由于业务迭代较快,部分运营商省级机构的安全建设往往滞后信息化建设,安全工作经常以应对两部委考核为目标。经过多年的安全建设,虽然多数运营商省级机构的主要安全防护手段已经逐步齐备,但是在面对有组织、特别是有国家背景的网络安全攻击时,依然会暴露出安全建设与运维过程中存在的一些不足之处。
通过网络安全实战中暴露了一些不足
1、风险识别覆盖不够
• 资产管理不当:非核心系统,尤其是老旧、未经允许私自上线系统的资产“四无”(无管理、无使用、无防护、无必要)情况,在部分省/专业公司依然还存在。
• 系统带病上线:因业务系统迭代快,存在上线准备工作不足的情况,甚至有系统未经许可私自上线的可能性,这必将导致业务系统带病上线,成为安全体系中的显性短板。
• 敏感信息泄露:在第三方共享平台依然能够发现部分省/专业公司的敏感信息,为攻击方提供了便捷突破口。
• 互联网暴露面较大:部分省/专业公司暴露在互联网的资产达到几十、甚至上百个,扩大了互联网攻击面。
2、安全防护存在缺失
• 人员安全意识薄弱:部分省/专业公司安全意识培训不够深入,安全意识存在短板,无论是内部人员还是第三方厂商人员,容易遭到水坑攻击、钓鱼攻击、鱼叉攻击等社工攻击,成为攻击者突破的对象。
• 供应链防护不足:部分省/专业公司网络安全防护工作没有全面覆盖从供应商、制造商、分销商、零售商直到最终用户整个供应链,违背安全防护“木桶原理”。
• 网络隔离粗放:部分省/专业公司内网平坦化、纵深防御薄弱,一旦互联网边界被突破,即可全网漫游;并有部分省/专业公司虽然网络区域划分合理,但各网络区域之间及本单位与集团之间仅依赖于传统防火墙隔离,且隔离策略粗放;
• 终端安全管理薄弱:部分省/专业公司依然存在内部员工、外部运维、供应链厂商为工作方便私自将不合规终端接入网络、私自打通内网与互联网通道的情况,使得网络边界成了难以抵御攻击的“马奇诺防线”。
• 已知漏洞难以修复:部分省/专业公司的网络设备、中间件、数据库、老版本操作系统因版本过低、或影响业务等原因依然存在未加固漏洞,对进入省/专业公司内网的攻击行为缺少有效防护。
• 集权系统防护脆弱:部分省/专业公司防护资源主要集中在互联网系统、核心系统,而VPN、邮箱、域控服务器、杀毒系统、单点登录系统、云管平台、大数据平台防护薄弱,已经成为攻击的重要目标。
3、安全检测能力不足
• APT攻击隐蔽性强,难以发现:部分省/专业公司只部署的基础特征检测的传统手段,APT的检测、响应、溯源能力存在不足。
4、安全响应效率不高
• 响应效率需要优化:部分省/专业公司虽然有了标准的SOP,但因人工交互多、跨系统平台多、人员能力达不到要求等问题,导致响应速度慢,处置流程复杂、恢复周期长。
• 追踪溯源困难:在响应处置过程中,由于日志记录缺失、入侵痕迹被清除等原因,部分省/专业公司即便完成安全事件处置,也很难对攻击方进行高效追踪溯源。
面对网络安全实战应关注六个关键点
针对运营商省级机构在面对有组织、特别是有国家背景的网络安全攻击时暴露的一些不足之处,除了建立有效的安全防护体系外,还应该重点关注以下六个关键点。
1、防止被踩点
攻击者首先会通过各种渠道收集目标单位的信息,收集的情报越详细,攻击则会越隐蔽、越快速。省/专业公司首先应避免系统带病上线;其次应尽量理清本单位资产情况,清理泄露在公共信息平台敏感信息,加强全员(尤其是未参与信息化建设人员、第三方厂商人员)安全意识教育;同时应重点加强供应链的安全防范。
2、收缩暴露面
攻击者往往不会正面攻击防护较好的系统,而是找一些可能连省/专业公司自己都不知道的薄弱环节下手。这就要求省/专业公司应充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息,从攻击路径梳理、互联网攻击面收敛、外部接入网络梳理、隐蔽入口梳理等方面开展互联网暴露面的收敛工作。
3、开展纵深防御
在前期工作基础上,省/专业公司暴露在互联网上的资产必然会成为攻击者的首要目标。一旦一个点突破后,攻击者会迅速进行横向突破,争取控制更多的主机。所以省/专业公司应建立纵深防御体系,从互联网端防护、内外部访问控制、主机层防护、重点集权系统、各类终端、无线网络、外部接入网络防护等方面考虑。通过层层防护,尽量拖慢攻击者扩大战果的时间,将损失降至最小。
4、守住关键目标
核心目标系统是攻击者的重点攻击目标,也应重点防护。上述所有工作都做完后,省/专业公司还应重点梳理目标系统及其相关系统的业务流和数据流、目标系统开放的服务及API接口、目标系统与其相关系统之间的数据传输方式和加密手段等。同时还对重点目标系统进行交叉渗透测试,对目标系统的进出流量、中间件日志进行安全监控和分析,充分检验靶标系统的安全性。
5、监控要全覆盖
任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现,而省/专业公司应尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防护单位检测、响应、溯源最有力的武器,基于多年实战经验,有效的安全监控体系需在重点在全流量威胁监控、主机威胁安全监控、安全日志监控、情报预警监控几方面开展。
6、高效协同响应
借助全流量威胁监控和自动编排技术,辅以人工的分析研判,省/专业公司能够针对网络高级威胁的及时检测、响应、溯源,实现从以往出现安全事件的个案应急响应到实时全流量检测、实时自动响应处置、实时人工分析的持续响应的转变。
声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。