【技术分享】内网账户安全实践

2018-03-15 8,497

Google提出了BeyondCorp,这个项目有几个本质上的改变,一是完全摒弃了原有基于网络的信任模型。二是采用了零信任,也即是采用端到端的全链路验证。因此,Google现在可以把内网的边界全部撤掉,因为他有足够的安全感知能力。下图是Google的验证方法:

看完Google的方法,我就一直在思考,有哪些可借鉴,并且可操作的方法。经过一段时间的调研和实践,我们在内网上实践了自己的方法。

一、现状及问题

先说说我们现状,公司内网有大量应用,访问控制上的手段是网络边界、SSO账号密码和短信验证码认证。现行的规则比较简单,如果是内网访问,则只需要账号密码即可。如果远程访问,则需要短信验证码。这些年也发生了不少安全问题,包括员工账号被撞库、钓鱼、木马,甚至内外勾结把密码给到别人的情况。因此,对员工账号的安全管理,也到了一个需要改革的阶段了。

先举例说几个当前阶段的问题:


1、木马

员工被邮件钓鱼,且被种下木马,木马对内部系统发起暴力口令破解,引起部分系统异常。由于是内部系统,并未对异常登录进行锁定或验证码。而且,由于发起攻击的是内部IP,属于可信范围,也不做短信验证。


2、访客

在办公场所里有很多外部用户,比如客户、外包、面试人员等访客。访客使用的是一个guest网络,但由于某些时候工作需要,会有一些安全意识差的员工,给这些访客一个内部网络的账号,或者直接接入有线网络。当然这可以通过准入来解决,但由于业务原因,我们的办公点分布在全国有几百个,有的小办公点根本谈不上准入。因此就发生了访客利用办公网络发起对内部应用的攻击。同样由于是内部IP,也是可信范围内。


3、远程办公

这倒不是一个风险,而是一个体验上的问题。员工在家远程办公,长期使用同一物理位置、同一台电脑和晚上周末加班时间。但由于规则限制,员工必须使用短信验证码来登陆,表面来看似乎提高了安全性,但实际上是属于体验的一种损害。更关键的是,增加了系统威胁检测的噪音,每天收到大量的安全报警,真正的威胁就会被淹没。

二、设计方案

因此,我们决定扔掉这些过时的静态规则方法,使用更智能的办法来进行员工账户管理,这个方案要对用户少打扰或免打扰,能够优化用户的体验,且对安全有更好的保障能力。Google的方法里有一些我们可借鉴的地方,也有一些对我们来说不现实的地方。

所以整个方案大概的意思,我们使用机器学习来评估每次登陆的风险,对高风险进行二次挑战。如何评估登陆风险呢,使用了4个维度:网络、位置、设备、时间,这些是我们最容易拿到的数据。通过这些数据学习用户的典型行为,离散度越大则风险评分越高。简单的例子来说,如果IP判定来自于信任度低的IP(比如匿名代理或云服务器),则风险就高,再比如IP来自该用户从未出现过的城市,也风险偏高。因此,是一个简单机器学习的风险评分机制。

和以前相比,这个方案会随着学习时间更加智能化,能够解决钓鱼攻击、访客攻击、移动设备被盗、黑客、僵尸木马、账户被盗,且优化用户体验。

三、风险防御

因此这个方案上,针对各类风险的评分大致情况如下:


1、木马

例如之前的木马攻击,在员工电脑上种下木马,反复尝试应用访问。假设木马在工作时间、工作地点攻击,因此在时间和位置上不会处触发检测。但木马使用了一个隐藏的浏览器,且浏览器分辨率是300*200,这是典型的小窗口性质的木马,因此触发规则。另外,由于木马启动后,行为和正常用户的偏离过大,因此也触发了这一规则。这时候则评分过低,推出双因素认证挑战,木马无法提交,因此攻击被阻止,并引发系统报警。

其实这也是一个零信任的概念,即使你在防火墙内的IP,也会被检查。


2、恶意访客

访客获得内部WIFI密码,然后尝试使用员工账号访问应用。这时的判断是,有一台新的设备进入,需要对其进行双因素验证。而在这个环节上,不需要判断用户行为的基线偏离,因为还没通过验证。


3、远程办公用户

由于远程办公的网络信誉、地理位置、设备指纹等相关验证要素评分正常,因此直接允许,无需短信验证。

对于其他风险,则在各维度上均有指标判断:

因此我们搞了一个工作台,用于提供风险评分的判断,但这个工作台只有管理员可以看到。

四、注意事项

我写起来比较简单,但实际上这些风险判断因子都需要有大量基础工作支撑。

比如设备指纹,需要把每个设备的指纹和资产库对照,并且埋点。我们直接取了业务风控的设备指纹数据,这么做的好处是,保持内外指纹的一致性,这样可以比对内外勾结。另外,业务风控也取了一些其他字段,例如wifi信息等,这些数据可以用来做新的判断维度。

再比如IP,代理IP和云服务器IP之类的,都需要有工具实时收集。

另外,目前我们还是一些比较基础的规则,加上对行为的机器学习。这些规则需要保密,不能公开,一旦公开就会有人试图绕过。所以更长远的来看,还需要更多的维度去做判断。

五、参考文档

参考文档:

跟着Google学基础架构安全 http://mp.weixin.qq.com/s/TP3NAwnaBiODtJK1r_hHbw


【本文由入驻安全脉搏的唯品会SRC发布,原创作者:mcvoodoo

本文作者:VSRC

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/69388.html

Tags:
评论  (0)
快来写下你的想法吧!

VSRC

文章数:28 积分: 50

感谢各位安全专家长期关注唯品会安全。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号