企業安全建設之淺談辦公網安全

企業安全建設之淺談辦公網安全。 在大多數互聯網公司，安全建設的主要精力都投入在業務網安全上，辦公網往往成為短板。 為避免教科書式的理論說教，本文以攻防的角度，以中型互聯網公司為例，討論下辦公網安全建設。 這裡的辦公網是狹義的辦公網，僅包括員工辦公的網路區域，支撐辦公的erp、郵件等系統不包含在內。

辦公網滲透思路

辦公網通常是駭客入侵的一大突破口，究其原因我認為主要為：

辦公網安全投入相對業務網不足，入侵成本較低 辦公網的主體是人，人有七情六欲，上網行為千奇百怪，攻擊面大於業務網 業務網往往信賴辦公網，可以成為戰略迂回進攻業務網的絕好跳板 研發、運營等重要資料往往高度集中在辦公終端， 資料價值甚至超過業務網

滲透辦公網的思路很多，以下是一個舉例：

滲透辦公網的思路舉例

從入口的角度講，惡意連結、檔是常見手段。

從駭客行為講，主要分為：

水準橫向滲透 縱向提權

從駭客目的角度講，主要分為：

以辦公網為跳板攻擊業務網 竊取HR、財務、高管等手中的重要資料網路安全

下圖為常見的辦公網拓撲結構

辦公網拓撲舉例

防火牆

防火牆作為抵禦攻擊的第一道防護，責任重大，但是他又肩負著NAT上網的重要職責，性能和穩定性又要求很高。 我認為從純安全形度講，選擇防火牆時需要考慮下列幾個功能：

惡意網站過濾 惡意檔過濾

2016年gartner商業網路防火牆魔力象限

IPS/IDS

IPS/IDS在這裡有個非常重要的作用就是識別使用Nday的軟體尤其是瀏覽器、辦公網套件漏洞攻擊員工的行為。 有很多廠商宣稱自己的IPS/IDS可以識別0day，我個人認為目前比較成熟的0day識別技術主要依賴沙箱和機器學習，真要識別0day還是需要專業的APT設備來做。

2017年gartner入侵偵測與防禦魔力象限

郵件安全閘道

這個話題內容太多，可以單獨寫一篇，本文先省略。

APT設備

APT設備通過分析郵件、流量中的檔和流量行為識別APT行為，我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。

安全隔離

安全隔離的主要目的有兩個：

按需提供網路存取權限，避免許可權濫用 減小駭客在辦公網橫向滲透以及縱向提權的攻擊面，提高攻擊成本

出於這兩個目的，所以安全隔離通常和准入或者vlan劃分結合在一起，不同的地方主要在於准入可以根據使用者身份動態調整網路許可權，vlan劃分相對不夠靈活。

網路許可權隔離

上圖是一個簡單的分類，其中有幾類同學需要重點關注：

運維&DBA，系統許可權特別大，縱向提權的最佳目標，有種開玩笑的說法，黑掉一個運維的電腦，把所有文字檔翻個遍，找不到一個密碼才是見鬼了。 應當儘量限制其他人群對他們的訪問。 重要業務系統的管理員，這些同學負責對公司核心業務進行運營管理，對重要後臺系統具有很高的許可權，一旦他們電腦被入侵，後果會很嚴重。 比如遊戲公司充值系統的後臺、廣告公司的客戶廣告投放管理系統、招聘公司的後臺簡歷管理系統、電商的訂單物流管理系統，出點事都是大事。 應當儘量限制其他人群對他們的訪問，同時嚴格限制他們的外網存取權限。 高管、HR、財務，這些同學對辦公系統的訪問需求比較單一，主要網路訪問需求在外網，通常不懂技術，安全防護意識也最弱，也最得罪不起。 他們的辦公電腦集中大量公司重要資料，一旦被入侵就直接產生損失了。 這部分同學可以嚴格限制跟辦公網其他區域以及對內部系統的訪問。 無線安全

無線情況就特別複雜了，這裡討論比較常見的情況。 不少公司的無線依靠靜態密碼保護，認證通過後即可以訪問辦公網路。 這裡有兩個甲方常見誤區：

我無線只覆蓋公司內部，駭客咋搜到?

駭客如果真打算黑你，真可以到你公司附近，現在的AP發射能力都很強，駭客如果使用專用設備，接受信號能力也很強。