初到公司,,參加信息安全工作大會(huì)時(shí)領(lǐng)導(dǎo)說(shuō)的話(huà):“目前,集團(tuán)的信息安全剛剛起步,,各項(xiàng)工作還是要靠大家。前面的池子很大,魚(yú)很多,,挑戰(zhàn)也很大,。還望各位做好準(zhǔn)備,拿好網(wǎng)子,,開(kāi)始撈魚(yú),。這個(gè)過(guò)程沒(méi)有人能夠幫助你們,都需要自己一步一步走出來(lái),?!?/p>
“撈魚(yú)”——是一個(gè)需要技巧的過(guò)程
相信,很多同仁曾與我有同樣的經(jīng)歷,,陌生的環(huán)境,,一切從零開(kāi)始。除了知道自己工作的工位與廁所的距離外,,其他事情一時(shí)間還不知道從何入手,,但是很快領(lǐng)導(dǎo)就關(guān)切的慰問(wèn):“最近你都在忙啥?,!” “……”
OK,,閑言少敘,先說(shuō)說(shuō)我走過(guò)的一些彎路:
急于了解公司網(wǎng)絡(luò)和服務(wù)器情況,。第一步,,找網(wǎng)絡(luò)負(fù)責(zé)人要個(gè)拓?fù)鋱D;第二步,,再找服務(wù)器管理員,,要一下服務(wù)器相關(guān)資料,順便Nmap一下,。第三步,,再找業(yè)務(wù)部門(mén)要一些資料,來(lái)個(gè)WEB掃描,,交差指日可待,!
然而,得到的確是異口同聲的:“你說(shuō)的資料我們沒(méi)有,!”?,F(xiàn)在回想,其實(shí)也很簡(jiǎn)單,,這個(gè)世界沒(méi)有免費(fèi)的午餐,,我們不能一上來(lái)像個(gè)巨嬰一樣的要這要那,要切身處地的想清楚,,我們能給哪些部門(mén)及同事提供必要的支持與幫助,,而不是索取,。
所以,正確的方法如下:
1)先了解組織結(jié)構(gòu),。
了解企業(yè)的組織結(jié)構(gòu)是很有必要的,,就拿IT部門(mén)來(lái)說(shuō),一定會(huì)有做網(wǎng)絡(luò)管理的,、數(shù)據(jù)管理的DBA,、應(yīng)用開(kāi)發(fā)的同事,甚至還有業(yè)務(wù)分析的,、做PMP項(xiàng)目管理的等等,。先了解哪些部門(mén)跟自己的工作緊密度高,而其他一些部門(mén)的工作又都是如何開(kāi)展的,,相關(guān)的安全信息應(yīng)該從哪里收集,,又應(yīng)該流向哪里,;各個(gè)崗位對(duì)于信息安全的理解程度如何。通過(guò)訪(fǎng)談,,了解對(duì)方的工作內(nèi)容,、工作方法和所面臨的的問(wèn)題,,都是最最重要的環(huán)節(jié)。當(dāng)然,,如果有人帶著你那一定會(huì)事半功倍,!
因此,,從我多年的工作經(jīng)驗(yàn)發(fā)現(xiàn),其實(shí)大家對(duì)于信息安全的理解能力和認(rèn)識(shí)真的大大出乎當(dāng)時(shí)我的想象,,這也是我所學(xué)的第一課,,就是“土辦法”其實(shí)是最具有企業(yè)特色的安全管理辦法,。
比如,,這個(gè)過(guò)程中我發(fā)現(xiàn)了,,即使沒(méi)有一些安全管理制度,但是大家還是可以按照規(guī)定的動(dòng)作,,低風(fēng)險(xiǎn)的處理數(shù)據(jù)和匯報(bào)工作,。即使門(mén)禁簡(jiǎn)陋,,機(jī)房進(jìn)出依然會(huì)有相關(guān)記錄和問(wèn)題說(shuō)明本本,。開(kāi)發(fā)雖然沒(méi)有受過(guò)安全的專(zhuān)業(yè)訓(xùn)練,,但也知道一些基礎(chǔ)的符號(hào)檢驗(yàn)機(jī)制和數(shù)據(jù)應(yīng)該傳輸加密,。
所以,,沉下來(lái)少說(shuō)多做,,先了解對(duì)方的實(shí)際情況,再結(jié)合相關(guān)的安全場(chǎng)景,,基于我們能夠提供的技術(shù)或者制度予以幫助,這也是獲取彼此信任的最好方法,。
2)獲取網(wǎng)絡(luò)結(jié)構(gòu),。
先了解機(jī)房在哪里,,我們用的哪些服務(wù)器,,都是什么樣的操作系統(tǒng),是Windows多,,還是Linux多,有哪些網(wǎng)絡(luò)甚至安全設(shè)備,,是如何分布的,。如果已經(jīng)有防火墻了,看看里面的配置情況,,你能了解到很多現(xiàn)狀,比如:網(wǎng)絡(luò)區(qū)域劃分情況,、網(wǎng)絡(luò)IP地址分配情況,、是否開(kāi)啟了7層安全防護(hù),,不同區(qū)域的訪(fǎng)問(wèn)關(guān)系,,一些核心業(yè)務(wù)系統(tǒng)的前后臺(tái)結(jié)構(gòu)等等,。還是那句話(huà),,少問(wèn)多看,。當(dāng)你自己能夠自己畫(huà)出一整套“模糊”的拓?fù)鋱D的時(shí)候,,你就可以開(kāi)始干活了,。
