安全课堂|从场景化思维落地主机安全运营

2021-02-05 8,557

前言

在越来越关注攻防对抗实战防护能力的今天,尤其在部署了相对完善边界网络安全产品后,我们重新审视自身的网络安全纵深防御体系,发现在资产管理、内部隔离、漏洞运营等基础安全工作上依旧存在跟不上网络安全态势变化情况的问题;同时,随着内部网络架构从传统的 IT 架构向虚拟化、容器化升级与变迁,内部隔离不再是一件容易的事情。

 

为适应攻防对抗防护的要求,以及满足新的 IT 架构的要求,我们不得不再重新审视和分析隔离的重要性。

 

现在客户对主机安全服务的要求越来越高,迫切需要具有闭环价值的安全产品,即,产品不仅能够发现威胁,最好还可以提供切实可行的解决方案或解决建议,比如在检测到挖矿木马之后具备自动清理掉的能力;在发现漏洞后能提供修复能力;检测到暴破攻击后有阻断能力等等。

 

笔者结合一些大型企业案例经验,总结出以下场景。希望本文能够起到“抛砖引玉”的作用。如有更好的见解,望不吝赐教,笔者不胜感激。

 

场景.1 风险资产处置25问

摸清家底是安全检查的第一步,所以要确保做到资产有人建,有人管、有人用、有人防。

 

1. 针对端口你有做过以下思考和排查吗?

·哪些主机有监听22、3389、139、445等端口?

·哪些端口无需对外开放?

·哪些主机有做端口策略?

·哪些主机端口变动较为频繁?

 

2. 针对账号你有做过以下思考和排查吗?

·哪些账号具有管理员权限?

·哪些账号可交互登录?

·哪些账号已过期?

·哪些账号密码已过期?

·哪些账号UID不唯一?

·哪些账号该禁用但未被禁用?

·哪些账号半年内或一年内从未登录过?

 

3. 针对web站点你有做过以下思考和排查吗?

·哪些主机存在web站点?

·哪些web站点是僵尸站点?

·哪些站点以管理员权限运行?

·Web站点运行日志格式是否统一?

·Web站点运行日志格式是否统一?

 

4. 针对web应用框架你有做过以下思考和排查吗?

·哪些主机存在web应用框架?

·Web应用框架的类型有哪些?

·Web应用框架的版本有哪些?

·Web应用的路径是否统一?

·业内爆出的高危漏洞是否对我有影响?

v2-358612f87f2d149a4d951733e7fb6716_720w.png

 

5. 针对数据库和中间件你有做过以下思考和排查吗?

·数据库和中间件的类型有哪些?

·数据库和中间件的版本有哪些?

·数据库和中间件是否退运?

·数据库和中间的安装路径是否统一?

 

面向互联网侧资产暴露面的管理,可通过对资产细粒度的采集发现系统里的存活资产,实时监测资产的更新情况。结合内外威胁情报,全面监控系统整体漏洞风险。

 

安全狗云眼4.0为用户提供资产上帝视角,可采集主机所有web站点、账号、账号权限、账号状态、web应用、端口等资产并进行详细分类和变更分析,帮助安全人员快速定位和处置风险资产。

场景.2 如何监控并处置主机异常行为?

在事前、事中、事后三个阶段,安全狗云眼从资产聚合、反杀伤链、入侵响应三个维度对主机安全问题进行分析,通过主机EDR能力的增强,反哺SIEM或SOC平台,最终达到全网自动响应已知威胁的能力以及对未知定向攻击的检测告警能力。

 

1. 事前高危响应

·从安全运营角度对资产进行清点和发现,实现检测异常、风险评估及关联分析

·以符合业务运营的视角对资产安全状态进行管理,共同维护资产信息的完整性和准确性

 

2. 事中持续攻击

·洛克希德-马丁公司的“杀伤链”模型将一次成功的网络入侵攻击行为分为了七个阶段,安全狗通过理解和分析模型,构建了反杀伤链模型

 

3. 事后已被入侵

·梳理入侵分析、应急响应处置环节思路,假设已经被攻陷,并获取了系统和设备权限,控制了内网多个主要目标

·被黑处理及追踪溯源

 

4. 事后已被入侵弹性安全

·从发现、识别转向快速响应,最终形成闭环

·增强应急响应与安全联动

场景.3 如何预防并处置勒索挖矿病毒?

勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

 

勒索病毒文件一旦进入本地,就会自动运行。在这之后,勒索病毒利用本地的互联网访问权限连接至黑客的 C&C 服务器,进而上传本机信息并下载加密公钥,利用加密公钥对文件进行加密。

 

针对挖矿病毒,通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,服务器或PC访问[过]不受信任的地址,服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中,服务器或PC的定时任务发生变更的话,我们基本可以判定被挖矿。

 

为了避免被挖矿和中勒索病毒等情况的发生,我们需提前进行预防,根据以下十点安全建议对内网进行安全检查及安全加固,并形成常态化的安全巡检工作周期性开展:

 

1. 定期对服务器进行安全体检,并及时更新漏洞补丁和病毒库

关注安全厂商发布的漏洞预警和病毒预警,对自身资产进行自查。除业务需要服务外,限制其余不必要服务及端口;

 

2. 使用安全性高的密码并定期更换

很多计算机管理人员并没有意识到自己使用的是弱口令,如密码带有设备、个人、单位、部门信息;常用英文单词(如Password、key、Huawei、admin)等关键词变型;键盘规律字符(如qaz、qwe、!@#、147)等等都是弱口令。

 

建议使用大小写字母+数字+符号八位以上的字符串(最好是无规则)用作密码。且强烈不建议多台机器或数据库使用同一密码,应做到一机一码;

 

3. 建立灾备方案,及时备份重要文件,且文件备份机应与主机隔离

在信息安全中是不存在绝对安全的。因此对于重要资产应建立一套完整的灾备方案,例如定时做好数据备份,建立备用服务器,做好主备机器切换策略,定期进行灾备演练;

 

4. 限制服务器上的powershell

黑客经常利用powershell来完成渗透攻击,而大部分服务器上承载的业务其实用不到powershell。因此,若业务上用不到powershell组件,建议将其关闭或禁用;

 

5. 对内网端口进行细粒度管控

 

6. 对非可信来源的邮件保持警惕

避免打开附件或点击邮件中的链接,同时也要避免打开社交媒体分享的来源不明链接,给信任网站添加书签并通过书签访问;

 

7. 安全的远程连接方式

确保所有的计算机在使用远程桌面服务时采取VPN连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭;

 

8. 注意内部信息保密

避免内部服务器账号信息流入黑市;


9. 对服务器运行状态进行精准监控

发现CPU、内存和IO等资源异常及时告警;

 

10. 建立本地威胁情报库

场景.4 如何开展微隔离工作?

1. 网络隔离的四大问题现状:

1)策略的管理和隔离的动作都是发生在主机防火墙上,大量、频繁的配置工作需要人工参与,容易出现配置错误,造成网络或业务中断;

2)随着主机/服务器数量增多,导致主机安全策略总数大幅增加,出现策略配置错误时,不易排查;

3)目前按照业务系统类型进行安全分区分域,但主机之间安全管控方面比较宽松,同一安全域之间主机无法做到精细化管控。

4)随着攻击手段的不断升级,0day漏洞也在日益增多,面对0day无法做到影响面的评估和有效的预防。

 

2. 如何做微隔离:

在微隔离的安全体系中,具体的访问控制是通过主机防火墙来做的,但是策略不在主机防火墙上,而是配置在策略计算中心。这个计算中心从全局收集信息,然后根据预先定义好的高级安全策略去做具体的策略计算,然后生成主机防火墙能够看得懂的五元组策略,并配置回去。

 

3. 安全狗解决方案

1)实现主机基于业务角色的快速分组能力,为隔离分区提供基于业务细粒度的视角(解决传统基于IP视角存在较多管理上的问题);

2)在业务分组的基础上自动化识别内部业务的访问关系,并能通过可视化方式进行展示;

3)实现基于业务组之间的隔离能力、端到端的主机隔离能力、异常外联的隔离能力,支持物理服务器之间、虚拟机之间的访问隔离;通过隔离全面降低东西向的横向穿透风险,支持隔离到应用访问端口,实现各业务单元的安全运行;

4)具备可视化的策略编辑能力和批量设置能力,支持大规模场景下的策略设置和管理;

5)具备策略自动化部署能力,能够适应私有云弹性可拓展的特性,在虚拟机迁移、克隆、拓展等场景下,安全策略能够自动迁移;

6)具备对主机资产做详细梳理的能力,对网络空间中受0day、1day漏洞和行业关注威胁影响的资产进行快速盘查定位。


本文作者:安全狗

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/153117.html

Tags:
评论  (0)
快来写下你的想法吧!

安全狗

文章数:32 积分: 180

基于智能驱动的新一代云安全公司

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号