■ 北京 劉家華

編者按：面對日益復(fù)雜的網(wǎng)絡(luò)威脅，僅靠幾個安全設(shè)備就能防范網(wǎng)絡(luò)攻擊的時代已經(jīng)一去不復(fù)返了，如今企業(yè)網(wǎng)絡(luò)安全建設(shè)需要體系化。

當(dāng)前，網(wǎng)絡(luò)空間安全形勢越來越嚴(yán)峻，安全事件層出不窮，很多重要機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)已經(jīng)成為攻擊者的首要目標(biāo)，大規(guī)模攻擊和針對性的APT攻擊已經(jīng)造成了嚴(yán)重影響。為了妥善處置和應(yīng)對突發(fā)安全事件，對于企業(yè)來說，需要及時建立持續(xù)防護(hù)的安全體系，從而確保關(guān)鍵基礎(chǔ)信息設(shè)施可以安全、穩(wěn)定、持續(xù)地運(yùn)行。

筆者所在的綠盟科技安全服務(wù)部將為讀者解讀企業(yè)網(wǎng)絡(luò)安全體系建設(shè)。

圖1 無防護(hù)的業(yè)務(wù)系統(tǒng)簡圖

圖2 業(yè)務(wù)系統(tǒng)防護(hù)體系簡圖

前期準(zhǔn)備

首先來看一張沒有任何防護(hù)的業(yè)務(wù)系統(tǒng)簡圖（如圖1所示），攻擊者可以利用各種手段滲透進(jìn)內(nèi)網(wǎng)，一旦得手就可以對內(nèi)網(wǎng)進(jìn)行“一馬平川”式的攻擊。早期的業(yè)務(wù)系統(tǒng)往往急于交付，更偏重功能可用性而忽視安全防護(hù)。

磨刀不誤砍柴工，在針對業(yè)務(wù)系統(tǒng)建立防護(hù)機(jī)制之前，最重要的是先整理出清晰的網(wǎng)絡(luò)拓?fù)鋱D，找到各個風(fēng)險(xiǎn)點(diǎn)可能在什么地方，才能有針對性地進(jìn)行防護(hù)，對比圖2，則是增加了防護(hù)體系的業(yè)務(wù)系統(tǒng)，根據(jù)業(yè)務(wù)特點(diǎn)，在重要的網(wǎng)絡(luò)節(jié)點(diǎn)處部署相關(guān)的安全防護(hù)策略。

1.攘外

攻擊者的攻擊目標(biāo)主要分為外網(wǎng)、內(nèi)網(wǎng)、內(nèi)部員工三大部分。

先來討論一下外網(wǎng)防護(hù)，部署在公網(wǎng)上的系統(tǒng)是接入內(nèi)部系統(tǒng)的入口，往往也是攻擊者進(jìn)行信息收集的首選目標(biāo)，因此公網(wǎng)系統(tǒng)應(yīng)該部署重兵把守，很多企業(yè)也的確加大了力度在外網(wǎng)防護(hù)上。從云端的安全監(jiān)控，到網(wǎng)絡(luò)側(cè)的 IPS、WAF、TAC、防自動化攻擊等設(shè)備，再到終端側(cè)的網(wǎng)站防篡改、數(shù)據(jù)庫防火墻等防護(hù)產(chǎn)品，形成了針對單一系統(tǒng)垂直的縱深防護(hù)，再加上本地的安全服務(wù)團(tuán)隊(duì)，最終真正地實(shí)現(xiàn)“云地人機(jī)”的智慧安全防護(hù)體系。圖3則是某企業(yè)外網(wǎng)資產(chǎn)防護(hù)的體系架構(gòu)。

2.安內(nèi)

對于內(nèi)網(wǎng)的安全防護(hù)，重在監(jiān)控?zé)o死角。由于內(nèi)網(wǎng)中通常都是業(yè)務(wù)流量，因此一般采用監(jiān)控設(shè)備代替防護(hù)設(shè)備，如網(wǎng)絡(luò)側(cè)的 IDS、TAC、全流量等設(shè)備，終端側(cè)的HIDS、防病毒產(chǎn)品等。

內(nèi)網(wǎng)防護(hù)的重中之重是保護(hù)核心業(yè)務(wù)系統(tǒng)的正常運(yùn)行，當(dāng)事件發(fā)生后可以快速地進(jìn)行溯源，并控制擴(kuò)散態(tài)勢，真正地保證業(yè)務(wù)的連續(xù)性。圖4所示為某企業(yè)內(nèi)網(wǎng)資產(chǎn)防護(hù)的體系架構(gòu)。

3.防人

介紹完技術(shù)上的防護(hù)，接下來再講解一下對抗社會工程的防護(hù)方案。

一個真正安全的體系架構(gòu)中，只有技術(shù)是不行的，還要結(jié)合具體業(yè)務(wù)和流程制度制定合理的管理方法。在日常運(yùn)營中，有些企業(yè)往往只偏重技術(shù)和設(shè)備上的硬防護(hù)，而缺少制度和管理的軟防護(hù)。筆者曾見過一家公司的機(jī)房和食堂建在一起，大門從不上鎖，也沒有專門的機(jī)房管理者，帶來嚴(yán)重的安全隱患，攻擊者或許只需要帶上U盤，就可以輕松獲取公司內(nèi)部的核心數(shù)據(jù)。

