 公司工号 等敏感信息
安全体系建立(防守)
这是一个本人规划的一个安全架构设计图(勿喷)献上这个的原因是我希望大家在看这篇文章有个参考,在架构设计的时候,安全部门就应该参与并融入一些安全观念,比如考虑后期的抗D方案架构设计。网站是否负载均衡分流,是否上CDN,在架构设计方面应该考虑分层思想、边界防御、纵深防御(主机安全比如ossec、应用安全比如waf、边界安全比如snort)等思想!网络方面我们应该考虑设备的冗余,交换机采用HA部署方式。网站结构方面是否采用站库分离、前后端分离。同时全层的架构设计也应该结合等保2.0来设计,这样也方便后期的等保过级。
假如以上就是一个公司的网络拓扑图,我们应该从哪些方面做好设计,下面将一一给大家分享下我个人的观点。我觉得企业应该从以下三个维度进行不断提升自己的安全防御能力。
1. 基础安全方面:对于基础安全我们可以从四个方面做。
(1) 数据安全体系:数据集中化、访问权限管理、数据防泄漏(DLP、USB控制)、敏感信息泄露(GIthub scan)、数据备份、数据安全审计、内部文件加水印等,做到数据的安全监控,从让攻击者进不来、拿不走、看不懂、能溯源方面制定不同安全策略。
(2) 安全技术体系:办公内网(网络隔离、补丁管理、文件共享管理、上网行为管理AC、多层防火墙部署方式以及ACL策略制定、终端防病毒软件防护、防病毒网关、防钓鱼邮件解决方案基于恶意链接和可执行程序特征、WIFI接入点以及强度覆盖安全)、服务器安全(堡垒机、主机漏扫、web漏扫、HIDS、ids基于全流量检测产品、高交互蜜罐、虚拟专用网、基线不同应用、系统标准制定、中间件安全加固、补丁升级测试主机、服务器定时备份、內部DNS建立、埋点目录监控、webshell监控体系建立)、身份认证、日志管理可视化分析展示、安全审计。
Hifish蜜罐:
Splunk日志可视化:
代码审计Fortify:
漏扫体系:
GitHub监控:
内部DNS:
Jumpserver:
主机Firewalld:
(3)安全管理体系:管理制度(针对不同部门制定不同安全制度)、施行责任制、合规、安全意识培训(很重要)、安全开发SDL( 在代码开发前进行全程跟踪,从开发前的不同部门个人的安全培训到上线前的静态审计、动态测试、黑盒测试、最后进行安全部署上线)、安全运营(资产巡检、安全产品日产运维、防泄漏监控githubScan、安全事件分析研判、0day规则制定)、第三方产品安全监控
(4)应急响应体系:不同安全事件响应、BCP团队建立、灾难恢复计划。
2. 安全体系:GDPR数据保护条例(数据客体义务)、ISO27000、等保
3. 业务安全:反诈骗监控方案(基于手机短信特征监控)、撸羊毛、批量注册
攻击方向分析
对于攻击方向,最常见的就是通过黑盒测试,因为最近几年HW越来越火,也成为了检验系统是否安全的一种评判标准,我这里大概说说攻击常用的渗透方式,同时作为一名公司的信息安全工程师也应该定期对各业务系统进行模拟hacker进行渗透测试。
- Web安全渗透:框架漏洞、中间件漏洞、文件上传、服务器端信息泄露、跨站xss、sql注入、web安全基础、劫持攻击、业务逻辑漏洞、代码执行、命令执行、文件包含、解析漏洞、系统服务组件漏洞。
- 后渗透:权限提升、权限维持、内网漫游、横向渗透、域渗透
- 代码审计:命令执行、url跳转、任意文件上传、目录穿越、Struts2框架漏洞、Spring框架漏洞、SQL注入、xss漏洞、java代码审计环境、软件安全开发、XXE漏洞、SSRF漏洞
总结
对于企业的防御离不开攻击方式的了解,只有掌握这些攻击方式和常见漏洞以及合规的管理方式,这样才能让我们企业的系统免受攻击的风险。安全从来都是一个红蓝对抗的事。