申請(qǐng)一個(gè)IP,,用Nmap掃描一下看看,去了解以后你需要保護(hù)的那些可愛(ài)資產(chǎn)的具體情況,。
沉下來(lái),一遍遍的豐富自己的拓?fù)鋱D,,服務(wù)器的excal列表,,了解各業(yè)務(wù)之間的關(guān)系,訪(fǎng)問(wèn)控制的控制粒度等等,。或許這時(shí)候,,已經(jīng)有一些敏感數(shù)據(jù)來(lái)到你的面前了,,比如:AD在哪,445端口開(kāi)放情況,,3389和22端口情況,,80和443端口多不多,甚至Tomcat,、Apache、Struts2,、Oracle,、MySQL等都讓你撈到了,。
當(dāng)然這些信息的獲取,,沒(méi)什么沾沾自喜的,因?yàn)槠鋵?shí)除了你不知道,,運(yùn)維人員,、網(wǎng)絡(luò)人員,甚至你的領(lǐng)導(dǎo)都知道,。這個(gè)過(guò)程只是我們快速需要彌補(bǔ)的內(nèi)容,說(shuō)白了我們做安全的到此時(shí)還沒(méi)啥價(jià)值體現(xiàn)呢,。
3)賬號(hào)安全與業(yè)務(wù)結(jié)構(gòu)圖,。
有了上面一些積累,,實(shí)際上你會(huì)發(fā)現(xiàn),,業(yè)務(wù)離不開(kāi)系統(tǒng),,更離不開(kāi)賬號(hào),,先弄明白哪些賬號(hào)是我們自己公司內(nèi)部的,,哪些是對(duì)外提供服務(wù)的。而這些賬號(hào)又是如何管理和使用的,。
以我為例,,還記得剛?cè)牍緯r(shí),我的工號(hào)在5000左右,,剛好賬號(hào)管理的工作也放到信息安全這里,于是乎查了一下AD信息,,看了看賬號(hào)管理的情況。這一看,,一身冷汗來(lái)了,。居然隨便試了幾個(gè)離職人員賬號(hào):有弱口令的,,有未及時(shí)關(guān)閉還能VPN進(jìn)來(lái)的,,甚至有還可以登錄一些業(yè)務(wù)系統(tǒng)的,。
發(fā)現(xiàn)問(wèn)題,,快速解決,。經(jīng)過(guò)半個(gè)月的努力,消滅僵尸賬號(hào)1000多個(gè),,也算走出了第一步,收獲了領(lǐng)導(dǎo)的第一次信任,。當(dāng)然后面的路還很長(zhǎng)。
帶著興趣,,在獲取了一些基礎(chǔ)業(yè)務(wù)系統(tǒng)信息的同時(shí),,就可以開(kāi)始嘗試手工測(cè)試一下我們相關(guān)業(yè)務(wù)系統(tǒng)的強(qiáng)壯程度了,。比如:一些系統(tǒng)沒(méi)有密碼嘗試次數(shù)鎖定機(jī)制、一些沒(méi)有進(jìn)行HTTPS加密,、一些甚至沒(méi)有對(duì)錯(cuò)誤密碼或者錯(cuò)誤收入進(jìn)行日志記錄……等等,。
總之,,在最小傷害業(yè)務(wù)系統(tǒng)的嘗試過(guò)程中,,你可以逐步了解每個(gè)業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀,也可以問(wèn)問(wèn)相關(guān)開(kāi)發(fā)人員在某些代碼方面的安全防護(hù)邏輯。
4)了解公司安全類(lèi)管理制度情況,。
其實(shí)很多企業(yè),,雖然沒(méi)有信息安全專(zhuān)項(xiàng)的管理類(lèi)制度,但也已經(jīng)有了很多類(lèi)似的制度,,比如人力發(fā)布的獎(jiǎng)懲類(lèi)制度,、行政發(fā)布的電腦管理辦法等等。
所以,,不要盲目的把自己手里的“干貨”拿出來(lái)實(shí)行,,或許在你閱讀了許多制度之后,你會(huì)發(fā)現(xiàn),,其實(shí)企業(yè)很多地方的要求,,比某些標(biāo)準(zhǔn)還嚴(yán)格的多。
啟動(dòng)制度類(lèi)工作時(shí),,最好依照發(fā)現(xiàn)的問(wèn)題展開(kāi),,于是乎我們先后編寫(xiě)了機(jī)房安全管理辦法、安全開(kāi)發(fā)標(biāo)準(zhǔn)及評(píng)估方法,、中間件或補(bǔ)丁更新升級(jí)方案,,以及操作系統(tǒng)安全基線(xiàn)等落地的標(biāo)準(zhǔn),并及時(shí)推廣,。
