小團隊如何通過安全運營在藍軍的炮火中生存

關(guān)于我從業(yè)經(jīng)歷12過去六年，在深交所從事信息安全工作主管聽過很多會54烏云2015白帽子大會RSA/ISC/FIT/強網(wǎng)論壇/金融業(yè)網(wǎng)絡(luò)安全論壇也打過CTF34網(wǎng)鼎杯/中央企業(yè)網(wǎng)絡(luò)安全技術(shù)大賽32讀了一些書《互聯(lián)網(wǎng)企業(yè)安全高級指南》/《企業(yè)安全建設(shè)指南》《0day：軟件漏洞分析技術(shù)》/<hack

like

a

legend>15

看過眾多產(chǎn)品入

門覆蓋傳統(tǒng)安全/數(shù)據(jù)安全/SOAR/態(tài)勢感知2目錄01030204背景介紹管理類工作總結(jié)技術(shù)類工作01序背景介紹KEY1：何謂“小團隊”？阿里

騰訊平安

美團資絕對人數(shù)少工作范圍廣團隊獨立成員8人（<1%）金投入負責全公司安全管理制度落地、網(wǎng)絡(luò)安全防護自行腦補獨角獸人數(shù)安全小組獨立于運行部門負

責

人安

全

技

術(shù)

（

4

）安

全

體

系

（

3

人

）系統(tǒng)建設(shè)（2）安全運營（2）管理體系、數(shù)據(jù)安全5KEY2：“藍軍”是誰？攻擊隊伍并非嚴格按時間攻擊110+只AC專家評審會議行業(yè)機構(gòu)會議攻擊人數(shù)會有0Day可能超30參加說明會BD1日6日12日16日24日1日6日13日164月5月各部門會議下屬公司會議管理層匯報內(nèi)部通報會議情況監(jiān)管部門匯報《演習方案v2》6KEY3：“炮火”打哪兒來？WEB漏洞網(wǎng)絡(luò)漏洞社工信任底線網(wǎng)站是不是存在SQL注入？專區(qū)會不會存在LFI？硬件證書系統(tǒng)是不是有漏洞？是否有服務(wù)器偷偷開放了DB服務(wù)？網(wǎng)絡(luò)權(quán)限是否控制了非80和443端口訪問？互聯(lián)網(wǎng)資產(chǎn)是否有遺漏？員工是否會被釣魚？領(lǐng)導的弱口令改了沒有？會不會被物理入侵？如果防火墻被繞過了怎么辦？如果出現(xiàn)了0Day長驅(qū)直入到內(nèi)網(wǎng)怎么辦？供應(yīng)商會不會泄露網(wǎng)絡(luò)拓撲？7工作臺賬V1.0資產(chǎn)排查風險排查DMZ、開發(fā)測試、托管、下屬公司已知漏洞復(fù)核、互聯(lián)網(wǎng)資產(chǎn)安全檢測、基線核查、用戶弱口令、LED、弱口令防護與監(jiān)測VPN加固、AD、PoC系統(tǒng)、主機安全、郵箱、蜜罐專區(qū)防護WEB掃描、滲透測試、部署WAF、日志監(jiān)控、用戶釣魚測試、老專區(qū)防護代理服務(wù)器、文件交換系統(tǒng)、網(wǎng)盤、堡壘機、防病毒重要設(shè)備防護8工作臺賬V1.0存在的問題資產(chǎn)排查本質(zhì)自上而下的視角內(nèi)部員工風險排查風險驅(qū)動典型特點防護與監(jiān)測外部人員合作數(shù)據(jù)賬號共享權(quán)限殘留密碼泄露釣魚郵件操作指引專區(qū)防護重要設(shè)備防護自下而上異地中心下屬公司物理入侵終端管控網(wǎng)絡(luò)準入物聯(lián)網(wǎng)LED大屏后勤人員很多問題看起來是技術(shù)問題，其實是管理問題--群眾02壓實主體責任點健全組織領(lǐng)導管理類工作完善應(yīng)急處置流程壓實主體責任管理層匯報、監(jiān)管層匯報安全員專題會議《關(guān)于重申信息安全工作紀律有關(guān)事項的通知》《加強網(wǎng)絡(luò)安全防護自查表》釣魚郵件培訓所內(nèi)管控領(lǐng)導層員工系統(tǒng)管理員異地中心《工作人員信息安全工作指引》監(jiān)督下屬公司召開專題會議，通報演練工作。多個下屬公司要求下屬公司形成工作臺帳，提交總部進行評審。關(guān)聯(lián)單位：核心機構(gòu)、經(jīng)營機構(gòu)。供應(yīng)商《責任書》：協(xié)調(diào)外部單位關(guān)聯(lián)單位服務(wù)商不存在未修復(fù)的已知漏洞未泄漏與深交所合作期間獲取的敏感數(shù)據(jù)健全組織領(lǐng)導成立攻防演練指揮部（擴大到業(yè)務(wù)部門、下屬公司、關(guān)聯(lián)機構(gòu)）成立演練工作小組（囊括運行、開發(fā)、安全等部門）建立組織架構(gòu)1、制定演習方案。2、制定演習工作臺帳。制定應(yīng)對方案明確職責分工制作職責說明書完善應(yīng)急處置流程01事件分類02職責分工03明確流程04規(guī)范手段參照《信息安全事件分類分級指南》三組聯(lián)動PDCERT模型溝通和匯報n

