前言


企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。


然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。

本文结合自身多年乙方安全和甲方安全的经验,尽量梳理出全的、实用的企业网络安全边界,与大家交流。

1、简单的企业网络架构

如下用于发现安全边界的企业网络架构demo图



最新图:https://www.processon.com/view/link/5ba1a731e4b0534c9be1e716
<https://www.processon.com/view/link/5ba1a731e4b0534c9be1e716>

2、发现网络安全边界

从“大安全”的角度,企业网络安全分被攻击和“被”发起攻击,所以企业既要保证自身网络安全,还要保证不被利用起来攻击其他企业网络

本文概括了以下网络安全边界(攻击点)

2.1、DNS服务

①没有托管DNS解析服务,自搭的DNS服务解析内外网域名,注意内外网区分

②DNS服务软件漏洞

②DNS被用来放大攻击他人网络

dns服务最佳实践:
https://www.infosecurityeurope.com/__novadocuments/462044?v=636579389924330000
<https://www.infosecurityeurope.com/__novadocuments/462044?v=636579389924330000>

2.2、CDN服务

①CDN的DNS服务失效,导致自己业务无法访问

②CDN回原流量(cdn请求业务服务器)未加密,被嗅探

③CDN边缘服务器存在漏洞,泄露内存数据https://en.wikipedia.org/wiki/Cloudbleed
<https://en.wikipedia.org/wiki/Cloudbleed>

④同一CDN服务器的其他公司业务存在漏洞(边缘节点不隔离)

cdn工作方式有需要ssl key进行解密和边缘服务器路由(返回最优源服务器地址)两种方式,显然后者更安全

cdn安全:https://www.teridion.com/blog/cdns-safe-cdn-security/
<https://www.teridion.com/blog/cdns-safe-cdn-security/>



 

2.3、业务服务器

①采用多网关负载均衡 防止DDOS攻击、CC攻击

②网关/防火墙采用最少端口原则,仅允许入方向的80、443端口,不允许出方向的流量,防止外带泄露数据

③对提供web服务进行安全评估,全站https

(大部分企业对外业务为web形式)

2.4、云托管服务器

云服务器提供了类似防火墙的功能,但云服务器内部网络隔离安全仍需验证。

2.5、邮件服务

①伪造发件人攻击

以前的邮局递信都是在各邮局分部放置一个邮筒,只要贴上邮票任何人都能以任何身份向任何人寄信。

互联网邮件服务分为寄信服务和收信服务。下面是邮件发送接收过程简述

1、用户A使用密码登录163邮箱后,撰写邮件发送到好友B的qq邮箱;

2、163邮箱服务器的寄信服务将邮件递送到qq邮箱服务器,此过程不需要提供密码

3、用户B登录qq邮箱后,通过qq邮箱收信服务,收到来自A的邮件

其实互联网邮件与邮局递信流程上并未改变,只是163邮箱,qq邮箱等代替了邮局分部,都存在身份认证的问题。

比如恶意用户C,伪造邮件递送到qq邮箱服务器发送给用户B,且声称自己是用户A,此过程是可行的,只需要找到QQ邮箱的SMTP服务器地址即可

有两类伪造情况:伪造发件人[email protected],发邮件到[email protected];另一种是伪造[email protected]发邮件到[email protected]。都存在社工攻击场景

