技术经理:Tony Ding;区域经理:Rock Long
IT 优先事项是什么?
加快云计算之旅,网络和安全转型,拥抱数字化工作空间。
知识型工作者是企业创新的中坚力量,他们希望能够通过一个集成式数字化工作空间,随时随地都能在公司送派发的笔记本设备上安全无缝地访问应用和服务。
某世界200强企业构建了一个数字化工作空间作为其工作方式创新的核心基础设施,并借此向客户馈赠他们创造的新价值。
特别感谢我们用户所给予的项目机会,同时也感谢我们的技术经理 Tony 为此所付出的辛苦劳动,他从当下严峻的安全形势出发,对该项目整个实施过程进行了抽象归纳和总结,分享出来供大家参考和借鉴。
尊敬的新、老朋友们,
大家早上好!
GTI 安全团队有幸参与并实施了跨地域、高复杂性、大规模数量的便携机笔记本安全管控项目的落地,从客户身上学到不少先进的方法论、框架设计以及具体的产品选型;后期我们的安全顾问将项目的成功经验进行抽象、归纳、分类、整理,分享出这篇指南贡献给大家,希望对大家日常的笔记本安全管控工作带来帮助,避免 “踩坑” 和 “少走弯路” 。
契机,2019年4月份,微软正式启动了 Windows 7 支持到期的系统通知。在支持终止后,微软将不再为该操作系统提供免费的安全更新和技术支持。
通知内容是 Windows 7 即将在2020年1月14日终止支持。微软还警告Win7系统架构已经过于老旧,不再先进,安全性得不到保证,并且会增加额外成本花费。正如同此前的Windows XP一样,会遇到日益严重的网络安全威胁。微软希望Win7用户尽快升级到Win10,获得持续不断的功能更新和安全技术支持。
明年1月14日后,微软就不再提供 Window 7 安全修复补丁了,不升级的个人用户可能面临各种恶意软件入侵的风险。
也许大家认为这仅仅是一件笔记本升级操作系统的事情,没有必要浪费笔墨,企业内部 IT HelpDesk 部门就能很好的完成。但是站在一家世界200强企业的 CISO、CSO、CIO 和全球安全团队角度来审视这并不件小事情,而是一个针对知识型工作者的便携机笔记本实施安全管控的系统工程项目,其中颇有不少门道值得细细推敲。
一、项目“实施组”的定制化组合
项目的成功离不开公司高层的重视和支持,资源的组织、协同投入是最终获得卓越的安全成效首要条件。组织或公司的安全实施资源可以大致归类为三类,可对标入座。
实施组 1 - Implementation Group 1
拥有约10名员工的企业可以自行归类为 IG1
IG1 组织是中小型企业,拥有有限的IT和网络安全专业知识,致力于保护IT资产和人员。这些组织的主要关注点是保持业务运营,因为它们对停机时间的容忍度有限。他们试图保护的数据的敏感性很低,主要围绕员工和财务信息。但是,可能会有一些中小型组织负责保护敏感数据,因此会落入更高级别的组织。IG1 应该可以通过有限的网络安全知识来实施,旨在阻止一般的非目标攻击。通常使用到 SMB 级别的硬件或软件配合使用。
实施组 2 - Implementation Group 2
提供服务的区域性组织可将其自身归类为 IG2
IG2 组织雇佣负责管理和保护 IT 基础架构的人员。这些组织根据工作职能和使命支持多个具有不同风险态势的部门。IG2 组织通常存储和处理敏感的客户、公司信息,并可以承担短暂的服务中断。如果发生违规行为,避免一个主要问题失去公众信心的发生。IG2 需要应对增加的操作复杂性,同时将依赖于企业级技术和专业知识来正确安装和配置。
实施组 3 - Implementation Group 3
拥有数千名员工的大型公司可能会被标记为 IG3
IG3 组织聘请了专门研究网络安全不同方面的安全专家(例如:风险管理,渗透测试,应用程序安全)。IG3 系统和数据包含受法规和合规性约束的敏感信息或功能监督。IG3 组织必须解决服务的可用性以及敏感数据的机密性和完整性。成功的攻击可能对公共福利造成重大损害,IG3 必须减少来自复杂对手的目标攻击,并减少零日攻击的影响。
虽然上述方法论提供了安全项目通用实施指南,但这不应取代组织了解其自身组织风险状况的需要。组织仍应根据其资源,使命目标和风险,适当和合理的深入分析,量身定制出具体实施组组合。
结论:在预算尽可能充足的情况,建议全方位考虑 IG1、IG2、IG3的组合。
二、十二点建议指南
具体项目实战总结出,如何更好的定制化组合 IG1、IG2、IG3 变为成功的关键,从而实现平衡资源限制和有效降低风险。
GTI 安全团队愿意祝您组织一臂之力,如有雷同的需求可与我们联系,我们的安全咨询顾问与您一起坐下来一项一项进行对标和梳理。谢谢!