分析組：監(jiān)控設(shè)備告警、分析告警的影響、全網(wǎng)排查n

處置組：決策、資產(chǎn)定位、應(yīng)急響應(yīng)、工具準備n

6個階段：準備、診斷、抑制、根除、恢復(fù)、跟蹤n

明確各類安全事件中三個組的工作內(nèi)容n

網(wǎng)絡(luò)掃描竊聽事件n

后門攻擊事件（木馬事件）n違反保密規(guī)定，無意泄露信息n

內(nèi)外溝通渠道分離n

日報、周報n

漏洞攻擊事件n

拒絕服務(wù)攻擊事件n

網(wǎng)絡(luò)釣魚事件n

每日復(fù)盤會議n

工作總結(jié)n消息組：下達、上傳、事件閉環(huán)、匯總n常見抑制措施：網(wǎng)絡(luò)隔離、關(guān)機、修改DNS、黑名單n

值班表完善應(yīng)急處置機制（人員分工）指揮部匯報決策公安部證監(jiān)會市網(wǎng)監(jiān)省CERT1.

消息組：5人消息組2.

分析組：14人（其中監(jiān)控9人）處置報告報告線索特征異

下

關(guān)地

屬

聯(lián)中

公

機心

司

構(gòu)各部門分析組處置組3.

處置組：N安全監(jiān)控可用性監(jiān)控工作小組應(yīng)急處置舉例員

工消息組向消息組反饋收到釣魚郵件在漏洞管理系統(tǒng)錄入信息并向分析組人員派發(fā)工單1、查看郵件沙箱告警，無告警2、人工分析鏈接和內(nèi)容，關(guān)聯(lián)情報數(shù)據(jù)分析組處置組3、影響分析：利用SIEM完成根據(jù)分析結(jié)果，進行封禁通知其他受影響用戶進行處置應(yīng)急處置舉例（圖）index=exchange“惡意郵件關(guān)鍵詞”|tablemessage_subject,recipient_address,OriginalFromAddress,sender_address疑慮和驅(qū)動力疑慮解藥①

生產(chǎn)環(huán)境主機要裝Agent？出現(xiàn)可用性問題怎么辦？②

這段網(wǎng)絡(luò)流量難弄啊，要新增設(shè)備、跳線，好麻煩。①

生產(chǎn)環(huán)境主機安全agent全覆蓋。②

流量盡可能抓全。③

對測試環(huán)境安全要求降一降，弱口令、不打補丁應(yīng)該接受？④

VPN一定要短信驗證碼嗎？圖形驗證碼行不行?③

測試環(huán)境在往年都是被攻擊的入口。④

圖形驗證碼早已被證明很容易繞過。驅(qū)動力合規(guī)驅(qū)動風險驅(qū)動黨性驅(qū)動召開評審會議：公安、電力、銀行、攻擊方代表很多問題看起來是技術(shù)問題，其實是管理問題,最后還是死在了技術(shù)不過硬的問題上。--群主03攻擊面分析縱深防御基礎(chǔ)工作點技術(shù)類工作技術(shù)思路攻擊面分析從邊界到內(nèi)部站在攻擊者的角度，枚舉所有可能的攻擊路徑筑牢基礎(chǔ)總體思路定調(diào)：被攻陷是肯定的，但不能犯低級錯誤如補丁、防病毒、弱口令、誤配置縱深防護時間有限、人力有限、設(shè)備有限從重點抓起，再擴散到普通系統(tǒng)1、攻擊面分析分類風險項應(yīng)對安全措施范圍基于硬件證書的身份驗證機制出現(xiàn)問題，導致登錄被繞過接受。通過提升預(yù)警能力來彌補。1、獲取用戶名清單，安全組提前進行TOP7000弱口令檢測，對發(fā)現(xiàn)弱口令的責令修改。[07]2、修改專區(qū)登錄頁面驗證碼機制，改為每次都需要輸入驗證碼。[33]DMZ-專區(qū)應(yīng)用攻擊者盜用合法用戶身份，如部分非證書站點存在用戶弱口令、用戶電腦被攻擊者控制。應(yīng)用自身存在漏洞，被利用后獲取應(yīng)用或者主機權(quán)限，進入隔離層。對專區(qū)進行帶證書的WEB掃描。[31]登錄雙因素，加入短信驗證碼[12-3]接受。物理安保已經(jīng)比較嚴格。接受。物理安保已經(jīng)比較嚴格。邊界DMZ-遠

