2023年3月的某个早上安全狗安服工程师小明刚到公司。一句“你过来”未落音,小明瞬间从周末的愉快忘我心情中转移到眼前的这间会议室里。领导严肃地分配着即将来临的安全保障项目任务,小明全神贯注地聆听。 客户为某政府单位(XX局),为更好地应对即将到来的敏感时期里可能产生的突发安全威胁与风险,需提前到该单位协助其安稳度过这次敏感时期。
当天下午小明与售前、商务等人员前往现场进行沟通交流,并制定解决方案。随着沟通的深入,小明发现该单位网络安全管理人员对本单位资产的掌握不清晰,不仅没有资产台账、网络结构极为复杂,而且合作单位众多,难怪网络安全管理人员总是忧心忡忡。
经过一下午的“内部勘查”,小明掌握到:主机资产分布本地机房互联网区、业务专网、视频专网及3个三方的云平台,应用系统150余个,开发、维护等合作单位二三十家,系统业务部门涉及20余个科室,到此小明已经胸有成竹,开始吹起小曲儿。虽然每家单位的内部情况大都不同,但对于经历过多年大型攻防演练以及多场高级别重保活动的富有“实战”经验的小明来说,自有心谱。只见小明一边在电脑上拟定保障实施方案,一边有条不紊地联系大后方协调资源,同时表明需要客户配合的工作事项,多箭齐发,准备开干。
由于网络安全攻击形势越来越严峻、网络安全攻击手段越来越复杂。由于该单位的门户网站具备一定的公信力且日常的敏感信息价值高,导致该单位在敏感时期容易成为黑客的攻击对象。此外,该单位的网络安全资源也有限。面对网络安全保障的巨大压力,该单位为了在短期内快速强化自身的网络安保能力,委托安全狗支撑其网络安全保障工作。经过梳理,客户主要面临以下难题:
- 通过自动化工具及人工相结合进行全面的安全检测,进行漏洞扫描、配置核查、弱口令扫描、入侵痕迹排查、安全机制校验、敏感信息检查等,有效缩减暴露面及风险。
-
部署云眼,将各个区域的主机纳入统一管控。定期获取并记录主机上的Web站点、端口、数据库等信息,进行统一的管理和清点,做到资产明、底数清,解除交叉、覆盖盲区。
-
部署啸天安全大数据分析及态势感知平台,对各网络安全设备日志进行收集汇聚。通过智能分析Web 日志、系统日志、设备日志及流量动态,宏观的分析和展示整体网络安全威胁态势。建立信息安全联动工作机制,提升安全决策的准确度和效率。
-
安排经验丰富安全工程师驻场,弥补客户信息化人员不足,并协助客户处理日常安全工作。
-
同时在敏感时期采用7*24小时的现场值守以及7*24小时的应急响应机制。事后对保障工作进行总结与复盘。
考虑到(云)主机安全是信息安全的最后一道防线,保障方案的实施重点放在服务器部分,同时也兼顾终端安全。本次保障主要分为资产梳理、风险排查、漏洞整改、安全加固、现场值守5大块内容。
图1:整体安全保障
一路先由客户通过调查表形式向业务科室、开发单位、运维单位对服务器、应用系统及IP信息进行填报收集。由于人员变动等原因收集的资产并不理想,关键信息缺失严重,凭多年的经验小明感觉远远不止这些资产。需要安排安服人员对此进行收集整理,安服人员马上联系本地机房设备管理人员、3个云平台的管理人员提供信息资产,幸运的是他们提供的信息资产比较全面。那就好办多了,把这些资产信息与填报的信息资产对比进行整理汇总。
另一路由安服人员对单位的网段分配进行梳理。提取服务器网段、互联网使用IP等则由安服人员通过人工、自动化工具扫描等手段对资产情况及互联网暴露面进行收集排查,包括子域名、IP、备份文件等进行探测,汇总整理出500余台主机服务器资产、150余个应用系统资产、30余台硬件设备资产及200余个互联网端口。最后将两路人马收集到的信息资产表进行汇总,联系相关的人员进行核对,确保资产的准确性。对于数据库、中间件、组件等这些信息无法通过人员填报的信息,小明则有独门秘籍——部署在主机上的安全狗云眼。云眼不仅具备防护功能同时还能采集主机上安装的软件、使用的中间件等信息。通过云眼采集信息汇总到资产表,较大程度地完善了信息资产表,也便于后续有针对性地进行风险排查及安全加固。
