企业安全解决方案
一、企业安全解决方案市场
从企业安全管理员的视角来看,业界的安全产品多种多样,而且往往价格不菲,企业需要根据自身情况选择合适的安全解决方案。反之,作为乙方企业也要认识到,市场和客户是分层的,对待不同的市场和客户,需要提供与之匹配的对应产品和服务,不要妄图用一种产品通吃整个市场。
二、中小企业安全解决方案
在被勒索病毒敲诈勒索的受害者中,有不少是中小企业主。在网络安全防治工作中,理论上是体系越完整则越安全,但同时也意味着需要更多的投入,这对中小企业来说,预算往往是不足的。因此,在设计安全解决方案的时候,要充分考虑企业的规模和预算、业务对安全性要求等多个方面。
0x1:免费解决方案
如果不想花钱,又想防御常见的病毒木马,可以使用免费的安全软件,比如某管家、某卫士,它们为用户提供了病毒查杀、主动(云)防御、漏洞修复、权限管理、垃圾清理、弹窗拦截等丰富的功能。
但免费安全软件主要的用户群体是个人用户,因此默认设置了符合个人用户使用习惯的安全策略,为了减少不必要的误报影响用户体验,安全策略一般也相对宽松,也不支持安全策略的统一管理。因此,最终的安全性与用户的安全知识、使用习惯有很大的相关性。另外,在应对黑客的定向入侵攻击时,由于没有完整的入侵检测方案,因此效果也相对有限。
但不管怎样,免费的安全软件可以应对常见的勒索病毒、挖矿木马等威胁,如果开启主动(云)防御、及时打补丁、管理软件权限,并养成良好的上网习惯,也能有效防御大部分网络威胁。
0x2:入门级解决方案
为了能够相对较好地管理公司资产的安全性,需要使用专业的企业级终端安全系统替换免费安全软件。
一整套企业级终端安全系统通常包括一个安全管理平台、若干员工版终端安全软件、若干服务器版终端安全软件。如果资产部署在公有云上,则需要购买云上终端安全系统。同时,需要配备至少一个安全运营人员来实施安全管理和运营,如果想降低人力成本,也可以向乙方购买安全托管服务。
此时,解决方案除了具备免费安全软件的功能之外,还具备了入侵检测、安全审计、统一漏洞管理等能力,最重要的是有专业的安全运营人员提供风险排查、威胁分析、处置响应等能力。
0x3:初级解决方案
为了能够提供更进一步的安全防护,可以在网络边界部署IPS入侵防御系统或防火墙。
网络安全结合终端安全,形成了初步的纵深防御体系。不同于终端安全基于恶意程序实体及行为的识别,网络防御系统从流量角度进行威胁识别,通过源目身份分析、流量特征分析、异常流量识别等方法,实现网络层拦截,从而阻止入侵,或者阻断入侵后的控制通信。
对于Web服务,部署Web防火墙(WAF)也是有必要的,不同于通用防火墙,WAF针对Web组件漏洞入侵、SQL注入、WebShell等威胁有更专业的防护策略。如果业务在公有云上,则可以购买对应的云防火墙、云WAF等产品。在安全策略的运营上,需要及时更新安全策略来应对新的攻击武器或攻击方法,比如0DAY/1DAY漏洞利用、新通信隧道等。
0x4:中级解决方案
