<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • 淺談BeyondCorp(二):標準化是辦公網安全的基石

    我將辦公網安全全貌劃分成三大部分本篇為基礎能力;第二大部分我稱為橫向拓展,涉及SOC、網絡準入、文檔安全、設備管理、EDR、DLP以及一部分認為在建設中后期才需要做的事情;最后一部分稱之為溫飽之外,主要是闡述一些可以集成提供的IT服務能力。

    前言

    有幾個相熟的朋友打趣我停更已久,想想看距離上篇文章差不多過了兩個月了,而我寫上篇文章差不多也是從立Flag到出稿差不多兩個月。看起來兩個月是一個自我可接受范圍內的大限,工作、生活以及懶等多種原因也就造成了更新時間隨緣、看命,不過應該會繼續更新下去。

    續接前文《淺談BeyondCorp(一)-受管設備與分層訪問》,上篇文章中主要以筆者的視角闡述所理解BeyondCorp架構的上下游聯動全貌。從本篇文章開始會逐一展開一些細顆粒度的領域,在下文中將主要討論辦公網安全管理。

    安全本身其實是風險控制,那么作為一套“成熟的風控架構”的下游部分,除了穩定、準確、高效的采集所需信息外,如何評價在終端安全上的能力建設好壞?如果我們把“端”的定義提升至廣義層面,那么整體辦公網安全有該做些什么?

    標準化是辦公網安全的基石

    終端安全CheckList.png

    0×1 跨平臺能力

    從實際角度出發在甲方理想狀態下的辦公網安全建設至少會覆蓋主流的PC及移動端設備,但現實狀態下往往是可遇而不可求的“機緣”,縱觀國內目前覆蓋齊全的僅A廠一家(T廠等多產品交叉覆蓋不在本次討論范圍內)。在這其中跨平臺能力這個最簡單而又最難以實現的瓶頸成為辦公網安全建設的第一個難題:HC投入,不論端上的開發人員讓你多么放心每個端都至少需要投入1個人力單獨支持(僅適用于端開發成員深耕某平臺底層安全多年,不然…),人力不足的情況下對齊公司準備好的標準化鏡像平臺即可。

    0×2 資產管理

    如果讀者曾直面過大型終端管理需求所帶來的挑戰,那么比較容易認可接下來的說法。在一定規模以上的終端管理工作中,可以把問題聚焦在一下幾個層面: 1)資產類型混亂,無法有效控制;2)安全風險全景一片模糊;3)病毒事件頻發,未呈收斂趨勢;4)敏感數據泄露;5)部署推廣效率低;6)設備失聯;7)大量無效告警,以上問題我們拆解。

    標準化管理的意義與好處

    可能在看了上面的說法后讀者有些困惑,哪些范圍是存在標準化需求的?終端標準化是指依照預先制定好的終端管理和安全標準改進和提高終端管理及安全狀況,逐步接近直至達到標準的過程。個人認為至少需要覆蓋以下幾個方面:管理流程、系統策略配置、安全防護措施、軟件使用、硬件配置,以此避免或減少了不必要的適配、兼容、合規性的人力投入,達到在終端管理、終端安全、終端準入上的標準化建設,而這樣做可以為我們帶來的好處是:

    • 終端:可視、可管、可控;
    • 數據:進不來、看不到、拿不走;
    • 人力:簡化無效工作、提高服務質量和滿意度,促進生產效率;
    • 公司:降低成本,更容易保護公司資產、信息和聲譽;

    軟/硬資產搜集的必要性

    關于資產管理的重要性到這里其實已經沒必要在重復了——它是我們一切的基礎,如果資產都無法有一個大致的全貌也就談不上終端如何安全。軟資產的搜集也同樣有著極強的必要性:其一為了日后可以在SOC平臺便捷化運營籌備資產大盤;其二短期內可以具備快速響應能力。甲、乙方安全的工作中最大的區別是問題閉環,而在甲方的閉環流程中其中之一即是舉一反三式的水平排查評估完整的受影響范圍。當應急響應觸發時多久可以給出受影響終端數量、人員分布、近期基線檢查狀態以及多久完成全量修復的結果也就可以成為評判其水平、成熟度的客觀指標了,到這一步我們其實都在盡可能的去避免因為資產管理不當導致的風險未識別。

    0×3 設備“體檢”

    基線檢查

    我在實際工作中體悟到一種情況,任何制度在己方不具備關門打“狗”的能力時落地效果都不會太過理想。如果讀者公司所使用的是定制過的標準化鏡像,那么必不可少的檢查是需要的。在準入沒有開啟前你可能無法知道員工下次接入內網的機器是否具有風險且風險是否可控,如果在一個基礎設施安全并不健全的公司內一臺感染了具備永恒之藍的勒索病毒設備接入內網將引發極大的災難。

    當公司達到一定的體量級內網盜版軟件肆虐其實是一種正常現象,畢竟你不能要求員工去個人購買所有的軟件的授權許可,而且個人的授權許可也不可以用作公司辦公。在這樣的情況下,為了避免出現收到律師信要求付費及快速整改的尷尬場景,合規性的檢查還是有必要去做一做的,哪怕你做個黑名單檢測提示卸載。

    在上文中我們曾提到安全防護措施需要標準化,那么預安裝就是解決增量下顧慮用戶體驗的最好辦法。同時對于內部必裝措施類軟件的檢測,可以成為未來網絡準入的第一道檢查。

    漏洞治理

    對于已知漏洞的探針用POC輪循的方式是大忌,這樣子會讓自身團隊陷入一個惡性循環,投入本科避免的人力。聰明的方法無論是系統層還是內置軟件檢測其本身的自動升級機制開關和當前版本號的方式ROI更高一些。這其中有一個坑是對于軟件的末端自版本號通過系統API是無法拿到的,要么case by case,要么卡前置位版本號。

