企业网络安全如何构建?
作者:卫sir
链接:https://www.zhihu.com/question/513408275/answer/2655549475
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
先看一下这张图,这是欧洲中世纪非常典型的棱堡。
棱堡在十字军东征期间,代表基督教世界的医院骑士团占领了意大利罗德岛,在岛上修建了这样的棱堡,用7000多人抵御奥斯曼帝国,而对方,派出400艘战舰和10万人的军队发起攻击。城堡分外城和内城,城墙设计成凹陷形状,外面还挖了壕沟,这样,不管是敌军从哪个方向进攻,守方都可以在两个面上对来犯者进行打击。奥斯曼帝国使用火炮、挖地道、正面攻坚等方式下,两个月后,终于攻破了外墙。骑士团依靠内墙,又抵御了3个月,最后,双方由于精疲力尽,缺乏补给,谁也再耗不起,最终通过和谈方式才结束了战争。骑士团携带财产完美退出。显然,纵深防御思维作为人类战争中最朴素的思维,在网络安全领域一样适用。但专门研究网络安全纵深防御的文章非常少见,人们通常觉得说说就可以了。对于一个企业或单位,要构筑多少道防线,以及怎样的防线,才能抵挡中国顶尖级别的黑客团队?我认为至少要五道。第一道:边界防御边界防御是最基础、最常用,也是最管用的。一个单位,即便人力和资源再有限,也会在边界上投入的。这其中,防火墙是最基础的。注意一点,对于比较大的单位,建议仅使用防火墙的网络封禁能力,不要使用其他那些花里胡哨的功能,这主要是从性能角度考虑,让防火墙**做单一的事,其他功能让其他设备做。防火墙封禁应尽可能做到自动化、简单化、减少误操作,使得操作员简单填入IP就可以封禁,而不需要登录防火墙操作。具体参见《如何封禁大量恶意IP》。第二类产品是IDS/IPS,这个比较古老,而且多年来一直以海量报警而闻名,所以形象比较差,一般而言不是监控防御的主力选手。WAF是一道防线的重要组成部分,可以抵御常见的WEB攻击,这类产品已经比较成熟,通过返回HTTP错误的形式拦截攻击。由于其自动化拦截能力,WAF是一道防线必不可少的。K01这类产品,结合情报信息,可以实时阻断进犯IP,而且不用串接,也是很有力的工具。它通过发送TCP reset包分别到访问端和服务端,有很好的拦截效果。还有一类工具叫“动态安全”,这类产品,可以自动识别访问者是自然人还是黑客工具。如果发现是后者,则自动阻断(返回HTTP错误),这让惯用工具的黑客非常头疼。它的基本原理是:设备以中间人形式串接在服务端和访问端之间,当服务端返回响应页面时,设备在返回页面中插入js,要求访问端(浏览器或黑客工具)执行js并计算出token放入cookie返回,设备收到token后进行判断,判断对方是否为黑客工具并采取相应动作。这类产品还可以对页面中的指定内容(比如页面中的url或是表单内容)做加密。虽然从理论上讲,这种加密难不倒一个意志坚定的密码学爱好者(因为客户端和服务端之间并没有实现一个完美的密钥建立机制),但对付那些熟练的渗透工具使用者已经足够。部署时,对于HTTPS应用,这类产品应放在SSL网关之后,如果并没有SSL网关,要把服务端的证书和私钥导入产品,总之,产品要能看得见明文。一道防线主要部署在企业边界和DMZ区。一般来说,会有这样的复杂性:入站的流量经过一层层的安全设备,在逻辑上呈现出糖葫芦状,在部署和维护时,需要清晰梳理关系和路由,比较麻烦。使用流量编排设备,可以通过SDN技术将流量进行灵活、简单地配置,原先串接的安全设备放入安全资源池中,流量经过谁,不经过谁,先过谁,后过谁,经过一台,还是多台,都可以通过Web界面做比较容易的编排,这就轻松多了。流量编排使得安全结构和网络拓扑解耦,在部署和维护上会带来很多便利。这篇文章《网络智能流量编排探索》很好,感兴趣可以看看。第二道:监测响应第二道防线的名字不太好取,我反复思考以后,将其命名为监测响应。二道防线中的重点不是拦截,而是能准确发现正在发生的攻击,不管是从外部还是内部发起的。像NTA、NDR,都属于这类工具,为确保安全,一个单位应至少部署两到三家这样的产品,互相弥补对方的不足:即便一家发现不了,另一家也可能发现。当然,最好的情况下,这类产品可以和防火墙联动。很多产品仅分析访问单向来包,并不做双向的分析。WEBIDS做得比较好,它能够对http请求和响应进行综合分析,服务端是否已经被控,很有价值。蜜罐/蜜网主要用来引诱攻击者,内网的蜜罐如果被触发,不是误触就是攻击者已经进来。通常应在各个网络区域都开启蜜罐,只要是不用的IP都放入蜜罐。可以购买专门的产品,也可以利用负载均衡的功能来设置。抗APT工具这里不多说了,它的侧重点和优势在于发现木马。