前面所述解决方案的重点是对网络威胁进行拦截和处置,对中小企业来说是性价比较高的解决方案。若想全面分析企业所面临的安全风险,则显得有些力不从心。如果企业对资产安全性要求比较高,则需要增加在网络威胁分析上的投入,通常包括网络威胁检测系统、资产风险监测服务和网络威胁分析服务。
网络威胁检测系统通常包括基于流量特征的入侵检测、基于威胁情报的攻击/失陷探测、基于异常流量智能分析技术的未知威胁检测。流量特征检测比较基础,一般的网络威胁检测系统都具备此功能,差别在于特征库的大小,可以通过较新的攻击武器来验证具体效果;威胁情报一般需要额外购买,并且国内生产威胁情报的厂商也是有限的几家,在选择威胁情报时,要考查失陷指标的可解释性,攻击源IP是否具有身份属性标签和历史痕迹记录;异常流量智能分析包括自动计算检测基线、异常网络行为分析等,对于网络流量不大的中小企业,并不一定能学习出有效的模型,可以省下这笔费用。
资产风险监测服务通常包括设备漏洞扫描、网站监测、公众号/小程序风险检测等。对于暴露在公网的资产(如服务器、云主机等),设备漏洞扫描是通过资产测绘(一种通过特定流量探测服务组件信息,从而判断是否存在漏洞的技术)和无损POC扫描(一种不会造成实质破坏的模拟攻击技术)分析出资产存在的风险清单;网站监测是对客户添加的指定网址进行监测,如果发现上传的WebShell,或者发现非法篡改,则及时进行通知预警;公众号/小程序风险检测是探测公众号或小程序的数据接口,分析是否存在越权读取数据、信息枚举等容易造成数据泄漏的风险。资产风险监测服务一般按资产数量进行收费,是比较适合中小企业的解决方案。
购买各种系统之后,如果公司没有懂行的专家使用这些系统,是无法发挥系统的全部价值的。为了发现网络中的威胁和风险,需要自建或购买安全运维团队来进行专业的网络威胁分析,对于预算有限的中小企业,可以购买月度或季度巡检来对全网进行网络威胁分析和资产风险排查,以较少的投入获得相对较多的安全保障。
三、大型企业安全解决方案
大型企业通常具有资产多、流量大、分公司分地域、网络架构复杂等特点,因此,网络安全解决方案需要成体系、有纵深。另外,无论什么时候,我们都不应该把“全方位无死角阻止威胁”的绝对安全作为目标,那是理想主义。我们应该从保护核心资产、快速发现威胁、快速处置响应出发,动态地实现相对可靠的安全目标。
通过对安全大数据的分析和监测,多方位解决大型企业面临的网络威胁,核心能力应该包括:
- 重点保护核心资产,即使企业的网络已被突破,也要坚守住最后的阵地,保护核心数据、核心代码等重要资产不被窃取和破坏
- 严密监控横向移动,大型企业难免会有防御死角,如某个安全意识薄弱的员工,这些弱点往往会成为网络攻击的突破口,然后进一步潜伏和渗透,企图窃取核心资产,这种攻击非常危险,但也有迹可循
- 重兵镇守攻击入口,虽然攻击路径和攻击方法是多种多样的,但大部分入口都是已知的,如远程服务漏洞攻击、恶意邮件攻击、软件供应链攻击等。在攻击入口处部署防御设备,可以解除大部分网络威胁。
如何镇守攻击入口?