图2:数据库资产
图3:中间件资产
然后就是风险排查,小明边进行资产梳理的同时还开展风险排查,包括服务器、硬件设备漏洞扫描、应用系统漏洞扫描、弱口令扫描、渗透测试等。漏洞扫描这些还算比较顺利。梳理出来的应用系统则交由攻防实验室的渗透测试人员进行漏洞挖掘。由于客户的互联网经过上级单位统一是网络出口,在上级单位设备精良的安全防护面前,渗透人员的IP阶段频频被拉黑,只能一边换IP同时尝试绕过安全设备进行测试。安服人员同时对安全设备、服务器的安全基线进行核查,防火墙设备策略进行梳理、排查验证策略有效性。
针对主机的风险排查,这时候再次用到主机安全平台,没错!云眼就是这么“多才多艺”。云眼具备风险排查功能,不仅可以对主机、数据库弱口令进行扫描检测,在应急漏洞模块还可收集整理近期爆发出的高危漏洞。只需一键开启检测,就能对资产进行实时检测,确认是否有资产受到影响,大大提高风险排查效率。
图4:弱口令检测
图5:应急漏洞检测
接着漏洞整改,对于漏扫、渗透测试等发现问题提交开发单位进行整改。客户未建立开发单位联系人清单,因此首要任务得找到这70个系统对应的开发单位并建立联系人员表,沟通的最大成本是时间成本,别无他法只能联系客户那边相关人员进行访谈、了解,由于各个系统开发时间跨度很大,相关业务系统的负责人已经多次更换,经过不懈努力终于将系统一一对应到开发单位,开发商有近30家。
让人欲哭无泪的事情还在后头,在下发问题整改清单时,发现有的原开发单位竟然已经破产解散了,交接到现在维护单位只会进行基础的维护运行,对于逻辑结构及代码了解不深短期无法对安全漏洞进行整改,经过多次沟通后,决定不改变代码而是在防火墙策略、WAF策略方面制定专门的策略对这部分系统进行防护及网络层面加强防护降低风险,当然临时方案这只是治标不治本的方法,后续还是要跟进协助维护单位从代码层面进行整改从根本解决问题。
最后安全加固,分两部分进行,一边采取措施缩减暴露面风险,包括关闭无用业务系统、服务器进行核对关闭,累计关停150余台服务器,根据最小化原则缩减互联网端口清除50余条失效、冗余防火墙策略,对服务器、安全设备的基线进行加固;一边在主机层面部署“云眼”主机安全软件,开启扫描防护、病毒防护、反弹shell监测等模块,同时细化主机端口访问策略限制,通过端口安全模块关闭135、445等高危端口,有效加强对主机层面主机安全防护,在应用层面对重要核心业务系统部署“云固”网页防篡改系统,对非核心系统采取锁定web目录方式防止恶意篡改,在网络层面部署态势感知,收集防火墙、WAF、IPS等网络安全设备日志及服务器日志进行集中分析。
图6:安全防护
图7:端口安全策略
一轮组合拳下来终于到了现场值守环节,在重保期间人员值守需要按照高效运作、决策科学、指挥有力的原则,成立安全值守机构,落实工作方案,明确分工。为了确保重保期间更好检测与防御各类攻击行为,安排具备相应安保值守经验和网络安全事件处理能力的安服人员7X24小时值守。同时协调网络运维、存储管理、开发人员等安排人员待命,如有安全事件发生需要及时处置。
图8:入侵威胁
得益于一个多月的网络安保前期工作开展,客户在敏感时期系统运行情况良好,未出现重大安全事件。总结本次安全保障工作的顺利原因,一方面是客户领导高层的高度重视与多种资源支持,另一方面是此次工作部署周密,各项资源统筹协调顺利,为这次的安全保障提供了有力的后盾。回顾整个方案的开展,主要围绕事前、事中、事后有序进行:安全保障值守开始前,基本完成了资产梳理、全面的风险排查、到位的整改加固及网络安全纵深防御体系搭建、各安全平台防护策略优化、相关系统关停等准备工作,为安全保障工作奠定坚实的基础;在值守过程中,监测预警、应急处置、技术分析、联络保障等各项工作分工明确,衔接顺畅,配合默契、机制高效。领导实地指挥各个单位协同处置,事务处理配合默契,圆满完成安全保障工作。在安全保障工作结束后,针对该单位的信息系统现状以及网络安全防护体系完善、合规建议也获得客户的采纳。