企業安全建設之淺談辦公網安全。 在大多數互聯網公司,安全建設的主要精力都投入在業務網安全上,辦公網往往成為短板。 為避免教科書式的理論說教,本文以攻防的角度,以中型互聯網公司為例,討論下辦公網安全建設。 這裡的辦公網是狹義的辦公網,僅包括員工辦公的網路區域,支撐辦公的erp、郵件等系統不包含在內。
辦公網滲透思路
辦公網通常是駭客入侵的一大突破口,究其原因我認為主要為:
辦公網安全投入相對業務網不足,入侵成本較低 辦公網的主體是人,人有七情六欲,上網行為千奇百怪,攻擊面大於業務網 業務網往往信賴辦公網,可以成為戰略迂回進攻業務網的絕好跳板 研發、運營等重要資料往往高度集中在辦公終端, 資料價值甚至超過業務網
滲透辦公網的思路很多,以下是一個舉例:
滲透辦公網的思路舉例
從入口的角度講,惡意連結、檔是常見手段。
從駭客行為講,主要分為:
水準橫向滲透 縱向提權
從駭客目的角度講,主要分為:
以辦公網為跳板攻擊業務網 竊取HR、財務、高管等手中的重要資料網路安全
下圖為常見的辦公網拓撲結構
辦公網拓撲舉例
防火牆
防火牆作為抵禦攻擊的第一道防護,責任重大,但是他又肩負著NAT上網的重要職責,性能和穩定性又要求很高。 我認為從純安全形度講,選擇防火牆時需要考慮下列幾個功能:
惡意網站過濾 惡意檔過濾
2016年gartner商業網路防火牆魔力象限
IPS/IDS
IPS/IDS在這裡有個非常重要的作用就是識別使用Nday的軟體尤其是瀏覽器、辦公網套件漏洞攻擊員工的行為。 有很多廠商宣稱自己的IPS/IDS可以識別0day,我個人認為目前比較成熟的0day識別技術主要依賴沙箱和機器學習,真要識別0day還是需要專業的APT設備來做。
2017年gartner入侵偵測與防禦魔力象限
郵件安全閘道
這個話題內容太多,可以單獨寫一篇,本文先省略。
APT設備
APT設備通過分析郵件、流量中的檔和流量行為識別APT行為,我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。
安全隔離
安全隔離的主要目的有兩個:
按需提供網路存取權限,避免許可權濫用 減小駭客在辦公網橫向滲透以及縱向提權的攻擊面,提高攻擊成本
出於這兩個目的,所以安全隔離通常和准入或者vlan劃分結合在一起,不同的地方主要在於准入可以根據使用者身份動態調整網路許可權,vlan劃分相對不夠靈活。
網路許可權隔離
上圖是一個簡單的分類,其中有幾類同學需要重點關注:
運維&DBA,系統許可權特別大,縱向提權的最佳目標,有種開玩笑的說法,黑掉一個運維的電腦,把所有文字檔翻個遍,找不到一個密碼才是見鬼了。 應當儘量限制其他人群對他們的訪問。 重要業務系統的管理員,這些同學負責對公司核心業務進行運營管理,對重要後臺系統具有很高的許可權,一旦他們電腦被入侵,後果會很嚴重。 比如遊戲公司充值系統的後臺、廣告公司的客戶廣告投放管理系統、招聘公司的後臺簡歷管理系統、電商的訂單物流管理系統,出點事都是大事。 應當儘量限制其他人群對他們的訪問,同時嚴格限制他們的外網存取權限。 高管、HR、財務,這些同學對辦公系統的訪問需求比較單一,主要網路訪問需求在外網,通常不懂技術,安全防護意識也最弱,也最得罪不起。 他們的辦公電腦集中大量公司重要資料,一旦被入侵就直接產生損失了。 這部分同學可以嚴格限制跟辦公網其他區域以及對內部系統的訪問。 無線安全
無線情況就特別複雜了,這裡討論比較常見的情況。 不少公司的無線依靠靜態密碼保護,認證通過後即可以訪問辦公網路。 這裡有兩個甲方常見誤區:
我無線只覆蓋公司內部,駭客咋搜到?
駭客如果真打算黑你,真可以到你公司附近,現在的AP發射能力都很強,駭客如果使用專用設備,接受信號能力也很強。