建议一:硬件资产清单
建议二:软件资产清单
建议三:系统补丁清单
建议四:特权帐号清单
建议五:安全配置镜像或模板
建议六:日志的维护监控分析
建议七:邮件和浏览器的保护
建议八:恶意软件的防御
建议九:数据保护
建议十:基于需要知道的受控访问
建议十一:无线访问控制
建议十二:帐号监控和控制
三、关于项目实施成功的七个原则
读到这里,感谢您花费了不少时间,希望上述12个分类建议、45项安全控制项能够与您日常所遇到的便携机安全管控工作产生共鸣。接下来,大家一定非常关心具体应该选用什么产品、安全配置该如何落地、到底需要多少人力资源、如何避免掉进雷区等干货问题。
“雷区” 说起来容易,没有具体碰过恐怕不是那么容易的感受到,故此总结出需要坚持的原则,是很有必要。
具体产品的选用、安全配置等细节这里不做详细说明了,每个用户的场景不太一样,需要根据具体情况进行 PoC 和定制。有兴趣的话,大家可以与我们联系,谢谢!
1. 镜像标准化
选用一个稳定适宜的 Win 10 版本,梳理和标准化知识性工作者所需要的非敏感性应用软件清单(数量建议控制在 30 以内),软件资产清单监测和维护工具、补丁升级管理工具、标准化的浏览器这 3 类基本软件必须实施,也就是大家俗称的 “Golden Image”。可以是按照地域、笔记本机型来制作出不同的黄金镜像。
标准化
数量成千上万
跨地域
不同机型
企业合规、正版的软件清单
必要的自动化管理工具
标准化的浏览器
2. 帐号管理
本地管理员帐号必须收回,用户仅用专用或辅助帐号,所有访问企业资源的工作场景必须要加入域控接受被管理。
建立不同安全级别的帐号(辅助管理)
域管理员帐号帐号需要受到严格保护
3. 高级端点保护
基于特征签名匹配的端点保护技术已经逐渐落后,建议部署采用“轻量级” EDR 终端检测与响应系统、基于大数据分析的新技术平台。其特点是:CPU/MEM/HDD 占用率很低、没有传统意义上的扫描、甚至可以脱离网络进行防御、用户的使用体验很好;能够阻止漏洞攻击利用技术;更为重要的是其提供了一个大数据的“云服务”,全网实时搜集端点上的日志、安全事件、威胁情报进行关联分析,是防御已知/未知威胁、恶意软件的新平台。
轻量级
离线状态也能防御
防御未知威胁、恶意软件
基于用户行为、日志分析的 SaaS 平台
协同防御
4. 敏感信息防护
梳理、分类出敏感型应用和数据清单和镜像,通过软件定义边界、双因素认证、设备合规性检测准入、数字安全工作空间的技术将他们 “包裹” 并 “虚拟化” 出来集中存放在数据中心,应用和数据不落地。 同时实施零信任网络安全模型和七元组关联的安全管控策略,达到敏感型数据 “看得见”、“摸不着”、“带不走” 的效果。有条件的话,建议搭建出多层纵深分层防御架构和 Tie 2 防火墙 DMZ 区域。
敏感型应用和数据清单和镜像
软件定义边界
双因素认证
设备合规性检测准入
数字安全工作空间
零信任网络安全模型
实施四层纵深分层的防御架构
Tie 2 防火墙 DMZ 区域
设备、人、桌面、网络、应用、资源系统、数据七元素关联匹配
5. 上网
提供安全标准化、合规的浏览器和邮件客户端。所有网络通信一律经过代理进行通信,无论是在内部还是外部、还是在出差、还是在任何地方,所有流量的URL、域名解析请求都需要进行安全检测。有条件的话,所有通信都实施 “中间人” 解密和所有邮件的附件进行沙箱分析。实施必要的无线访问控制,长期脱域场景可以通过VPN来缓解。
浏览器和邮件客户端标准化
所有通信经过代理
URL、域名解析请求必须检测
“中间人” 解密
沙箱分析
无线访问控制
6. 设备意外丢失
为了防止笔记本设备意外丢失,加密 Windows 操作系统所有卷上、USB 驱动器卷存储的所有数据可以更好地保护计算机中的数据。
基于系统级别加密
7. 自动化部署
由于笔记本的数量庞大、而且分散不同的地域、个人数据的复杂性,需要采用定制化脚本编程来解决。同时实施卓越的项目管理,以及有效的培训保障项目成功的落地。
定制化脚本编程
备份个人数据
格式化和覆盖黄金镜像
导入个人数据
卓越的项目管理
现场支持
有效的培训
祝愿大家 Win 7 升级 Win 10 的安全项目圆满成功,借助此项目的落地能够提升组织的便携机笔记本安全管控的水平。
具体产品的选用、安全配置等细节这里不做详细说明了,每个用户的场景不太一样,需要根据具体情况可为大家进行 PoC 和定制。有兴趣的话,大家可以与我们联系,谢谢!
声明:本文来自GTI广州科宸,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
