對於一個士兵來說,最大的夢想就是能上戰場真刀實槍的幹上一戰,同樣對於一名安全人員來說,自己設計、建設的經過層層防護的系統,如果沒有經歷過一次攻擊,不免有點索然無味。在衆多的甲方當中,運營商互聯網業務暴露面每週都會受到來自集團的考覈,考覈一般通過遠程滲透的方式進行,發現漏洞後,通報扣分,省公司會採取很多措施保證不會被發現漏洞,在運營商駐場的我們,每天都能感受到最直觀的網絡攻擊防守之戰。
本文主要介紹運營商信息技術部對互聯網暴露面安全防護的具體思路,從不同的維度來介紹應對互聯網攻擊的防護措施:
一、兩張基本表的管理
1.1 資產表管理
運營商業務系統有着系統數量多、開發部門複雜等特點,很多開發團隊都是外包實施,局方一個人可能要對接很多外包團隊,外包團隊添加系統、修改內容等沒有按照流程向局方彙報,導致資產信息比較混亂,維護資產表是所有安全工作的基礎。
l 規範資產變更流程
資產變更流程是從根源解決資產混亂的途徑,安全部可以記錄業務部門資產變更情況,維護資產表,動態實時更新。
l 建立資產管理平臺
在甲方的安全人員都有一個共識,一項流程如果通過制度推進,會比較麻煩,有些特別複雜及不好監控、考覈的工作,通過制度很難推進。如果流程通過線上平臺控制,不僅可以減少運營跟進的人工成本,還能使推進工作更加順暢。資產變更工作,安全部與業務部門對接較多,開發團隊有時候一週要對一個系統進行多次修改,通過建立資產發現平臺與需求申請平臺、開發管理平臺等對接,可以最大限度的減少溝通成本,提升推進效率。
l 互聯網資產發現
除了上述類似“白盒”的措施之外,還需要在互聯網進行“黑盒”資產發現工作,通過搜索引擎、威脅情報庫域名反查等方式,發現不在資產列表中的資產,即管理員不通過資產變更流程,添加的資產。通過端口掃描的方式,確定目前暴露面目前開放的端口,排查管理員是否有不通過資產變更流程,自己開端口的情況。
1.2 漏洞表的管理
安全部門發現的安全漏洞,提交開發修復,記錄複覈情況,對漏洞的生命週期跟進,維護漏洞跟蹤表。安全檢測時,爲了防止有疏漏,建立漏洞清單checklist,記錄檢測項。
二、互聯網暴露面整合
互聯網暴露面包括開放的網站、系統、應用、APP接口等,減少暴露面就減少了被攻擊被檢查的範圍,具體措施包括:
1) 測試使用的應用,遷移到內網,不在互聯網暴露。
2) 對訪問量較少的應用,建議關閉,訪問量數據可以從waf、防火牆等設備上獲取。
3) 有些網站啓用了https後,http網站可以繼續訪問,建議關閉http網站的訪問。
4) 業務系統有關聯或者相似的,通過一個URL訪問主站,其他業務系統通過二級目錄訪問。
三、系統生命週期的安全檢測、防護、處置
1.1 開發態
l 安全編碼規範
安全部門提供安全編碼規範,開發團隊在開發過程中需要上按照編碼規範要求。在開發階段減少安全隱患。規範需要涵蓋賬號與認證、輸入與輸出驗證、授權管理、數據保護、會話管理、加密管理、日誌管理、異常管理等方面,從業務邏輯建議、代碼編寫建議、管理規範建議等方面提出安全需求。
l 安全編碼培訓
定期對開發部門進行安全編碼培訓,講解常見應用漏洞產生原理,提升開發人員安全編碼意識和安全開發水平。
l 代碼審計
系統上線前需要進行代碼審計,檢測源代碼安全隱患。
1.2 測試態
l 規範上線流程
新上線系統、修改後的系統上線前,需要經過安全部門檢測,對發現高危漏洞的系統,修復後複測,保證沒有安全隱患後才允許上線。
1.3 運行態
l 日常安全檢測
對正在運行的線上系統,每日由滲透測試團隊進行安全檢測,包括web漏洞掃描和人工滲透測試等措施,漏洞掃描使用多款掃描器交叉掃描,人工滲透根據制定的漏洞清單checklist檢測,根據檢測結果,建立知識庫,統計出一般掃描器能檢測哪些漏洞,哪些漏洞掃描器不好發現,如邏輯漏洞、越權漏洞等,只能通過人工滲透方式檢測,保證檢測的廣度和深度,提高檢測效率。
l 安全衆測
針對重要暴露面資產,可以採用衆測的方式,引入互聯網白帽子進行安全衆測。
l 基於區域和時間的訪問控制防護
源地址訪問地域控制:分爲全國、全省、全市三級緯度進行來源地址進行限制,如某些應用只允許該省IP訪問。
業務訪問時間控制:分爲全天,白天,晚上進行限制。
接口類訪問點對點控制:對源和目的地址的ip+port採用點對點的白名單防護策略,如某些應用只需要從其中一個IP取數據,只放行該IP流量。
l 平臺檢測
對部署在省公司的監測系統告警日誌,驗證、處置,及時發現安全事件和安全漏洞。
經過上述措施,暴露面被檢測出來漏洞的機率會減少很多,對於運營商這類系統數量龐大的用戶單位,防護不僅需要的是安全技術,還要從流程、體系等方面,多維度的建立防護體系,增強暴露面的安全性。
PS:本文是小編在運營商甲方駐場期間,整理的運營商領導良總的保障方案,文筆拙劣、對暴露面安全理解有限,很多領導的深層思路沒有表現出來,見諒!