二,、基礎(chǔ)安全工作,你的細(xì)節(jié)決定成敗
基礎(chǔ)工作非?,嵥?,甚至包括了一些產(chǎn)品測(cè)試、上線(xiàn)等工作,,而許多互聯(lián)網(wǎng)公司更是結(jié)合自己的情況自研安全產(chǎn)品,比如WAF,、堡壘機(jī),、甚至防火墻等,。
這里我會(huì)從幾個(gè)基礎(chǔ)層面展開(kāi)來(lái)談:
1)做好訪(fǎng)問(wèn)控制和策略控制,。
相信大家經(jīng)歷過(guò)“一墻在手,,天下我有”的感覺(jué),,任何一個(gè)訪(fǎng)問(wèn)關(guān)系的轉(zhuǎn)變都需要員工提流程,再經(jīng)由安全部門(mén)根據(jù)安全原則審批開(kāi)發(fā)后方可實(shí)施,。但是這里,,也是要循序漸進(jìn)的,因?yàn)閯傞_(kāi)始你既不熟悉業(yè)務(wù),,而業(yè)務(wù)也不一定就適應(yīng)你的要求,。所以,可以先放寬條件,,等熟悉業(yè)務(wù)邏輯或系統(tǒng)改造后再逐步收緊,,是很有必要的,。但是不要讓領(lǐng)導(dǎo)或者同事,認(rèn)為你是一個(gè)沒(méi)有原則的人,,所以放開(kāi)策略是需要說(shuō)明潛在風(fēng)險(xiǎn)并且得到了領(lǐng)導(dǎo)甚至業(yè)務(wù)部門(mén)認(rèn)可后,,方可執(zhí)行的,,不然你就成了鍋底,。
為了更好的說(shuō)明我是個(gè)技術(shù)型直男,,在這里我先聊聊關(guān)于訪(fǎng)問(wèn)控制產(chǎn)品的選擇之一——防火墻/UTM,,因?yàn)橐簧群瞄T(mén),,可以讓你以后事倍功半,。甚至可以保住你的飯碗(引用某同行的話(huà)),。
本人用過(guò)幾個(gè)廠(chǎng)家的防火墻,,說(shuō)實(shí)話(huà)差距還是比較明顯的,,需求總結(jié)如下(自行研發(fā)的可跳過(guò)):
不管你是硬件還是軟件,防火墻自身安全很重要,。比如最近就有某墻VPN漏洞,、某墻系統(tǒng)操作系統(tǒng)漏洞等。
能買(mǎi)7層的就別用4層的,。弄個(gè)DVWA實(shí)打?qū)嵉臏y(cè)一測(cè),,你會(huì)知道什么叫做不一樣。一些大品牌的防火墻,,是可以防SQL注入,、文件上傳漏洞、病毒,、反序列化漏洞,、永恒之藍(lán)漏洞等的。
VPN,,日志要清晰準(zhǔn)確,。可不是都有轉(zhuǎn)換前,、轉(zhuǎn)換后IP地址的哦,。另外,最好能提供相關(guān)開(kāi)發(fā)接口進(jìn)行自動(dòng)封堵,??偛荒艽蟀胍古琅榔饋?lái)登陸防火墻踢VPN吧,等一上班再看,?對(duì)不起,,黃花菜都涼了。
用戶(hù)身份識(shí)別必須有?,F(xiàn)在網(wǎng)絡(luò)基本上都是DHCP或者全無(wú)線(xiàn)了,。防火墻必須能進(jìn)行用戶(hù)身份識(shí)別,要不然后面做大數(shù)據(jù)分析,,我真不知道如何下手了,。
日志要能拿的出來(lái)分析,而且是全日志,。不管是流量日志,,還是登陸日志,還是威脅日志,,還是VPN日志,,統(tǒng)統(tǒng)都能發(fā)出來(lái),如果廠(chǎng)商能提供分析模型更好,,如某些品牌提供SPLUNK相關(guān)APP,,為以后的關(guān)聯(lián)分析鋪路。如果玩不轉(zhuǎn),,那就只能每天跟著事件跑了,,要是10000條以上呢?
必須提供標(biāo)準(zhǔn)的全接口開(kāi)發(fā)文檔,,以便后續(xù)實(shí)現(xiàn)自動(dòng)化策略發(fā)布,。自動(dòng)化策略發(fā)布是個(gè)必然趨勢(shì)。超過(guò)4臺(tái)以上防火墻后,,總不能一條條碼策略,,先來(lái)個(gè)1000條嘗嘗?不燙么,?不但降低效率,,而且很容易讓安全防守處于被動(dòng),是睡不好覺(jué)地,。
總之,,經(jīng)過(guò)這幾年的不斷探索,我們已結(jié)合大數(shù)據(jù)分析平臺(tái)模型,,已經(jīng)建立了FW的:IP自動(dòng)封堵,、策略流程化部署、高危策略自動(dòng)drop同步等功能,。大大降低了人員成本,,且讓安全操作員真正成為了安全審計(jì)員。
好鞋還需底子硬,,要不安全建設(shè)跑不快的,。