前言:
高效读书,一张逻辑图读懂、读薄书中重点。
注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。
办公网络安全逻辑思维图
1. 说明
1.1. 办公网络的安全是乙方安全公司提供解决方案最多的场景
1.1.1. 原因
主要因为现在社会工程学、定向攻击、APT、钓鱼、水坑攻击,专打管理员的渗透越来越多,所以生产网络做到固若金汤也无用,攻击者绕背后转跳办公网络进攻也是一个很大的问题
另一方面服务器网络大多是来自客户-服务端相对固化的交互模型,用严格的ACL就能控制绝大多数行为,但是办公网络却不一样,大量的客户端行为,人的鼠标点击,运行各种程序,访问各种URL都无法预测,所以办公网络的解决方案完全不同于生产网络,基 本可以当作两件事情来对待
2. 文化问题
2.1. 传统行业
2.1.1. 传统行业为了防止PT或APT,防止信息泄露,防止内部舞弊(俗称“内鬼”), 可以用比较严苛的“控制型”管理手段
2.2. 互联网行业
2.2.1. 互联网行业,互联网精神的本质就是开放和共享
2.3. 这种文化差异,导致乙方安全公司针对办公网络的解决方案在互联网公司不大好推行
3. 安全域划分
3.1. 目的
3.1.1. 为了隔离威胁
3.1.2. 为了把安全域作为实施安全策略的最小分组单元,以便于对不同的单元附加不同的策略
3.2. 图12-1所示的安全域划分方式是对大型的组织而言,中小型企业不需要如此麻烦
3.2.1. 办公网络的服务器和用户桌面环境必须划分独立安全域,即便是中小企业这个需求也算是最基本的
3.3. 不同维度安全域的划分
3.3.1. 服务器域
涉及内部经营信息泄露的办公类服务器,如邮件、人力资源系统、财务类系统
涉及研发体系持续集成和代码托管等代码资产的
涉及运维类资产管理的,攻击者可以轻易获取所有服务器列表甚至SSH口令的
安全优先级不算太高的测试类、杂项资源
3.3.2. 从策略维度看桌面域内部用户时
运维、开发等技术职能属于重度PC用户,对网络、主机性能等要求最髙,如果对他们实施过于严格的安全策略,一定会受到强烈的抵抗,而且大多是正常业务需求, 你没法压制这些需求
在典型的技术重度用户中,研发属于比较特殊的一类,既需要灵活,又需要防止源代码泄露,需要单独画一个圈,把他们放进去
市场运营这些属于中度PC用户,PC是他们的办公工具,以文档、网页、视频、体验竞品之类的为主,对用户体验有一定的要求,但不会像运维开发那样对系统限制百般挑剔,能够适应一定的限制性安全策略而不会产生很大的阻力
客服、线下推广等职能,属于轻度PC用户,尽管网游类的客服可能整天挂机泡在游戏中,但在安全的视角上仍归属于轻度用户,他们的办公需求比较单一,大多数只需要用一些邮件和类似CRM的系统,不需要太多主观上的安装新软件和对系统变更之类的交互,甚至对性能要求不高,在管理上可以实施较严格的安全策略
4. 终端管理
4.1. 介绍
4.1.1. 终端管理是办公安全中最大的一环,安全公司集中了大量的优势兵力在这个方面,推出了不少商业产品
4.1.2. 对于绝大多数企业而言,在这个方面不会跟生产网络一样涉及“自研”这个话题,基本上都是围绕商业产品展开,当然也有极少数例外
4.2. 补丁管理
4.2.1. 大多数办公桌面都是以微软的Windows操作系统为主,所以补丁管理多数依靠几个方面
微软自身解决方案中的SCCM ( WSUS/SMS替代品,支持Linux和OSX),如图 12-2所示
利用第三方终端管理软件中附带的补丁推送功能
4.3. 组测离(GPO)
4.3.1. 组策略的作用主要在于实施一些“基本的”安全策略。例如允许客户端运行软件的黑白名单、系统配置选项、USB权限管理等
4.4. 终端HIPS(AV)
4.4.1. 市场上主要产品
360自产PC端安全卫士、360杀毒,腾讯自产PC管家,百度自产百度杀毒产品
卡巴、诺顿、趋势这些都是现成的产品,基本也不定制
4.4.2. 甲方唯一要做的就是选型,然后买
4.5. 网络准入NAC
4.5.1. 目前主流的网络准入主要有两种方式:802.1x和基于终端管理软件的C/S模式认证
5. 安全网关
5.1. NGFW/FW
5.1.1. 下一代防火墙如果是类似UTM的大杂烩,对中小企业可能有用,但在APT兴起的年代,对办公网络内的比较隐秘的攻击可能都没大用
5.1.2. 如果用NGFW的设计与实现上采用了联合威胁情报的大数据做判断的方法,例如IP地址URL灰名单库,相对来说会有更积极的意义
5.2. UTM/反病毒网关/NIPS/反垃圾邮件
5.2.1. 基于应用层协议扫描和查杀,网关设备为7层协议提供实时扫描和防护的功能因为涉及性能问题在生产网络的应用面都比较窄,但在办公网络还是有比较大的销售价值
5.3. 堡垒机
