浅谈企业网络安全边界
前言
企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。
然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。
本文结合自身多年乙方安全和甲方安全的经验,尽量梳理出全的、实用的企业网络安全边界,与大家交流。
1、简单的企业网络架构
如下用于发现安全边界的企业网络架构demo图
最新图:https://www.processon.com/view/link/5ba1a731e4b0534c9be1e716
2、发现网络安全边界
从“大安全”的角度,企业网络安全分被攻击和“被”发起攻击,所以企业既要保证自身网络安全,还要保证不被利用起来攻击其他企业网络
本文概括了以下网络安全边界(攻击点)
2.1、DNS服务
①没有托管DNS解析服务,自搭的DNS服务解析内外网域名,注意内外网区分
②DNS服务软件漏洞
②DNS被用来放大攻击他人网络
dns服务最佳实践:https://www.infosecurityeurope.com/__novadocuments/462044?v=636579389924330000
2.2、CDN服务
①CDN的DNS服务失效,导致自己业务无法访问
②CDN回原流量(cdn请求业务服务器)未加密,被嗅探
③CDN边缘服务器存在漏洞,泄露内存数据https://en.wikipedia.org/wiki/Cloudbleed
④同一CDN服务器的其他公司业务存在漏洞(边缘节点不隔离)
cdn工作方式有需要ssl key进行解密和边缘服务器路由(返回最优源服务器地址)两种方式,显然后者更安全
cdn安全:https://www.teridion.com/blog/cdns-safe-cdn-security/
2.3、业务服务器
①采用多网关负载均衡 防止DDOS攻击、CC攻击
②网关/防火墙采用最少端口原则,仅允许入方向的80、443端口,不允许出方向的流量,防止外带泄露数据
③对提供web服务进行安全评估,全站https
(大部分企业对外业务为web形式)
2.4、云托管服务器
云服务器提供了类似防火墙的功能,但云服务器内部网络隔离安全仍需验证。
2.5、邮件服务
①伪造发件人攻击
以前的邮局递信都是在各邮局分部放置一个邮筒,只要贴上邮票任何人都能以任何身份向任何人寄信。
互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述
1、用户A使用密码登录163邮箱后,撰写邮件发送到好友B的qq邮箱;
2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器,此过程不需要提供密码
3、用户B登录qq邮箱后,通过qq邮箱收信服务,收到来自A的邮件
其实互联网邮件与邮局递信流程上并未改变,只是163邮箱,qq邮箱等代替了邮局分部,都存在身份认证的问题。
比如恶意用户C,伪造邮件递送到qq邮箱服务器发送给用户B,且声称自己是用户A,此过程是可行的,只需要找到QQ邮箱的SMTP服务器地址即可
有两类伪造情况:伪造发件人ceo@qq.com,发邮件到hr@qq.com;另一种是伪造ceo@qq.com发邮件到cfo@163.com。都存在社工攻击场景
配置DNS的SPF(宣称本域发件服务器的ip地址),DKIM(宣称本域公钥)策略,接收域进行验证
检测spf脚本
#coding:utf8import logging
import subprocess
import sysdef execShell(cmd, t=120):'''功能:前台运行shell命令,阻塞参数:shell命令返回:成功返回{'d': DATA},失败返回{'e': DATA}#不同手机执行成功/失败返回值不一致,可使用'ssss' in str(ret)方式判断'''ret = {}try:if sys.version_info.major == 3 and sys.version_info.minor < 6:p = subprocess.run(cmd, stderr=subprocess.PIPE, stdout=subprocess.PIPE, shell=True, timeout=t)if p.returncode == 0:ret['d'] = p.stdout.decode('utf-8')else:ret['e'] = p.stderr.decode('utf-8')else:p = subprocess.run(cmd, stderr=subprocess.PIPE, stdout=subprocess.PIPE, shell=True, encoding='utf-8', timeout=t)if p.returncode == 0:ret['d'] = p.stdoutelse:ret['e'] = p.stderrexcept subprocess.TimeoutExpired:ret['e'] = 'timeout'except Exception as e:logging.error('subprocess '+str(e))return retdef getMiDomain():return '''xiaomi.hk
