您现在的位置是:首页 > 网络信息安全

攻击面管理策略梳理

xiaozq2021-08-06网络信息安全

简介现在很多安全企业和厂商都在谈论漏洞/病毒分析、态势感知、或者用户行为分析这种高大上的话题。这听起来很牛X,但对于很多企业来说这些工作的技术门槛和经费代价还是很高的。但有些不那么高大上的,且技术门槛和经费代价也不那么高的工作可能会达到更好的效果

攻击面管理策略梳理
现在很多安全企业和厂商都在谈论漏洞/病毒分析、态势感知、或者用户行为分析这种高大上的话题。这听起来很牛X,但对于很多企业来说这些工作的技术门槛和经费代价还是很高的。但有些不那么高大上的,且技术门槛和经费代价也不那么高的工作可能会达到更好的效果,比如:攻击面管理。
 
大家可以想象如下几个场景:
①安全部门发现一台主机/域名有高危漏洞,通知相关部门负责人,对方直接反馈:不用了,下线!
②上线漏洞管理平台后,正在对漏洞管理沾沾自喜的时候,发现黑客确实很艰难才进入你的网络,但之后可以全网漫游!
③自信满满的把手伸到业务安全后发现,公司大量API接口对内暴露,接口和数据的利用无法追踪。
好了,就到这里,上述场景是笔者亲身体验或从一些交流中得到信息的提炼。不知道各位读者对此有何感受?有没有似曾相识的感觉?
攻击面管理是笔者最近一直关注的工作之一,基于一个很朴素的道理:从安全性角度来说,锁门远比安装一个人脸识别摄像头更有效!
对于攻击面的管理,笔者采用了资产管理的方式,想管住资产就得全生命周期管理,从生到死都要在管理范围内。这里说的资产不仅仅是硬件资产,也包括软件,服务,甚至安全策略和NAT策略等。从笔者的经验来看,对于各类资产,人们都有只借不还的倾向。这是客观事实,没什么好抱怨的,能做的只有管理好这些资产,下面我们简单分析一下需要管理的维度:
一、基础资产(IP+端口+服务)
从漏洞发现的角度来说,对于物理资产,主要要知道其IP和开放的端口,这是最基础的内容。笔者从很多从业者口中头听到过安全部门对公司资产管理的不满情绪,用现有的信息又不准,把资产管理拿到安全部门来做吧,又太重。笔者采用的方案就是安全部门要有自己的资产(IP+端口+服务)发现手段,只需要知道必要的信息(哪些IP有哪些漏洞)即可,其他信息与资产管理相关部门去对接。这样既保证基本的安全威胁发现能力,又没把资产管理的任务揽到自己团队中来。关于资产发现能力的问题,开源软件和商业产品有很多,很多主机安全厂商也将资产管理集成到产品功能中,对于扫描类的产品来说最重要的是保证扫描器的IP别被黑名单,最好能在白名单中。
二、访问控制策略
笔者将企业内安全边界分为四个层面:①互联网出口②安全域③主机/VM网卡④应用。前三个层面笔者正在进行相关的工作,第四个层面目前还没想清楚怎么做,先放在那里
这里我们先不讨论这些安全策略如何部署,我们只讨论如何管理这些策略。笔者目前的规划是将安全策略跟资产同等对待,谁在什么时候申请了哪条策略的开放,这些信息定期(比如:一个月)向相关人员确认,遇到离职的情况也到交接这些策略,保证接替者知道这些策略的存在和用途。
作为辅助手段,也可以通过流量分析和主机连接分析的方式分析所配置的策略在近期有没有命中过,对于长期没有被命中的策略,可以考虑临时下线处理。更进一步,可以对长时间没有命中,而在近期又频繁命中的策略进行重点关注,这是数据分析层面的事,在此不再赘述。
三、NAT策略
除了常规访问控制策略外,笔者认为NAT也是一种访问控制手段,尽量减少出向NAT的数量也能有效减少被入侵的可能性。毕竟多数情况下,入侵行为后,黑客都会植入一个反连程序。对NAT策略的管理也可以参考边界策略,记录每个申请,并定期确认,甚至可以通过技术手段判断这条NAT有没有使用过。
四、无用域名
笔者团队由于承担了公司全站https改造的任务,经历了一段漫长而痛苦的域名梳理工作。针对域名资产也存在前面提到的只借不还的情况,再加上早期域名管理不够完善,导致大量域名闲置。笔者团队的清理经验是,通过分析域名解析数据对一段时间内(如:2周)没有访问量或访问量极低的域名停止解析。这项工作的难点不在于怎么分析和怎么关停域名,核心难点是取得高层领导的同意和业务的支持,因为关停域名很难保证完全不影响业务。
五、数据接口
现在数据成为越来越多公司的核心资产,各类应用和数据接口的暴露会埋下大量隐患。如果系统建设前期没有重视安全,这些接口一旦出现问题,基本上无法追踪和复盘。这方面工作笔者团队也在探索中,这里分享一下摸索期间的经验。
如果前期对数据平台应用和风险了解不够充分,不建议前期就部署很重的手段,可以先把相关的接口和数据先管理起来,从数据分析入手逐步梳理接口使用的范围和特征,再通过这些范围和特征部署相应的手段。前期至少可以关闭一些没人使用的接口,也是大功一件!
写在最后
上面列举了五个方面的管理方法,其核心目的不过是想不断减少攻击面。笔者认为这种思想应该嵌入到日常安全工作中。如果可能,尽量将威胁用最简单的方法消除掉。无需炫技,无需邀功,因为这是企业安全最基本的工作,没有之一!
 
 

郑重声明:

本站所有活动均为互联网所得,如有侵权请联系本站删除处理

随便看看

文章排行

本栏推荐

栏目更新