5.3.1. 堡垒机虽然部署在办公网络的网关处,但主要为生产网络的远程接入提供行为审计
5.4. 行为审计
5.4.1. 行为审计主要是对员工上网行为做审计,有些设备对明文协议甚至是可破解的加密协议提供了截取和存储的功能
5.4.2. 目的
一方面给公安部门要求的反动政治言论提供治理的证据
另一方面也给喜欢监控员工行为、控制欲极强的老板们提供了便利的渠道。当然对于抓内鬼, 商业间谍等也有一些作用
5.5. 其他
5.5.1. 其他的产品(例如DLP、抗APT、大数据探针)可能都会涉及网关设备,但是对一个企业而言,一个出口要堆叠N层设备(包含旁路)显然是不合理,具体取舍就看使用的场景和对安全的理解了
6. 研发管理
6.1. 传统行业不一定有这个环节,对于互联网行业而言研发运维皆属标配职能。对研发的管理是挑战比较大的工作,因为它既需要保证便利和用户体验,又有比较强的安全需求, 两者一定程度上是矛盾的
6.2. 常用方法
6.2.1. 防泄密
研发体系往往涉及知识产权和机密数据,尽管不是所有的源代码泄露都会造成经营危机
从安全的角度讲所有类型产品的源代码泄露都会加速漏洞挖掘的过程
一般情况下会给研发配两台PC, 一台能畅游互联网随心所欲,另一台则用于coding不能访问互联网,个别需要复制粘贴的资源通过服务器的共享文件夹来中转,或者使用其他 方式实现双机剪切板共享
在物理安全上,硅胶封USB实际上不是太管用,那玩意儿容易掉,最好的方法还是机箱上锁,组策略中禁用USB的数据传输功能,保留鼠标、画图板和充电的功能
6.2.2. 源代码管理
原则上源代码管理一定是在公司层面有统一的持续集成和代码托管平台,最新的源代码至少在公司的平台上有一份完整的拷贝,同时由IT部门做好复制和灾备的工作
具体在权限上应该如何划分,实际上是一个文化的问题,而不是一个技术问题
遇到有的人喜欢擅自把源代码同步到GitHub这种地方去的、最怕是把密钥也同步出去,安全部门就要考虑写个爬虫去GitHub抓一下关键字
7. 远程访问
7.1. 远程访问(例如VPN等)最大的问题是暴力破解
7.2. 不同公司的做法
7.2.1. 对于较大企业
一般都会选择双因素认证
7.2.2. 对于雇员不多的中小企业
如果没有太多远程访问的需求,管理员自己觉得可控性比较强,以省钱为初衷可以选择只使用传统的口令验证的方式,前提是口令长度足够,复杂度也足够,或者开启账号锁定策略,并定期审计登录日志中的异常行为
8. 虚拟化桌面
8.1. Citrix是虚拟化桌面的领导厂商
8.2. 优势
8.2.1. 通过严格的统一安全策略可以使终端用户“能做的事情”和攻击面大幅减小
8.2.2. 原来要在每台服务器上安装杀毒软件,现在不用那么麻烦了,所有的入侵检测针对“服务器”做就可以
8.2.3. 审计比原来更容易做,因为“都集中在一起了嘛”,也能做到像堡垒主机一样全程录屏
8.3. 缺点
8.3.1. 虚拟化桌面并不能完全代替PC,你让运维和研发,或者天天挂在游戏产品里的PM去用这玩意儿,估计要造反了
8.4. 互联网公司适合的使用场景
8.4.1. 比如之前提到的轻度PC用户,这类用户主要以网页浏览、文字编辑、收发邮件、语音和IM通讯为主,对这类需求而言,虚拟化桌面足够了
9. APT
9.1. APT这个词在安全行业很流行,但是对甲方来说意义并不是那么大,因为绝大多数企业都不太可能去开发抗APT产品
9.2. 没有实力构建强有力的安全团队,一方面代表钱包不足,一般也不会吸引到APT;另 一方面假如真有问题,各种技术手段往往还不如熟人通过黑产和道上朋友告知被入侵的“威胁情报”更现实一点
9.3. 可以做的事情
9.3.1. 如果基本的安全体系尚不完备,处于救火阶段或者安全体系化建设捉襟见肘,APT 可以先放一边不管。如果自身缺乏攻防研究能力,但是有钱有预算,可以选择APT 产品和专家外包服务,乙方是否尽心尽力这个无从评价,只能说理论上有这个渠道
9.3.2. 如果是有攻防型的安全团队,有一点余力,可以从完善既有入侵检测体系入手,例如陷 阱网络和蜜罐(honeypot)是一种门槛和成本不高的手段,对入侵者有一定的诱导和发现能力
10. DLP数据防泄密
10.1. DLP ( Data Loss Prevention)的主流方案目前在互联网行业落地可能都存在有不小的问题,在兼容用户体验、性能方面仍有很大的改进空间
11. 移动办公和边界模糊化
11.1. 办公系统上云、办公移动化、边界模糊化,这种方式并不只是技术上的转变, 对信息安全管理也有不小的挑战
12. 技术之外
12.1. 办公网络中的安全问题,因为涉及“人”的因素非常多,仅靠技术手段不能完全解决,这种感觉比生产网络更严重,即单纯依靠技术能解决问题的占比更低
12.2. 在办公网络安全这个问题上,技术和管理的比重对半开,两手都要抓,两手都要硬