配置DNS的SPF(宣称本域发件服务器的ip地址),DKIM(宣称本域公钥)策略,接收域进行验证

②携带恶意附件,客户端防毒,邮件网关杀毒

③密码爆破,邮件中包含服务器信息、架构信息、商务信息

④邮件客户端漏洞:foxmail,outlook,web方式,企业邮箱

2.6、访客WiFi

①设置WAP2密码,禁止访问内部网络

②保护WiFi物理安全,保证不被重置密码,更新固件等

③限制WiFi强度,不需要扩散很远

④检测伪造的相同SSID的WiFi,防范钓鱼

⑤禁止私搭WiFi接入点

2.7、VPN

①账号及权限设置,不同权限访问不同的内部网络

②证书方式登陆,防止爆破

③VPN软件安全

2.8、办公网络访问业务服务器

办公网络不是所有人都可以操作业务服务器,所以使用堡垒机进行账号认证,且对账号设置不同权限。

业务服务器一般不需要访问办公网络,否则需要做相应访问控制

2.9、办公网络VLAN分区

办公网的交换机应部署VLAN,各部门在各自vlan中,打印机归于各自vlan。(财务、HR等部门涉及的数据更为敏感)。

分区也能有效应对攻击者的后渗透阶段

2.10、办公网络IDS/IPS


攻击者渗透办公网络被后会发动内网攻击,比如端口扫描、arp欺骗、dns欺骗、密码嗅探等。应在内外部署入侵检测及防护系统(IDS/IPS),及时发现内网攻击。(内部员工也可能是攻击者)

2.11、办公网络服务器


办公网会有OA系统,内部共享,测试站、预发布站,项目管理系统,文档系统,内部论坛等供办公使用的系统,这些系统存储了员工资料、项目资料等受保护信息。而且相比员工PC机会稳定许多,且会长久开机,对于攻击者来说是很好的落脚点

攻击者通过员工终端,WiFi等进入到企业办公内网后,一般会继续攻击办公服务器当作落脚点方便后续渗透

2.12、办公网络IoT

办公区的联网饮水机,监控摄像头、打卡机都是小的pc系统,也会被攻击者当作落脚点

2.13、办公网络手机、笔记本访问BYOD

员工手机、自带笔记本可能携带恶意软件,会对内部网络进行攻击。需要对BYOD设备进行强制安装杀毒软件、终端管理软件(MDM)或网络隔离

2.14、办公网络PC软件安装、U盘

域控发布域策略限制员工随意安装软件,禁止插入U盘,禁止进BIOS设置。避免由员工引入恶意攻击软件

域控定期检测员工PC机上是否有恶意攻击软件(挖矿软件等)

2.15、办公网络上网行为管理

禁用部分协议,阻止员工上传代码到GitHub,x云盘等

(GitHub泄露密码后应删除项目,而不是删除密码,因为为残留在history中)

禁止办公网络访问论坛,小说网等

对员工访问行为有所记录,在内部网络对外发起攻击,方便查来源

2.16、web服务

企业暴露在外的最大的受攻击面还是对外提供的业务,即web、app等服务。

攻击者更多的通过这些服务攻击下业务服务器 》 窃取敏感信息 & 利用服务器资源对外攻击(跳板、挖矿、DDOS)》 作为跳板攻击办公内网 》窃取更多的敏感信息
&获得更多的计算资源

企业需要进行SDL安全评估、代码审计(特别框架及模块代码)


当然除了敏感数据、计算资源,各种web漏洞(注入,xss,csrf,越权,上传下载)中的业务逻辑漏洞,也会对企业利益及用户利益造成损害(盗号、盗刷),也需要进行保护。

2.17、社工

员工安装他人软件,使用他人U盘,泄露账号密码等

 

3、总结


不同于Google的零边界安全,所有机器、资源采取零信任模式,均需要通过认证及授权。本文中划分的边界,采取了部分信任的模式,比如业务服务器中有web服务器、数据库服务器、缓存服务器等,它们均属于统一边界内,存在信任关系;而办公网与业务网存是不信任关系。信任关系越少,设计就越复杂

企业保护对象应包含敏感信息、计算资源、业务逻辑

网络安全是一个动态发展的过程,各种新业务出现,各种新系统出现,各种新漏洞出现。企业都需要有个安全运营中心,实时掌握安全边界的安全现状。

本文讨论的是一个非常之宏大的东西,只能“简而言之”,希望能给读者以启发。

本文会不断更新,希望读者能留言交流