重保專題|6招帶你輕鬆掃除重保期間網際網路資產安全風險

國慶假期來臨、第二十次全國代表大會舉辦……今年的金秋十月在大家的期待中即將到來。然而，此類重要國家會議活動、節假日對於政府單位、國企、重點高校而言，卻是需要異常警惕的時期。

因為這些組織單位自身的公信力以及較高的社會影響力決定了其成為黑產組織們的下手物件。並且，由於社會影響面大、監管部門要求等因素，這些組織單位對重要時期安全事件的容忍度更低，安全部門的24H值守也成為了必備手段。

儘管如此，網路安全攻擊引起的事故仍頻頻發生。深究其原因，組織單位在風險管控的流程、能力上仍存在差距：

·值守人員有限，安全告警數量過多，無法及時分析出有效攻擊。

·面對突然披露的0Day漏洞，不知道該如何快速排查、遏制影響面。

·攻擊一旦突破邊界，無法立即實行有效措施阻止內網橫向擴散，等等。

因此，如何針對以上難點展開有效防護，關係到這些組織單位、部門等使用者在重要時期的整體安全。實際上，針對網際網路資產的重保服務方案應立足於“事前”、“事中”、“事後”三個維度進行全生命週期網際網路業務安全治理。

圖1

一、重保不同階段的網際網路資產治理重點

1、重保前

(1) “關門收口”：針對暴露在網際網路的資產進行全面清查梳理與暴露面收斂工作。

(2) 風險評估：通過自查、掃描等手段對各類資產進行風險評估，發現網路中存在的風險和隱患，並根據結果提供可操作的整改建議。

(3) 安全加固：利用專業的主機安全加固與檢測響應工具、安全加固措施，防止黑客“埋雷”，並對整改後的風險點進行復檢。

(4) 安全動員：設計攻防演練方案，組織重保前攻防演練並總結覆盤，進一步減少安全隱患。同時通過安全意識培訓使組織單位人員均能全面瞭解資訊系統的安全事項，促進安全人員增強資訊保安的相關技能，確保整個資訊系統安全可靠地執行。

(5) 釣魚防禦：制定反釣魚處置政策、快速響應預案，測試與培訓員工發現網路釣魚電子郵件的能力。

2、重保中

(1) 保障團隊：成立資訊保安處理小組，重保期間7*24小時安全監控與值守，每日分析當天web全流量、各類告警、安全裝置等日誌，針對網站可用性、暗鏈、掛馬及其他安全事件進行分析和處置。

(2) 工作流程：確定重保期間工作流程，能夠在第一時間對發生的重大外部安保事件、高危漏洞威脅等通報預警，及時採取相應處置措施，由專家級入侵取證人員分析入侵路徑和手段，溯源取證。

(3) 攻防對抗：具備攻防資料視覺化能力，能夠提供多維畫像供研判分析攻擊，聯動多種安全裝置快速處置攻擊行為，及時掌握全域性攻擊對抗的趨勢，實時針對可疑的攻擊及時調整策略。

(4) 應急響應：完善應急響應流程，按照事件發生的時間，首次發現的主要部位情況，通過大量日誌化資訊的關聯分析，進行快速響應與審計溯源，並形成證據鏈及時上報。

(5) 溯源分析：通過對受害資產的日誌及流量進行分析，還原攻擊者的攻擊路徑與攻擊手法，及時修復漏洞與風險，避免二次安全事件的發生。

3、重保後

(1) 回顧目標：明確在重保前的既定目標，設定整體的覆盤基調。

(2) 評估結果：將重保前的既定目標作為參照物進行對比，通過對比，找到目標和實際結果的差距。

(3) 分析原因：根據上述評估結果，對重保期間防護成效進行深入分析，檢查已有的現狀及風險，找到原因和問題。

(4) 總結成果：對真實情況進行總結，對內部存在的防護薄弱點進行思考，對攻擊事件進行彙總梳理，對存在安全缺陷進行整改跟進，縮小業務受攻擊面，提升業務安全防護能力。

二、安全狗網際網路資產全生命週期防護

• 資產梳理

圖2

針對暴露在網際網路的資產進行全面清查梳理工作，關閉檢測到所有直接暴露在網際網路的埠、域名、服務等；明確網站與系統的主管單位和具體責任人，形成詳細清單和臺賬。

·遠端辦公安全接入——隱藏埠、服務、IP

圖3

- 基於雲實現的應用隱身，可實現企業網路的完全隱身（不暴露IP及埠）。

- 基於SDP的隱身，通過SPA協議（在初次建立連線時，要求協商的第一個包必須為SPA報文，且該報文中會攜帶私有憑證）隱藏網路埠與服務，讓業務伺服器只對授權的SDP終端可見。

02風險評估

圖4

漏洞掃描：通過多種專用工具掃描手段對指定的遠端或者本地的網路裝置、主機、資料庫、作業系統、中介軟體、業務系統等進行脆弱性評估，並提供可操作的安全建議。

配置核查：針對行業特點和安全基線規範基準的指令碼，通過對資料庫、中介軟體和應用的配置等進行細粒度的安全符合性檢查，找出不符合的項並實施安全措施來控制安全風險。

弱口令掃描：通過專用工具對指定的主機、應用、服務等進行弱口令掃描並提供可操作的弱口令修復建議。

入侵痕跡檢查：針對隱藏建立賬號、未知網路連線、webshell、僵木蠕等可疑入侵痕跡提前進行排查。

安全機制校驗：針對現有安全體系的安全監控、安全防護、安全策略、網路策略進行查漏補缺並提供可操作的安全建議，安全策略必須遵循最小開放、全面覆蓋原則。

敏感資訊檢查：對組織單位全域性進行敏感資訊檢查，包括敏感檔案分佈情況、敏感檔案流轉記錄並提供儲存與備份建議。

滲透測試：模擬黑客的思維和方法發現業務系統漏洞及安全隱患，全面驗證脆弱點，明確測試物件的安全隱患，並能夠檢視安全加固後的安全防禦能力，最大限度削減脆弱性，主要滲透物件包括了網際網路應用系統、網際網路可達裝置或主機。