    或許有人會好奇,既然上面已經做了感知為什么還需要對漏洞修復進行集中管理?如果你對病毒的演變史關注過的話會發現,曾經區分普通病毒木馬和APT級木馬的那條分界線已經漸漸模糊了。現在很多普通的病毒木馬攻擊之所以能夠得手是因為它們也在充分利用了未及時修復的1Day漏洞,哪怕對它們來說是為了過個UAC。一般大家的更新習慣即自動修復或周期性修復,但對于公司級的辦公網安全治理來說這兩種模式并不夠用,需要一種可以立即修復的能力,哪怕他并不長被使用。

    做到如上措施后,及時地為第三方程序打好補丁是另一道辦公網安全防線。其根因一般在于測試驗證緩解過于沉長、資產大盤不清晰以及補丁管理工具在第三方軟件上可用性不高。對于這一部分的安全風險治理筆者也暫未發現高效方法,如果有黑科技歡迎私聊我不吝賜教。

    防病毒

    除了類似向我老東家數字廠這種自身具備殺毒產品的公司外,其他類型公司在這一領域的治理基本是選擇采購,對于后者這類公司我籠統的可以劃分成幾個階段:

    第一階段:選型后購買了某廠的殺毒,在這個階段首先要想清楚一件事情你所代表的公司是否在未來與提供殺毒服務的公司產生業務沖突。無論我想不想承認,上了云的殺毒都和流氓真的沒太大區別,而且當發生商業競爭時,不論殺毒服務公司是否真的會去上傳貴司的數據但老板們一定會讓你去對殺毒進行“改朝換代”,圖填一個辦事不周的印象。最終無論你最終選了國內或國外的廠商,在部署時一定會遇到你想都想不到的坑,然后經過多層的向上反饋、漫長的時間以及己方追趕Deadline做出的讓步最終會實現殺毒系統高覆蓋。

    第二階段:經歷了一定時間的殺毒運營以及事件驅動,你會發現買的這個東西不太好用。它要么是誤報率太高、要么是查殺率太低,總結起來就是花了錢還是會發生預期以外的事件來驅動你加班。這時候你會開始思考是不是要下定決心換一家這個危險、變更成本又極大的想法,如果有了這個想法一定要先冷靜下然后打消掉。因為前方的茍且是一樣的,只是對于殺毒本身的預期管理出現了一些問題。這時候高ROI的玩法是通過搜集文件HASH去參考VirusTotal的查殺結果,這里記住是只查不上傳!只查不上傳!只查不上傳!至于參考規則的話這里就不披露了,如果有個做過殺毒引擎或參加過國際評測的應該都有數,無非是性價比是不是最高的而已。

    第三階段:公司內部的基礎設施安全建設已經到達一種飽和,外采的殺毒引擎終究是一個隱患。這時解決了溫飽的安全團隊開始思淫欲了——自建殺毒,其實這個階段我雖然理解是個必然的趨勢但之前從來沒想過會有公司為了內部建設需求去自研,畢竟這是個極重的活。對于這部分的我不做過多的評價,根據我的了解是A廠之前用symantec后來自研,現在的進度也沒有過多關注。

    0×4 小結

    除了以上的點外,有效打通資產生命周期內上下游的壁壘形成準實時的資產信息變更,保證全生命周期資產管理的有效性也是辦公網安全領域的一個重中之重。資產從發放到使用人開始、一直到這臺設備被回收,期間的流轉、變更都應被詳細記錄,其原因可參考前文《淺談BeyondCorp(一)-受管設備與分層訪問》。在資產管理的準確性、有效性及精細化上加大技術手段的投入,以實現一定程度的自動化為項目目標,利用網絡準入為安全側帶來的便利,在以上領域具備初步能力時對不符合標準化的設備進行斷網。在這其中存在一個隱性錯誤成本,即不論是電腦設備還是移動設備均不能直接依賴硬件信息進行設備標識,關于設備指紋的思考同見前文。經過對辦公網安全基礎能力的建設最終將形成公司內的終端資產大盤,同時也將具備針對辦公設備的初步自動化基礎防御能力。

    0×5 寫于結束

    我將辦公網安全全貌劃分成三大部分本篇為基礎能力,算是對上一篇的一部分前置條件的補充;第二大部分我稱之為橫向拓展,設計監控與運營(SOC)、網絡準入、文檔安全、設備管理、終端檢測&響應(EDR)、數據防泄漏(DLP)以及一部分認為在建設中后期才需要做的事情;最后一部分稱之為溫飽之外,主要是闡述一些可以集成提供的IT服務能力,近期應該會緊隨發出下一篇。

    0×6 往期文章

    • 介紹

    1. 公眾號微信群-掮客酒館江湖客

    • 安全

    1. 互聯網公司移動安全領域的探索與實踐

    2. 免越獄虛擬定位外掛的調試小記與檢測方案

    3. 淺談BeyondCorp(一)-受管設備與分層訪問

    • 歷史

    1. 歷史觀01-歷史,人生,分期不付款

    2. 宋朝-01:五代,建國,奪權

    3. 宋朝-02:循環,軍制,堅持,內核

    4. 英國-01|帝國的身影:東印度公司(上)

    5. 英國-02|帝國的身影:東印度公司(下)

    6. 宋朝-03| 王安石與他的時代 (一)

    • 思考

    1. SinX:Chapter 1 世界觀

    2. 職場春秋:君不正,臣投外國

    3. 知乎趣問:“拿錢做事”與“做事拿錢”

    1

    取消
    Loading...
    css.php 宁夏卫视在线直播观看