- 对于网络攻击,主要有网络防火墙(FireWall)、威胁检测系统(NTA/NIDS)、入侵防护系统(NIPS)等。除此之外,安全路由、安全网关也集成了部分防火墙的能力,以及支持VPN隧道进行远程登录安全管控
- 对于暴露在公网的服务器,还需要部署DDoS防御系统
- 对于Web服务器,则需要部署WAF
- 对于邮件服务器,则需要部署邮件防火墙
总之,所有的网络出入口都应该部署相应的网络防御设备。
如何监控横向移动?需要部署具备异常行为监测的终端防御系统(EDR),除此之外,还可以在内网部署一些蜜罐来诱捕攻击者。部分蜜罐可以暴露常见的漏洞,用来捕获渗透工具扫描或蠕虫传播,还需要部署一些“假旗”蜜罐,比如伪装成数据服务器,用来捕获高级别的APT定向攻击。
如何保护核心资产?常用的系统有堡垒机、数据加密系统、数据审计系统、凭证权限管理系统等。目前,比较热门的是零信任安全管理系统。企业部署零信任体系,一方面需要零信任安全管理系统具备足够多的探针,在终端上需要包括设备检测、应用检测、漏洞检测、基线检查等能力,在网络上需要包括威胁和风险探测等能力,另外还需对接企业资产管理、权限管理等系统;另一方面,难点还在于动态的信任机制,当企业资产和数据流量达到一定的规模,靠人工来制定信任策略是不可想象的,所以,这部分工作往往需要针对具体企业环境进行定制,利用大数据分析、机器学习、人工调试来达到可用及最优状态,这个过程往往需要持续几个月。
为了使用好这套安全防护体系,企业需要筹建安全运维团队或购买安全运维服务,建议自建结合购买的方式。对于大型企业,需要有专业的安全团队负责企业整体的网络安全,但在一些专业领域如资产风险监测、渗透测试、网络威胁分析等,则需要产品官方提供的对应安全运维服务来支撑。
然而,这么多的安全产品每天都会产生大量的告警,这给安全运维工作带来了巨大挑战。因此,还需一套好用的安全运营系统(SOC/SIEM)来统一管理各产品的安全日志和安全数据。该系统需具备关联分析、智能分析的能力;跟踪和编排应急响应进度和结果;调用防火墙/入侵防御系统来进行简单的阻断处置;自动输出各类安全报表、事件分析报告,甚至安全运维周报。
安全运营系统不仅能提升安全运维的工作效率,还能从企业全局视角来分析和处置网络威胁。虽然个人能够很好地处置单个事件,但系统化监控所有资产风险、分析所有安全数据、响应所有产品告警,单纯靠人力是无法完成的,必须依赖系统进行全局化监测、(半)智能化分析、(半)自动化响应。由此可见,安全运营系统对海量资产和海量流量的大公司的安全建设显得尤为重要。
四、云原生安全解决方案
云计算在企业、电商、医疗、政务、金融等行业的应用越来越广泛。各大型集团企业纷纷自建私有云或混合云,各大城市纷纷建设城市云,各中小企业纷纷把业务迁至公有云。在全民享受云计算带来的数字化、智能化、现代化的便利时,云架构的安全问题也显得较为突出,黑客攻击、信息泄露、勒索病毒的危害可能从单个公司扩大到整个集团企业,甚至整个城市的数据中心。比如,可能会出现某个城市的医疗系统被勒索病毒攻击,数据库被加密,从而导致该市的医院无法正常运转。另外,城市数据中心也可能成为APT的攻击目标。因此,保障云上业务和数据的安全比以往都显得重要。
传统的网络安全解决方案和终端安全解决方案在云上依然有效,云主机安全、云防火墙、云WAF等产品依然发挥着重要的安全保障作用。对于云平台,虽然身处于万物互联的大数据宇宙中,但每一个云平台也是一个独立的“小宇宙”,在这个小宇宙中有着特定的元素和规律,为了更好地保护云平台及云客户的安全,可以在这个小宇宙中建立安全机制,做好威胁监测和事件响应。这些措施往往需要结合云计算架构、云上安全大数据来实现,因此,云原生安全一般由云计算厂商(私有云则是企业自身或合作单位)主导来实现。
目前,云原生安全还没有一个明确的定义。从实践来看,主要有两种模型:
- 一种是云原生威胁情报
- 一种是云原生安全策略
