2020年HW行动
安全解决方案
陈扬 CISSP/CISA
售前技术总监
构 建 可 控 的 互 联 世 界
往年护网节奏
事前阶段
事中阶段
护网前2个月
护网行动期间
行动计划
备战
预演
攻防对抗
行动准备
组建护网团队
准备应急保障预案
摸清家底
安全资源协调
平台建设
护网自查
资产暴露面梳理
业务安全
安全管理
网络安全架构分析
安全能力现状评估
护网加固(环境、边界、系统、应用)
护网情报运营
威胁情报资源 漏洞风险
持续扫描监控
风险扫描
外部泄露监控
安全人员值守
实时监控
安全事件预警
攻击防护/拦截 加固整改
内部攻防演练
应急保障体系演练
专家顾问(咨询/策略优化)
防护策略优化
安全培训宣贯
安全响应(记录/上报/应急)
事后阶段
护网结束
总结汇报
总结复盘
安全事件汇总整理
攻击路径溯源分析
安全缺陷加固整改
护网保障总结汇报
业务平滑恢复
构建可控的互联世界
2020护网,重新出发
不变
有效经验和常见误区
可能变化
思考总结
• 架构、时间、节奏
• 规则(细化)
• 行动流程(从攻到防)
• 业务、网络、设备环境
大体不变
• 高误报率影响分析判断
• 端点安全通常为全网架构中的短板
• 缺乏全量资产梳理,边缘资产带来高危风
险暴露面
• 网络权限缺少全生命周期管理
• 信息安全团队人力资源不足
• 红方的攻击从信息收集开始,而非HW攻击
启动节点开始.互联网信息中的敏感信息,
必须关注,避免留下可被社攻的信息(如
VPN账号、邮箱等关键信息)
攻击方
• 从内部突破概率增加
防守方
• 由于护网范围扩大,
可用的安全支撑人员
相对减少
如何实现常态化护网,而
非战时突击?
以前重建设,轻规划、轻
运营,未来如何平衡各方
面的投入?
往年HW中,投入产出比的
高的经验,如何落地?
疫情诞生的远程办公需求,
增加了风险暴露面,如何
保障安全?
构建可控的互联世界
攻击方式多样,如何打破攻击链?
侦察
武器构建
载荷投放
弱点利用
安装后门
C&C信道
• 信息搜索
• 资产扫描
• 漏洞识别
• 文件遍历
• 钓鱼平台
• 定制字典
• 恶意代码
• 免杀木马
• 钓鱼邮件
• 提交恶意代码
• 外部网络入侵
• 接入办公区域
• 口令爆破
• 漏洞利用
• 代码执行
• 权限提升
• 木马隐藏
• 后门免杀
• 后门自动化
• 无文件木马
• 穿墙代理
• 执行控制
• Webshell操作
基于目标操
作
• 目标搜索
• 数据访问
• 业务控制
• 横向扩展
构建可控的互联世界
只有构建纵深防护体系,才能有效抵御攻击
总控层
建立安全全局视图
护网态势
威胁态势
事件态势
威胁情报
资产态势
联动处置
SOAR
用户层
管控普通员工、
操作人员
安全客户端
IAM
例外策略
离职账号
运维工具
双因素认证
消息通知
特权策略
特权账号
堡垒机
分析
检测层
数据层
行为分析
威胁检测
UEBA
EDR
SIEM
安全沙箱
主机分析
蜜罐
MDR
入侵检测
XDR
数据脱敏
数据库审计
API安全
NDR
水印
管控办公文档数据、
业务系统数据的主动、
被动外泄
跨网交换
内网交换
SDP
EDLP
移动管理
磁盘加密
NDLP
邮件DLP
应用层
管控各类应用系统自
身安全性
中间件基线
数据库基线
开发安全
软件管理
变更监控
应用漏扫
应用防护
应用加固
代码审计
系统层
虚拟层
网络层
物理层
PC、移动、IoT
服务器/桌面虚拟化
虚拟化管控
管控网络、物理共建
安全
桌面管控
终端安全
补丁管理
系统账号
安全基线
端口管控
外联管控
漏洞扫描
HIDS
微隔离
AV
云平台监控
网络准入
异常流量
NTA
防火墙
VPN
门禁授权
环境监控
物理封堵
网络分区
构建可控的互联世界
HW行动迫在眉睫,安全工作需要聚焦
高价值数据
账号密码管理类文件
资产台账类文件
护网行动类文件
通讯录/员工信息表
源代码(尤其是私有协议)
重要、目标系统
AD、邮件等业务服务器
准入、桌管、服务器等管控系统
VPN接入
对外门户
单点登陆SSO系统
运维管理系统/Zabbix/Nagios/堡垒机
高价值终端/人员
IT运维
高管
开发
直连高安全域网络终端
构建可控的互联世界
2020护网整体方案
护网工作统筹
制定护网保障计划
护网行动全程资源协调、计划跟踪、事物决策
制定护网保障方案
内部安全培训
制定各组织/内外联络地图
组织/内外沟通汇报
基础工作
攻击面分析
暴露面梳理 互联网信息监控 持续风险扫描
网络/业务实时监控/持续优化
接入
端点
关键点防护
纵深防护
网络接入安全
服务器补丁加固
文件导入安全
端点补丁加固
安全基线
终端
数据采集
终端处置
联动处置
分析监控
应急响应
高价值数据安全
端点适时安全提醒教育
账号安全
端点沦陷检测
数据/响应能力输出
事件响应流程
应急预案
攻
防
对
抗
安全事件
处置
资产范围确认
定向采集
联动/手动处置
总
结
复
盘
7*24安全监控
流量/日志分析
事件/告警研判
定向漏洞分析
安全事件响应/处置
事件调查取证/溯源
业务
平滑
恢复
事前准备
事中对抗
事后复盘
构建可控的互联世界
全网资产梳理