如何建設企業入侵防禦體系

2021-10-14 14:26:52 字數 2825 閱讀 4874

對於防守方來說,可以針對公司的整個系統架構,在不同的維度採取響應的防守策略,攻擊者一般都是通過低維度進行攻擊一步一步到達高維度的,比如先尋找業務邏輯找到上傳點,然後根據不同的平台製作不同的webshell檔案,拿到shell後再利用系統的漏洞進行提權等,一步一步由淺入深。

作為防守方,制定完善的安全策略是必行之路,但如何制定安全策略是乙個見仁見智的事情。借鑑xti9er的一句話,基於系統的機制、cgi和協議規範較為有效,比不斷用新規則新策略去為之前的策略打「補丁」靠譜的多。因為一切攻擊與防守所需的基本功能/基本邏輯均**於此。

作為防守方盡量採用「降維打擊」,舉個例子,檔案上傳點。我們可以不把太多的精力放在掩藏上傳點上,而是在服務端多下功夫,讓其即使上傳了也會上傳失敗,從原理上直接遏制上傳webshell,比掩藏上傳點來的好的多,這就是」降維打擊「。

制定安全策略不是針對某乙個漏洞制定策略,是針對某一種場景制定策略,例如檔案上傳、木馬等。思路應該為先了解漏洞原理,在原理上找到絕對不可能被繞過檢測的點,然後再根據這個點來制定安全策略,舉例如下:

linux反連的小馬一般都會有繫結bash程序的stdin與stdout到socket的這個行為,但普通檔案不會有這個行為的,所以針對這種小馬可以直接檢測標準輸入與輸出的繫結情況來判定是否是木馬。

總的來說要解決乙個入侵場景,在制定策略之前需要做好足夠的分析並提煉其最核心的技術點,貼近此特徵制定策略效果就非常好,且不易被繞過。而且也要在足夠了解真實入侵過程的前提下,在每個入侵的關鍵點上設定一定的防禦,層層設防,阻礙黑客的入侵進度,比如針對上傳漏洞,可以簡單的檔案字尾檢查或者檔案內容檢查,在這個基礎上可以加上流量的檢查,使得黑客即使繞過了檔案內容檢查也無法繞過流量檢查,進而入侵失敗。

企業的防禦可以採取將攻擊者控制在乙個可控的範圍內,然後用豐富的資源打敗它。黑客即使入侵進我們的系統,也在我們可控的範圍內的話,就不會對企業造成多大的打擊,我們無法保證不出現問題,當我們可以盡量去將問題的影響降低到最小。

對於一般的企業來說主要分為兩種環境,一種是辦公網,也就是員工普通使用的網路,這個網路中一般情況下員工可以訪問外網。第二種就是業務網路,一般可以在公網上可以直接訪問。

針對於web層漏洞來說,一般情況下webshell檢測做為第一道防線,一旦由於一些原因系統未能發現,程序/埠資料是第二道防線——比如apache的屬主使用者執行了命令,就是個典型的webshell執行命令特徵。

安全裝置與檢測系統布置在合適的維度可以使得防守處於非常有利的位置,同時盡可能的提煉入侵場景的關鍵環節,則是檢測思想的精髓。針對自身業務特點,分析其主要風險,針對性的制定策略。將有限的資源用於對抗清晰的風險場景,才是更為可取且有效率的事。

對於越來越多的網際網路web業務,一定要做好安全加固,簡單口訣:「目錄預設不可寫,可寫目錄不解析,web server非root,管理頁面不對外」。

我們盡力將威脅限制在web層面,如果不是業務必須的,那麼不要將埠開放到公網上。這樣使得我們就可以經歷去防護web安全領域,是的工作量會減少很多。這時候一般只需要對員工進行安全培訓,然後著重防護web領域的入侵攻擊即可基本保證公司的網路安全。

保障企業網路安全需要有不同的安全部門與安全工具相互配合,這裡做乙個歸納,後續繼續補充:

所需要的部門:

1.安全運營組

負責安全事件追蹤與關閉,內部的異常檢測和處理,和安全事件的應急響應。

2.產品安全組

負責給即將上線的產品做測試,在白盒的視角下發現問題,以及漏洞預警,**審計等工作。

3.資料安全組

負責內部資料安全建設(dsmm體系建設,資料安全專案的上線實施)、資料安全事件分析及運營。

4.基礎安全組

安全域設計和維護;訪問控制管控;資產資訊維護;蜜罐運維。

5.安全平台組

負責各種安全平台的開發,例如資產管理平台。

6.內部紅隊

間歇性的對內部網路進行攻擊,給其他部門提供技術支援,負責員工的安全意識培訓。

7.安全管理

負責內部合規審計、外部安全審計、部門人員管理/團隊建設、內部安全意識宣傳、安全制度管理。

8.安全開發

開發防火牆等安全工具。

9.應急響應部門

對發生的安全問題進行乙個應急響應,盡快去解決問題。

所涉及到的裝置或工具:

1.web漏洞掃瞄器

如果我們可以將公司網路的入口點都控制在web層,那我們的主要精力就可以在防止web攻擊上,那麼乙個web漏洞掃瞄器就尤為重要,可以極大的減少人工成本。

2.ddos防護裝置

遊戲公司尤其重要。

3.資產裝置管理系統

方便對公司的網際網路資產進行管理與查詢

4.告警檢測系統

用來收集告警資訊,並給出對應的風險等級方便運營人員處置。

5.ids(入侵檢測系統)

入侵檢測系統生成的告警可以傳送到告警系統中作為記錄,可以理解成web端的防火牆。

6.工單提交系統

方便不同的業務在上線前提交測試工單,來讓產品安全組的同事來進行工單測試。

7.src系統

聯合白帽子的力量來幫助公司進行漏洞挖掘並修復。

8.edr(終端安全響應系統)

就是我們一般意義上的防火牆。

9.郵件閘道器

對發往公司的郵件進行乙個檢查,配合spf的設定來剔除掉非法或者惡意郵件。

捻亂止於河防——**企業入侵防禦體系建設

如何建立有效的安全策略

如何有效建設企業薪酬管理體系?

隨著知識經濟時代的到來,現代企業的生存和發展對薪酬管理體系提出了更高的要求。企業薪酬管理體系作為人力資源管理體系的關鍵環節之一,是現代企業管理體系不可缺少的組成部分,也是保護和提高員工工作積極性的最有效的激勵手段。因此,企業要想迎合時代的發展要求以及吸引並留住人才來保證可持續發展,就必須建立科學合理...

如何建設企業網路安全體系

隨著網路的泛化和無邊界化,網路安全問題會越來越嚴峻。單就惡意 一項,就呈現出 增長的趨勢。目前全球已經有 50億惡意樣本,每天還將以300萬種的速度產生。如果把惡意 問題看作天災的話,那麼現代網路同時還面臨著 人禍 稜鏡門 事件揭露了網路資料被監聽的事實,暴露出 網路安全角勢嚴峻。無論資料被惡意 破...

企業如何建設資料組織能力

可持續發展是每個參與市場競爭的企業的奮鬥目標,但當企業發展到一定規模時,總會由於環境或自身條件的限制碰到成長瓶頸。當然,這並不意味著企業將從此一蹶不振,只要解決抑制成長的問題 避免業績下滑 挖掘新的核心競爭力和發展動力,企業仍然能夠再次實現持續增長。在數字經濟時代,新型數字技術將成為企業提公升持續競...