xiaomi.tw
mifile.cn
mipay.com
xiaomiyoupin.com
'''.split('\n')if __name__ == '__main__':for d in getMiDomain():d = d.strip()if not d:continueout = execShell('nslookup -type=txt '+d +' 119.29.29.29')if out.get('d') and 'v=spf' not in out.get('d'):print('==='+d)elif not out.get('d'):print(d+' '+out.get('e'))
②携带恶意附件,客户端防毒,邮件网关杀毒
③密码爆破,邮件中包含服务器信息、架构信息、商务信息
④邮件客户端漏洞:foxmail,outlook,web方式,企业邮箱
2.6、访客WiFi
①设置WAP2密码,禁止访问内部网络
②保护WiFi物理安全,保证不被重置密码,更新固件等
③限制WiFi强度,不需要扩散很远
④检测伪造的相同SSID的WiFi,防范钓鱼
⑤禁止私搭WiFi接入点
2.7、VPN
①账号及权限设置,不同权限访问不同的内部网络
②证书方式登陆,防止爆破
③VPN软件安全
2.8、办公网络访问业务服务器
办公网络不是所有人都可以操作业务服务器,所以使用堡垒机进行账号认证,且对账号设置不同权限。
业务服务器一般不需要访问办公网络,否则需要做相应访问控制
2.9、办公网络VLAN分区
办公网的交换机应部署VLAN,各部门在各自vlan中,打印机归于各自vlan。(财务、HR等部门涉及的数据更为敏感)。
分区也能有效应对攻击者的后渗透阶段
2.10、办公网络IDS/IPS
攻击者渗透办公网络被后会发动内网攻击,比如端口扫描、arp欺骗、dns欺骗、密码嗅探等。应在内外部署入侵检测及防护系统(IDS/IPS),及时发现内网攻击。(内部员工也可能是攻击者)
2.11、办公网络服务器
办公网会有OA系统,内部共享,测试站、预发布站,项目管理系统,文档系统,内部论坛等供办公使用的系统,这些系统存储了员工资料、项目资料等受保护信息。而且相比员工PC机会稳定许多,且会长久开机,对于攻击者来说是很好的落脚点
攻击者通过员工终端,WiFi等进入到企业办公内网后,一般会继续攻击办公服务器当作落脚点方便后续渗透
2.12、办公网络IoT
办公区的联网饮水机,监控摄像头、打卡机都是小的pc系统,也会被攻击者当作落脚点
2.13、办公网络手机、笔记本访问BYOD
员工手机、自带笔记本可能携带恶意软件,会对内部网络进行攻击。需要对BYOD设备进行强制安装杀毒软件、终端管理软件(MDM)或网络隔离
2.14、办公网络PC软件安装、U盘
域控发布域策略限制员工随意安装软件,禁止插入U盘,禁止进BIOS设置。避免由员工引入恶意攻击软件
域控定期检测员工PC机上是否有恶意攻击软件(挖矿软件等)
2.15、办公网络上网行为管理
禁用部分协议,阻止员工上传代码到GitHub,x云盘等
(GitHub泄露密码后应删除项目,而不是删除密码,因为为残留在history中)
禁止办公网络访问论坛,小说网等
对员工访问行为有所记录,在内部网络对外发起攻击,方便查来源
2.16、web服务
企业暴露在外的最大的受攻击面还是对外提供的业务,即web、app等服务。
攻击者更多的通过这些服务攻击下业务服务器 》 窃取敏感信息 & 利用服务器资源对外攻击(跳板、挖矿、DDOS)》 作为跳板攻击办公内网 》窃取更多的敏感信息 &获得更多的计算资源
企业需要进行SDL安全评估、代码审计(特别框架及模块代码)
当然除了敏感数据、计算资源,各种web漏洞(注入,xss,csrf,越权,上传下载)中的业务逻辑漏洞,也会对企业利益及用户利益造成损害(盗号、盗刷),也需要进行保护。
2.17、社工
员工安装他人软件,使用他人U盘,泄露账号密码等
3、总结
不同于Google的零边界安全,所有机器、资源采取零信任模式,均需要通过认证及授权。本文中划分的边界,采取了部分信任的模式,比如业务服务器中有web服务器、数据库服务器、缓存服务器等,它们均属于统一边界内,存在信任关系;而办公网与业务网存是不信任关系。信任关系越少,设计就越复杂
企业保护对象应包含敏感信息、计算资源、业务逻辑
网络安全是一个动态发展的过程,各种新业务出现,各种新系统出现,各种新漏洞出现。企业都需要有个安全运营中心,实时掌握安全边界的安全现状。
本文讨论的是一个非常之宏大的东西,只能“简而言之”,希望能给读者以启发。
本文会不断更新,希望读者能留言交流
欢迎关注
浅谈企业网络安全边界相关推荐
- 浅谈对网络安全的认识(非原创)
浅谈对网络安全的认识 王乔平 大港油田第一采油厂 摘 要: 网络技术不断发展,带给我们的网络安全问题也日趋严重,论文从网络安全的定义,计算机网络安全现状出发,分析计算机网络的安全隐患,并提出防范措施. ...