在检测木马(包括隐蔽信道)方面,还有一种比较新的产品是加密流量检测。现在,几乎所有木马都采用了加密方式,没有私钥是无法解开分析的,这类产品可以通过特征匹配、行为识别和机器学习的方法,在不解密的情况下,分析一个加密流量是不是木马流量。总之,这道防线的产品很多,而且往往会用到很多先进技术,但能力和易用性参差不齐,能否买到好的产品,既考验判断力,也考验运气,如果条件允许,多部署一些总是对的。从基础设施上讲,单位最好能建设一个流量汇聚平台,该平台可以采集各个网络区域的流量,然后汇聚和处理,最终输出到需要流量的设备,这样,各类安全设备不用到处接流量,集中部署并享用流量输出就可以了。这篇文章《数据中心流量如何整合应用》就是讲这个的,有兴趣可以一看。第三道:访问控制基本上,内网里面的一切访问控制措施都可以认为是第三道防线。这道防线体现一个单位的安全基本功,也体现一个单位的信息科技实力。访问控制其实就是给攻击者处处设卡,让攻击者寸步难行。从网络访问的角度看,网络分区,系统间的隔离,终端间的隔离,以及网络准入、DNS安全等,都是非常有效的防护手段。从资源访问的角度看,使用虚拟桌面、堡垒机、特权管理这些工具,使得服务器、网络设备、数据库不能被随便访问,结合口令管理、认证管理(包括双因素)、审计管理(录屏取证)等,不仅防外部攻击,也防内部人员攻击。从应用访问的角度看,通过开发安全、认证授权、加密通信、加密存储、漏洞管理等这些工作,来保障应用系统的安全性。这方面内容很多,这里不细说了。值得一提的是,看似不起眼的口令管理,应该格外重视,很多所谓著名黑客的著名攻击,并没有什么技术含量,仅仅是口令的窃取和尝试成功而已。一个单位的口令管理应尽可能自动和严格,强制口令复杂度、强制定期修改,对于重要系统强制双因素认证(短信或动态口令)。这些看上去不难,但能做好的很少,只有很懂安全的单位才能做好这件事。从安全的本质讲,第三道防线是最重要的。一道和二道防线在很大程度上都是在帮助三道,如果一个应用系统自身不安全,前两道防线能挡一挡,但终究是挡不住的。如果应用系统很安全,即便没有前两道防线,攻击者也无计可施。看过我写的《区块链安全和传统安全的区别》都知道,安全说到底,是程序的问题。开发安全能力,是真正的实力。第四道:端点安全端点通常是攻击者最想拿到的据点,拿下一个机器就代表着一种胜利。这道防线建立在服务器或用户终端上,从技术上讲,这已经是最后的防线了。这道防线最基本的一个功能是防病毒,这里不多说了,主要说说EDR(端点检测和响应)。EDR的重要功能是异常发现,主要是通过对主机的网络、进程、文件等资源的监控。比如通过网络监测,可以发现正在开展的网络攻击、网络扫描以及可疑的外联;通过进程监测,可以发现一些异常的进程创建和执行;通过文件监测,可以发现一些恶意文件的读写。EDR可以对这些网络异常、进程异常、文件异常进行阻拦和处置,这在一定程度上可以防范0day攻击。此外,通过监测日志,EDR可以发现正在开展的暴力破解;通过离线破译,可以发现常见应用的弱口令;其他如资产管理、漏洞管理等能力也很实用。总体而言,这类产品是非常有力和有效的。第五道:人的防线上述这些工具,都需要人的使用和维护。人就是第五道防线。所以你看在搞安全演习时,满满一屋子都是人(至少30、40人起)。组织层面不多说了,大多数单位在组织层面做得都还不错,因为组织技术是通用的,一般而言,就是领导重视、层层压实、某处牵头、全局动员、资产梳理、表格完善、制定方案、安排任务、汇报进度、协调资源、各司其职、检查确认、问题发现、举一反三,落实整改,层层请示、高层决策。这和做其他工作没有什么不同,属于管理层面的技术。但有一点,传统管理往往不太能注意到,并因此中招,这就是老生常谈的安全意识问题。纵观网络安全攻击史,社工一直是攻击者最重要的手段。(没有之一)一个攻击者想入侵一个单位,100%会采用社工方法,所以一定要在所有员工的意识层面建立起强大的防御能力。一封带有木马的钓鱼邮件,如果躲过了第一层的封禁,逃过了第二层的检测,一般就会逃过第三层和第四层,那么这封邮件就展现在员工面前了,这时就靠员工的安全意识防线了。增强员工意识的方法就是反复讲,反复说,反复培训,反复测试,看看员工是不是真的掌握了,要通过最真实的案例强化员工意识。这个工作看上去没有什么技术含量,但如果水平不足,往往无法做好这个工作。反社工需要和社工一样的能力:洞悉人性。回顾第一道防线守住大门,及时阻拦可能的攻击。第二道防线严加监测,一旦发现有异常,立刻处置。第三道防线坚壁清野,让攻击者即便进来也寸步难行,无门可入,或者是处处踩雷。第四道防线坚守据点,在终端层面第一时间发现异常,然后采取行动。第五道防线全民皆兵,各司其职,协作有力;人人不中招,不上当。纵深防御的应用这些年比较火的零信任架构,其实也是纵深防御思维的应用。下图是某个零信任方案的架构图:
某厂商零信任安全架构图中,单包认证(SPA)就是一道防线,SDP控制器和SDP可信网关是二道防线,对用户的行为和终端的安全情况进行分析,并据此动态调整用户可访问的资源和权限。再往右,就进入企业的内部,这里是三道防线,发挥作用的是企业的身份认证和权限管理(IAM),以及企业内部各种访问控制。客户端上的防病毒软件,终端安全软件,是第四道防线,主机上的EDR也属于这道防线。最后,第五道防线在人脑之中。文|卫剑钒
作者:虚拟人生
链接:https://www.zhihu.com/question/513408275/answer/2881685652
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
网络安全最基本的逻辑:由于计算机是严格按数学逻辑指令机械运行的系统,所谓的信息安全和网络安全问题来源于人,或者称之为“计算机用户”。所以信息安全和网络安全本质上都是计算机用户安全管理技术(源于UNIX用户组技术:上机用户属于监控对象、无需可信)网络安全保障的基本逻辑:基于相同用户安全等级或相同用户访问权限组网(组、信道或安全区),就不会发生数据泄密等问题网络技防方案和设备的作用:(所有的网络方案都是基于强制访问控制为主体)
强制(第三方)访问控制的仅仅4项功能,如果没有采用VLAN标记信道网络,只能采用每个系统物理网络(保护等级越低,企业投资越多)
如果构造强制访问控制信道
采用用户访问授权设计信道,支持数据端到端的访问,避免跨域信道(安全区),于是跨越信道防护设备就不需要了。采用物理网络更麻烦!如何实现完整的网络安全防护方案:显然,用户设备入网(安全级别)审计,和访问授权ARP寻址监控。全实现了最高安全等级的防护方案。
能否对APT攻击,以及其它网络攻击有效
和常规的网络安全方案的区别
总之,企业网络安全很简单,不用防护设备,却能达到效果,哪就是高水平看一下老外的设计
发布于 2023-02-07 21:43赞同添加评论分享收藏喜欢收起数影星球让企业办公更安全、更高效、更智能! 关注近年来,随着互联网的发展人们愈发重视网络安全了。网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。在日常生活中,也不乏一些常见的网络安全事件,例如,某信息系统遭到黑客破坏,学生信息被泄露;某医疗信息系统遭受木马病毒,病人的医疗信息数据被泄露,或病人不能及时看病、做手术;以及国外的一些安全事件中,某一工控系统、金融系统、涉及国计民生的水电煤气系统受到恶意攻击,工厂不能正常开工,供货跟不上,影响大家的正常生活......
可见,网络安全建设在日常工作生活中的重要性。与此同时,随着数字经济快速发展和成熟,网络安全重要性和在数字经济中的地位越来越高,而中小企业在产业链中具有举足轻重的作用,面临的安全风险正在进一步加大。当今,各行各业开展经营活动都需要应用到互联网技术以及互联网的衍生技术,极大的便利了企业的工作。通过调查可以发现各个中小型企业都应用了OA 办公系统、网银转账、数据分析平台、网络通讯系统等第三方应用,将会大大提升中小型企业的工作效率。然而,互联网技术的应用对于企业来说有利有弊,可能会给企业带来一定的风险隐患。
因为在互联网技术日益发展的过程当中会有一些不法分子通过互联网这一媒介在网络上传播各种各样的病毒,以此来获得更多的收益。一旦黑客攻击某个企业,将会使得该企业的各种数据和商机泄露出去,严重的情况下,一些中小型企业的资金会被黑客所转移,从而造成不可避免的损失与危害,这样的事件最近几年常常发生在网络上。也因此,在企业安全管理当中,其中最重要的一个部分就是计算机网络安全管理,所以从目前来看有一些企业为了维护计算机网络的安全与稳定,已经积极地创建自己的网络安全管理系统。
但也诚如马海军委员在两会建议中所说的:目前中小企业缺乏对网络安全的投入,缺的是技术。虽然他有提出:“在数字经济快速发展的环境下,网络安全云服务创新模式,能够为中小企业数字化转型保驾护航。”但是,除此之外,企业也可采购一些成本较低、轻量化的安全办公产品,投入到企业的网络安全建设中,保护企业数据资产安全。例如,数影之内,可托管企业第三方办公应用,在这个办公空间内,可确保企业随时随地安全办公,让数据始终在线、不落地。
此外,在今年的两会上,关于网络安全,不少业内的代表、委员积极建言献策,涵盖数据安全、人工智能、城市数字安全、智能网联汽车、科技适老化等热门领域,以期各方能重视、参与企业的网络安全、数据安全的建设与保护。