圖3 某客戶外網(wǎng)防護(hù)體系

圖4 某客戶內(nèi)網(wǎng)防護(hù)體系

圖5 管理制度保障安全

因此，在注重技術(shù)防護(hù)的同時還要建立合理有效的流程管理制度（如圖5），比如建立多因素認(rèn)證體系、對重要區(qū)域上鎖、安排門衛(wèi)人員值班、安裝攝像頭等。同時還要增強(qiáng)員工的安全意識，定期進(jìn)行安全培訓(xùn)，在工作中養(yǎng)成良好的習(xí)慣，提高警惕意識，特別要防范陌生人甚至是熟人對于接觸公司敏感核心數(shù)據(jù)的請求。

主動防御

作為防守方也不能總是處于被動挨打狀態(tài)，建立主動防御體系也是非常重要的。

1.漏洞挖掘主動發(fā)現(xiàn)漏洞最常見的方法就是漏洞掃描和滲透測試。很多企業(yè)都會將漏洞掃描作為定期的例行工作去做，使用漏洞掃描設(shè)備可以提高發(fā)現(xiàn)漏洞的效率。該過程是自動化的，且掃描范圍也可以非常大。其專注于網(wǎng)絡(luò)或應(yīng)用層上的已知漏洞，漏洞掃描不涉及漏洞利用，其目標(biāo)只是發(fā)現(xiàn)漏洞。

圖6 綠盟科技預(yù)警運(yùn)營流程

相對于漏洞掃描，滲透測試范圍是針對性的，而且總有人的因素參與其中，效率相對于漏洞掃描也更低。測試人員往往可以利用最新的漏洞，或者發(fā)現(xiàn)正常業(yè)務(wù)流程中的邏輯缺陷，這一過程可能需要幾天到幾個星期的時間，但是通過滲透測試可以及時發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞和未知的漏洞，這些優(yōu)勢是漏洞掃描不具備的。

漏洞掃描替代不了滲透測試，而滲透測試本身也守不住整個網(wǎng)絡(luò)的安全，只有將兩者進(jìn)行有效結(jié)合才能有效地增強(qiáng)信息系統(tǒng)的安全性。當(dāng)發(fā)現(xiàn)漏洞后，可結(jié)合漏洞管理生命周期，在攻擊者展開攻擊之前封堵缺陷。

2.威脅預(yù)警

如今來自互聯(lián)網(wǎng)的未知威脅越來越多，企業(yè)需建立安全預(yù)警體系來及時應(yīng)對突發(fā)威脅，及時發(fā)現(xiàn)高危漏洞、病毒暴發(fā)等高危事件，并進(jìn)行快速分析處理，最終形成結(jié)合本地運(yùn)維和防護(hù)產(chǎn)品的一體化防護(hù)體系，解決威脅預(yù)警難落地的問題。

威脅預(yù)警可結(jié)合企業(yè)安全運(yùn)維團(tuán)隊(duì)，針對提高突發(fā)威脅的快速響應(yīng)能力，提升未知威脅的處置能力，幫助企業(yè)提升所有環(huán)境中情報(bào)驅(qū)動型業(yè)務(wù)的成熟度。圖6為安全服務(wù)團(tuán)隊(duì)建立的預(yù)警體系。

持續(xù)運(yùn)營

技術(shù)體系和管理體系建立完成后，就要讓其真正發(fā)揮作用，但是在實(shí)際運(yùn)營過程中，又會發(fā)現(xiàn)很多新的問題，例如：

“公司購買了掃描器，但沒有例行使用起來，因?yàn)橐粧呙铇I(yè)務(wù)系統(tǒng)就掛了?！?/p>

“升級了硬件，優(yōu)化了軟件，掃描器終于例行跑了，但好多漏洞都檢測不出來啊?！?/p>

“終于換了一個檢測率高的漏掃設(shè)備，但誤報(bào)也高。”

“IDS、IPS、WAF統(tǒng)統(tǒng)都有，但告警量太大，沒法分析。”

“告警量太大，終于通過加人手的方式解決了，分析的結(jié)果就是誤報(bào)多了點(diǎn)，一天一萬條，我們就當(dāng)沒問題吧?！?/p>

“找了廠商的人來做了規(guī)則優(yōu)化，終于解決了大量誤報(bào)的問題，但是看不懂告警是什么意思，還是不知道到底是不是誤報(bào)?！?/p>

……

想必這些問題一定引起了大家的共鳴，安全設(shè)備部署齊全了，但是沒有發(fā)揮出真正的作用，流程制定了卻難以落地執(zhí)行。

為解決這些問題，安全運(yùn)營也就隨之而生，它貫穿產(chǎn)品研發(fā)、業(yè)務(wù)運(yùn)行、漏洞修復(fù)等一系列環(huán)節(jié)，實(shí)行系統(tǒng)的管理方法和流程，將各個環(huán)節(jié)的安全防控作用有機(jī)結(jié)合，旨在真正將安全防護(hù)落地。