- 计算机网络安全漏洞及防范措施论文,浅谈计算机网络安全漏洞及防范措施论文.doc...
浅谈计算机网络安全漏洞及防范措施 摘要 随着系统信息化建设的飞速发展,网络的建设和应用得到了广泛的普及,随之而来的计算机网络安全也成为了关系公共机关管理和发展的重大问题,如何从技术.管理等方面加强对计 ...
- 浅谈企业中台商业模式及建设思路
浅谈企业中台商业模式及建设思路 文章目录 浅谈企业中台商业模式及建设思路 前言 企业中台的定义和能力 企业中台的商业故事 企业中台的商业模式 构建企业中台时不同的企业初衷 企业中台的价值主张 企业中台 ...
- 浅谈企业数据安全治理
数据安全对企业生存发展举足轻重,数据资产的外泄.破坏都会导致无可挽回的经济损失和核心竞争力缺失.企业的安全管理和防护机制不健全往往忽略了数据安全重要性,导致数据安全事件频发.近期多家互联网企业接受网络 ...
- 浅谈企业数据能力建设
随着市场的逐步成熟,要想保持企业的长期竞争力,运营和产品改进工作需要越来越精细化. 比如,在游戏行业,玩家留存率是一个关键指标,为提升·留存率,需要精细化地分析玩家是哪一步流失的,根据游戏进程推进过程 ...
- 浅谈企业自主信息化开发模式
刚刚开了博客,写了人生中的第一篇随笔,而后网上遭遇老魏,谈了谈他的开发初衷和经历,竟然感慨万千起来了...自认为不是个感性动物,也不是什么写手,可竟然睡不着觉想着写点东西出来抒发抒发,那就索性起来在水 ...
- 浅谈企业内部安全漏洞的运营(一):规范化
一提到漏洞,不少安全工程师又爱又恨.爱在,挖掘和复现漏洞本身,就是特别有意思的事情,能登上国内各大SRC排行榜,进入谷歌名人堂.被微软致谢也是充满成就感的事情.恨在,如果企业真的发现的漏洞多了,就有& ...
- 浅谈企业数据安全风险
科技进步的同时,风险也随即而来,企业数据安全的问题越来越突出,数据安全内涵也在不断扩展,系统漏洞.网络窃密.计算机病毒.网络攻击.垃圾邮件.虚假有害信息和网络违法犯罪等不断地充斥在我们的工作生活中.对 ...
- 浅谈企业拥有门户网站的重要性
摘要: 企业门户网站,作为如今互联网时代企业的一张名片,一个线上的"家",得到越来越多的企业家.公司相关管理层的认可与重视.企业网站不仅承担着企业品牌宣传.提升知名度重要的角色,还 ...
最新文章
- Free Download Top 100 Hacking Books
- LeetCode Algorithm 剑指 Offer 06. 从尾到头打印链表
- Vue2+VueRouter2+webpack 构建项目实战(四)接通api,先渲染个列表
- matlab 函数 命名参数,如何处理MATLAB中的函数参数的名称/值对
- C++求复数的角度_【研读.教材分析】“勾股定理”教学——基于单元整体的角度再思考...
- 基于固定坐标与基于参考坐标系得到的机械手的微分运动不同
- 定期存款可以提前取出来吗_如果银行存款利率涨了,定期存款有必要取出再存吗?...
- c++ string类型转换为char *类型
- iOS 自动化发布 Fastlane 本地构建 IPA 并分发
- oracle系统优化
- [Z] 通天塔导游:各种编程语言的优缺点
- python实现目标检测voc格式标签数据增强
- 多級commentable處理
- 在未提供官方驱动的Windows平板上安装Win10且完美驱动的解决方案
- c语言为什么运行不出数据,程序运行后可以输入数据,但是之后为什么没有显示?...
- 接地电阻测试仪的工作原理及技术指标
- 揭秘流量宝的“黑科技”(一)
- UVA10655-Contemplation! Algebra
- 后盾网-CI框架实例教程-马振宇 - 学习笔记(4)
- 消防应急照明和疏散指示系统手动控制的设计与应用