圖5

03安全加固

圖6

· 主機安全加固：基於檔案自主訪問控制，對伺服器上的敏感資料設定訪問許可權；實現檔案強制訪問控制，提供作業系統訪問控制權限以外的高強度的強制訪問控制機制，杜絕重要資料被非法篡改、刪除等情況的發生，確保伺服器重要資料完整性不被破壞。

· 應用系統安全加固：對應用系統身份鑑別風險驗證，檢視傳輸體中的使用者資訊和密碼資訊是否有使用強加密方式進行傳輸，是否有對不同登入使用者進行身份識別並採取相應措施保證應用系統中不存在重複的使用者身份標識，身份鑑別資訊不易被冒用；同時對系統使用者的每一次登入和其對系統重要模組的操作均記錄日誌，通過日誌安全分析操作行為，發現安全問題。

· 網際網路資產加固：從程式碼層修復漏掃及滲透發現的問題，對於無法從程式碼層修復的系統直接關閉系統或關閉對映，若實在無法關閉應將其與其它系統單獨隔離出來；所有對外業務使其經過安全防護裝置（防火牆、WAF、入侵檢測、防毒牆等）；對於公有云上資產設定安全組，接入雲安全防護（如雲防火牆）、軟體安全防護軟體等。

除此之外，協助組織單位構建重保期間安全縱深防禦能力增強體系：

圖7

· 應用安全縱深加強：

主機應用防火牆：通過核心rasp技術及部署軟探針對主機應用伺服器提供有效的web應用防護。

網站防篡改系統：通過第二代水印技術 + 第三代檔案保護技術網站進行雙重防護，實時發現網頁被篡改風險。

· 威脅檢測與溯源反制縱深加強：

網路流量分析系統：通過部署硬體閘道器裝置實時分析網路全流量，發現網路層面安全風險。

欺騙防禦系統：通過欺騙技術設定陷阱協助主動發現攻擊行為並進行精準溯源。

綜合安全分析預警平臺：通過大資料分析技術結合眾多資料來源，提前預警發現安全風險。

04安全動員

在完成暴露面風險縮減、風險評估、安全加固工作並對發現的風險點進行修補之後，邀請多支經驗豐富的紅隊人員一同參與紅藍攻防演練，模擬高度模擬的網路攻擊行為，檢測企業內部安全部門的安全事件應急能力。

本階段的攻防演練突破傳統滲透測試的限制，在攻擊裝置及流量全面審計的前提下，不限攻擊路徑，不限攻擊手段（加入社工釣魚，近源攻擊等手段），進行高模擬模擬演練。

紅隊人員進行全範圍、多層次、多重混合的模擬攻擊，以攻擊者的角度出發，採用攻擊者的思維方式對企業真實線上環境進行攻擊測試，並嘗試發現不同角度存在的安全漏洞和防護體系缺陷。

企業安全部門的人員與系統運維人員開啟主動防禦與檢測手段，檢驗企業整體網路“從外到內”、“從內到內”、“從內到外”的安全檢測與應急能力。

圖8

· 從外到內：用搜集到的企業資產資訊，針對性的對企業外部的Web及其他開放應用服務、網路裝置、防火牆規則等的安全性測試，一旦外部資產存在高危風險缺陷，則可直接從外部攻擊企業內部的應用伺服器然後獲取內部重要資料。利用社會工程學和無線安全測試對企業內部人員和企業無線裝置進行安全測試獲取企業內部敏感資料。

· 從內到內：在內部網路對主機、應用系統、網路裝置等進行橫向的攻擊測試，找出內網存在的安全風險。

· 從內到外：在內部網路對主機、應用系統、網路裝置等進行控制，嘗試反彈shell許可權、收集大量重要情報資訊等傳輸到外部網路。

· 總結與整改：及時修復、驗證演練過程中發現的風險點，舉一反三進行內部其他資產自我排查，避免相同風險點重複出現；向全體員工開展網路安全意識培訓，就本次演練暴露的問題與日常辦公實際相結合；針對演練全流程所暴露的問題，及時制定、完善企業內部的資訊保安信管理條令條例。

05釣魚防禦

· 制定反釣魚處置政策：涵蓋有關網路釣魚、常見社會工程詐騙和相關安全意識主題，包括使用者不得安裝未經授權的軟體；在點選之前總是分析網址；永遠不要回復可疑的電子郵件或文字，並始終報告任何看起來可疑的電子郵件或互動；應與請求者口頭確認超過特定額度的電匯，以防止商業電子郵件攻擊或電匯欺詐等內容。

· 培訓和測試員工發現網路釣魚電子郵件的能力：針對最有可能面對的網路釣魚活動對特定業務部門進行培訓和測試。例如，開發人員可能會看到以雲端計算廠商為主題的活動，而招聘人員可能會看到以簡歷為主題的網路釣魚誘餌。

· 協助設定舉報機制：鼓勵使用者舉報釣魚郵件，讓每個員工都保持警覺，能夠第一時間發現釣魚攻擊。

· 監控暗網：持續監控暗網中的公司名稱和公司電子郵件地址，可以在犯罪分子偵察階段及時發現企業是否即將成為網路釣魚活動的目標。

· 制定網路釣魚事件的響應預案：制定預案響應網路釣魚攻擊事件並做處置，同時對網路釣魚事件的響應進行桌面演練。