下面介紹一下安全運(yùn)營中的三個重要環(huán)節(jié)，旨在起到拋磚引玉的作用，實(shí)際上真正的安全運(yùn)營的內(nèi)容要豐富得多。

圖7 應(yīng)急響應(yīng)閉環(huán)

1.規(guī)則優(yōu)化

規(guī)則優(yōu)化分為兩個方面：一是針對規(guī)則開發(fā)，二是針對規(guī)則過濾。

對于產(chǎn)品，工程師在規(guī)則研發(fā)的時候，需要完善規(guī)則的相關(guān)信息，比如漏洞概述、漏洞影響的產(chǎn)品版本、相關(guān)的CVE編號等，信息提供得越全，前場監(jiān)控人員越容易進(jìn)行分析判斷，從產(chǎn)品源頭對規(guī)則進(jìn)行信息完善，則會給使用者帶來極大的方便。

在使用相關(guān)產(chǎn)品進(jìn)行監(jiān)控的時候，應(yīng)注意總結(jié)常見告警的特點(diǎn)，特別是在業(yè)務(wù)相對固定的內(nèi)網(wǎng)環(huán)境中，穩(wěn)定的通信特征通常會產(chǎn)生特定的幾種告警，這樣重點(diǎn)關(guān)注的范圍就會明顯減少。當(dāng)總結(jié)出規(guī)律之后，結(jié)合自身的業(yè)務(wù)進(jìn)行逐個分析，對于誤報(bào)的規(guī)則可以選擇進(jìn)行白名單處理，這樣就會大大減少告警事件。

2.應(yīng)急響應(yīng)

為了快速處置攻擊事件，很多企業(yè)都會組建應(yīng)急響應(yīng)小組。組建這樣的團(tuán)隊(duì)，在事前準(zhǔn)備階段首先要對公司內(nèi)部的網(wǎng)絡(luò)架構(gòu)非常熟悉，確認(rèn)有哪些資產(chǎn)，哪些服務(wù)器可通過外網(wǎng)訪問，哪些服務(wù)器可通過內(nèi)網(wǎng)訪問，各設(shè)備部署了哪些應(yīng)用，應(yīng)用的版本是多少，包括公司內(nèi)部的流程制度都要了解。基于這樣的前提，當(dāng)事件發(fā)生后才能快速定位問題，從而將損失最小化。

針對一些可以預(yù)見的威脅，需要事先設(shè)計(jì)多套應(yīng)急預(yù)案，以應(yīng)對不同的特殊情況，這樣才能快速地處理已發(fā)生的威脅。

事中檢測和分析階段，需要結(jié)合現(xiàn)有的情報(bào)和產(chǎn)品，快速定位問題根源，在開始處置風(fēng)險(xiǎn)之前，應(yīng)先將風(fēng)險(xiǎn)進(jìn)行抑制，防止風(fēng)險(xiǎn)擴(kuò)大化。比如對問題主機(jī)進(jìn)行網(wǎng)絡(luò)隔離，之后才是對威脅進(jìn)行處理，包括從主機(jī)層、網(wǎng)絡(luò)層進(jìn)行取證，盡量多地收集信息以輔助事件分析。

事件處置完成后，還要進(jìn)行經(jīng)驗(yàn)總結(jié)和分享，積累到知識庫中用于下一次應(yīng)急響應(yīng)，從而形成閉環(huán)的應(yīng)急響應(yīng)體系（如圖7所示）。

3.DevSecOps

隨著DevOps的變化，傳統(tǒng)安全不再是一種附加項(xiàng)。在開發(fā)周期中，安全的位置太靠后，與迭代設(shè)計(jì)和系統(tǒng)發(fā)布相協(xié)作時，它又不夠迅速，因此DevSecOps應(yīng)運(yùn)而生。

傳統(tǒng)的安全部門通常與研發(fā)、運(yùn)維團(tuán)隊(duì)是對立的，因?yàn)榘踩?wù)部的存在會導(dǎo)致研發(fā)交付延期、運(yùn)維成本增加。而DevSecOps的理念則是使三者成為相互協(xié)作的系統(tǒng)，從而轉(zhuǎn)變傳統(tǒng)的對立關(guān)系，安全也不再具有滯后性，而是融入開發(fā)、運(yùn)維和業(yè)務(wù)流程之中，從而在開發(fā)的源頭解決安全問題。

企業(yè)應(yīng)該結(jié)合自身的開發(fā)流程制定適合自己的DevSecOps體系，安全服務(wù)部基于來自客戶多樣的需求，正在進(jìn)行DevSecOps產(chǎn)品的研發(fā)，旨在真正解決客戶的問題，將開發(fā)、安全、運(yùn)維有機(jī)地結(jié)合起來。