安全水位评估思路总结

目录 HACK, SOLUTION

近一年不断在做安全水位评估,包括公司层面的安全水位评估和业务层面的安全水位评估,投前、投后,内部、外部,站在发现真实风险非合规和安全建设者的角度,不断完善各个场景的安全水位评估方案,整理了一些思路。

安全水位评估,我认为和安全测试、渗透测试的差别是,安全水位评估要找出全链路的风险点,找出所有短板,而其中很多风险要站在安全建设者的角度去看,要可行且有价值,不然容易陷入只破不立的尴尬境地。

首先要做的是,梳理资产,也就是评估目标,有哪些机房、哪些环境、哪些办公区,之后再针对不同环境去评估,生产环境、测试环境(开发环境、预发环境等算在测试环境里)、办公环境的评估方法是完全不同的。

首先讨论生产环境,从3个角度去评估,线上业务安全、运维安全、SDL。

20180624150234

一图胜千言,记录几个需要注意的重点:

1. 纵深防御,没有哪个机制可以百分百,需要有backup,比如主机入侵检测,不是HIDS就包干了,蜜罐和syslog同样需要

2. 事前事中事后结合,比如边界控制,即使对每次的端口开放都事前管控了,还需要有事中的告警机制,比如有异常端口开到公网,需要向几个管理员告警,还需要事后发现的机制,比如周期性的扫描

3. 全流量分析和记录能力,这是个高成本高收益的事,如果没有全流量的采集能力,能获取到的日志是非常片面的,如web日志可能就只有access.log、error.log和WAF、中间件的一些日志,会损失大部分日志,有了流量之后可以做很多事情,比如获取资产、结合请求响应包做风险分析、事后溯源等

4. 主被动结合,如资产采集,可以通过主动的API获取、扫描爬取,也可以通过被动流量分析获取;再比如安全测试,有了SAST和DAST,还要有IAST,每种方式都有其优势和盲区,结合起来将盲区降到最低

5. Red Team很重要,不断的验证,对攻击路径进行梳理,结合真实场景尝试入侵,从外部和内部分别测试,由于每个人的测试角度有所限制,可借助外部力量一起做

6. 单独的安全产品不叫安全能力,持续运营起来才可以叫安全能力,安全运营包括策略运营、告警运营等

7. 提出的想法最好能自动化,不要给业务设置障碍,也不要寄希望于通过教育解决安全问题

8. 物理安全很重要,不然一切都是白搭

9. 安全三要素包括机密性、完整性,还有可用性,不要忽视可用性

10. 最小权限原则…

 

然后讨论测试环境,测试环境相对简单很多,没有什么对外开放的在线业务,从网络安全、主机安全、运维安全、数据安全、安全测试来评估。

20180624150316

网络安全,首先要和生产环境网络隔离,测试环境一般不会投入很大资源到安全这块,所以相对水位较低,因此需要确保测试环境和生产环境网络隔离。然后边界控制,测试环境理论上不会有在线服务,所以不应该把端口开放到公网,需要访问或者验证通过内网接入的方式实现,比如统一跳板机或者VPN。

主机安全和运维安全应该和生产环境相同标准,测试环境省下的是保护在线服务的资源,其它该保护的还得保护。

数据安全,测试环境通常为了更好的验证功能,会从生产环境导数据过来,有意识的会脱敏一次,实际评估中发现只要是真实数据,都会找到可利用的点,比如我已经找到某个漏洞,脱敏的真实数据省去很多fuzz的成本。所以测试环境不应该使用任何生产环境的数据。

安全测试,这里指的安全测试和生产环境的安全测试意思不同,有些安全测试是具有破坏性的,或者会产生脏数据的,但是检测深度会更好一些,可以放到测试环境来做,比如从流量中抓取资产和登录凭证,再用DAST去扫,或者可以去实现一些黑盒自动化逻辑漏洞检测,比如越权的黑盒fuzz,总之有风险的奇淫技巧都可以在测试环境去实现。

 

最后讨论办公环境,办公环境安全最容易被忽视,很大一部分攻击都来自办公环境,不管是内部员工,还是从办公环境跳一层的攻击者。办公环境的安全可以从网络安全、主机安全、漏洞管理这三方面来评估。

20180624152656

网络安全,办公环境最重要的就是网络准入,包括远程准入和办公网准入,需要强口令、MFA来保障,另外也要限制物理接入范围,比如WIFI的信号范围等;然后不同安全区通过VLAN做好网络隔离;针对局域网安全做好针对性的加固,比如交换环境下特有的一批攻击的加固,还有DHCP和DNS的安全加固;在办公网应该要有入侵检测产品,可以从流量中发现异常,不仅仅是一些漏洞攻击,还要能检测出隐蔽通道通信等高阶攻击的能力;邮箱安全包括邮服自身的安全,和对恶意邮件的检测;另外就是边界控制,不能把内网端口开到外网,内网机器有反连行为也要能检测到。

主机安全,防病毒、DLP、账号管理、数据加密,比较常规,其中数据加密这块,需要把所有公司相关的数据进行加密,最好全盘加密。

漏洞管理,需要有周期性的漏洞扫描机制,最好有自动化的补丁推送机制,流程上管控会有很多遗漏。

另外不容忽视的是安全教育,一场好的安全意识培训,可以避免很多安全风险。

 

写着写着感觉有点跑偏了,安全评估完全跑到了安全建设角度了,不过攻防结合着来评估可能更加实用、可行。

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注