1)云原生威胁情报。基于云原生安全大数据,经过统计分析和智能分析之后,可以生产输出“攻击云目标的外部攻击源”“用于入侵攻击的云上跳板”“用于入侵攻击的云上僵尸网络”“远程控制木马的云上C2服务器”等云原生威胁指标。这些威胁情报可以集成或接入各类安全产品中,用于检测和防御网络入侵等网络威胁。
2)云原生安全策略。①云原生流量检测策略。前面提到,智能化的异常流量检测需要有足够多的网络流量数据用于机器学习,云平台正好有足够多的网络流量,因此基于云原生大数据的异常流量检测模型可以较为有效地发现许多未知威胁。②云原生安全架构策略。基于云架构的镜像安全及容器安全,包括镜像或容器的漏洞管理、权限控制、微隔离、安全审计等。
对于解决云上安全问题,云原生安全有数据和架构上的优势,一般需要由云计算供应商主导建设,企业私有云则由企业主导建设,传统安全厂商通常以项目形式进行参与,并且一个项目可能由多个安全厂商参与负责不同的模块,最后打通安全数据和安全策略,共同组建安全运维团队,进行威胁监测及策略优化。最终,云计算厂商、传统安全厂商联合建设的安全产品及安全运营体系,成为云计算的安全保障体系。
公有云的安全运维体系大致有三种模式:
- 一是云租户自建安全运维团队负责云上资产的安全
- 二是供应商官方搭建安全服务交易平台,入驻第三方安全服务提供商,云租户通过交易平台购买第三方安全运维服务
- 三是由云计算供应商官方提供的MSS(ManagedSecurity Service,安全托管服务)
下面以乙方视角来介绍基于云SOC的MSS。
云SOC MSS是基于云SOC为云租户提供对云上资产安全托管的服务。服务内容主要包括风险排查和威胁监测,协助拦截入侵攻击,并给出加固方案。通常情况下,托管服务并不包括更改主机配置的基线修复和组件升级(修复安全漏洞)等操作,避免因操作不当导致服务器宕机,这类操作一般由更熟悉公司业务的甲方运维工程师进行实施。
在实施服务之前,需要甲方授权读取安全产品告警及日志、扫描及测绘云资产、监测主机进程和文件、分析可疑网络流量等。当然,提供服务的乙方及工程师则需承担保密的义务。
在获得授权之后,可以为客户提供以下安全服务:
- 1)安全工程师直接对接的安全咨询服务:可以通过钉钉信群、QQ群等方式建立沟通路径,随时由安全工程师为客户解答安全问题或相关咨询。
- 2)云资产测绘服务:通过云SOC、云防火墙、主机安全等产品对资产及可能的攻击面进行测绘盘点,包括客户有哪些主机、是否都开启了安全防护、哪些主机有外部访问流量、主要网络端口有哪些,并根据资产重要程度、公网暴露情况来划分保护等级。
- 3)漏洞及基线风险排查服务:通过漏洞扫描、主机安全等产品对客户核心资产进行漏洞和基线排查,除了产品覆盖的能力,还需对新的漏洞、攻击方式进行排查。另外,还可以让客户提供一份组件清单来定制化漏洞和基线的排查服务。
- 4)实时威胁监测服务:对木马病毒、入侵事件等威胁进行实时监测、研判及对客户预警、协助处置,除了对已知威胁的预警能力,更重要的是提供基于大数据智能引擎的未知威胁预警。
- 5)核心资产重保服务:对部分核心资产(核心数据服务器、暴露在公网的Web服务器等)提供更严格的异常行为监测服务,包括新增进程和新增程序文件的非白即黑排查、非预期登录行为排查、异常攻击流程分析等。
- 6)安全周报服务:每周输出安全周报,提供风险处置加固建议、攻击趋势分析等。
- 7)应急响应服务:当资产不幸被入侵时,需要第一时间通过防火墙或WAF等产品进行网络隔离,及时止血避免进一步扩散;然后需要分析有没有在哪个位置植入了木马,并清除木马;还需要分析威胁的入侵路径,对入侵路径的各个环节进行加固防护措施。
云上资产的运行环境和网络环境相对私有化架构要简单很多,基本不会存在邮件钓鱼、软件捆绑、可移动媒介传播等攻击方式,云上主要的攻击方式是远程入侵。因此,事前做好资产测绘、攻击面分析和加固策略,可以有效地防御网络入侵。而一旦发生了入侵事件,只要能及时监测感知到,就不必惊慌,首先进行隔离止血,然后进行分析调查及清除威胁,最后进行系统加固和策略加固,避免再次被入侵。
由此可见,攻击面排查和威胁监测是云上网络安全防护的核心能力,是衡量云安全防御能力的关键指标。