VPN用戶存在弱口令或口令被暴力破解，攻擊者成程辦公功進入隔離層。物業(yè)設(shè)備（視頻監(jiān)控、考勤、門禁等）網(wǎng)絡(luò)被攻擊者在現(xiàn)場控制物業(yè)網(wǎng)終端接入

攻擊者到物理場所繞過準入，如直接使用打印機網(wǎng)子區(qū)

線分析預(yù)警能力不足：目前僅部署了防火墻，無法記錄原始流量，無法對上行數(shù)據(jù)包內(nèi)容做安全分析。正在部署NDR類產(chǎn)品[14-1]流量出口[N]：代表安全小組單獨的臺賬編號1、攻擊面分析（續(xù)）分類風險項隔離層桌

控制員工的應(yīng)對安全措施范圍VDI，進而對公共服務(wù)器發(fā)起攻擊，如域VDI與服務(wù)器網(wǎng)段有防火墻隔離，有ACL策略。OA等。面云

控、內(nèi)部郵箱、安全助手、1、開展服務(wù)器基線核查，確保密碼策略有效實施。[03-1]2、5月底前開展一輪內(nèi)部掃描，確保已知的RCE漏洞全部修復(fù)。[01-5]服務(wù)器存在高危漏洞，如弱口令、未更新嚴重漏洞補丁內(nèi)部服務(wù)器密碼復(fù)用（非弱口令），出現(xiàn)“一處失陷，多處失陷”的情況。接受。需要運行部研究解決方案。網(wǎng)絡(luò)設(shè)備ACL規(guī)則粒度過粗，或存在誤配置，導致

網(wǎng)絡(luò)組檢查跨層防火墻策略，尤其是any類型的規(guī)則，確[03-5]出現(xiàn)不應(yīng)該允許的網(wǎng)絡(luò)通道。認是否合理。內(nèi)部發(fā)通知要求所有服務(wù)器管理員自查，禁止在郵箱、文件目錄存防明文密碼，相關(guān)郵件刪除，相關(guān)文件考慮用excel加密保護。[91]隔離層子

管理員在服務(wù)器或終端上明文存放敏感文件，如網(wǎng)區(qū)

絡(luò)拓撲、賬號密碼等信息。域管理員在非常用終端輸入賬號密碼信息，導致憑

要求域管理員禁止在非本人終端、服務(wù)器輸入域密碼。對證泄漏。

于先前輸入過的服務(wù)器，做重啟處理。[90]服務(wù)器防病毒未統(tǒng)一管控，攻擊者可以退出防病毒軟件之后再安裝惡意軟件。將服務(wù)器防病毒的本地管理員權(quán)限收回，統(tǒng)一管控。[54]1、服務(wù)器被劃分為多個VLAN，通過ACL進行控制。2、服務(wù)器登錄繞行會產(chǎn)生監(jiān)控告警。3、主機上的爆破、掃描等行為會產(chǎn)生監(jiān)控告警。服務(wù)器間跳轉(zhuǎn)，攻擊者在內(nèi)網(wǎng)橫向移動。2、筑牢基礎(chǔ)補丁防病毒windows：覆蓋率linux：EDR進行掃描期間：10個0Day、月度補丁分布式漏掃工具：RCE全部修復(fù)，否則關(guān)機處理（含測試環(huán)境）漏洞修復(fù)：快速推動。Redis升級、IIS升級、OS升級1243弱口令n

AD弱口令：腳本檢查誤配置滲透測試（4輪）HIDS權(quán)限設(shè)置過大、demo目錄n

系統(tǒng)弱口令：HIDSn

應(yīng)用弱口令：腳本檢查3、縱深防護--內(nèi)生安全安全域劃分主機加固按照安全基線制作模板SIEM代理、防病毒、HIDS1網(wǎng)絡(luò)架構(gòu)：三橫三縱、域間隔離安全原則：默認阻斷、有限開放內(nèi)生安全42終端安全應(yīng)用架構(gòu)外部：SSO（CAS+LDAP+eKey）內(nèi)部：SSO(多套AD），AD密碼策略辦公終端：桌面云IAP平臺：proxy+中間件+應(yīng)用+DB跨層訪問經(jīng)過防火墻=>流量采集33、縱深防護--重要系統(tǒng)梳理具備跨網(wǎng)或跨域能力第1類n文件交換系統(tǒng)、漏洞掃描系統(tǒng)、運維監(jiān)控系統(tǒng)具備集中管理功能n

Agent進行集中管理：聯(lián)軟安全助手、日志收集分析系統(tǒng)、自動化運維平臺n

對用戶進行集中管理：域控、SSOn

對系統(tǒng)進行集中管理：堡壘機、虛擬化平臺重要系統(tǒng)第2類第3類承載了重要數(shù)據(jù)n

郵件系統(tǒng)、中心數(shù)據(jù)庫、源碼服務(wù)器、OA、Wiki3、縱深防護--重要系統(tǒng)防護網(wǎng)絡(luò)防護應(yīng)用防護行為分析限制訪問源IP非允許IP登錄告警（含嘗試）日志必須完整采集賬戶梳理網(wǎng)絡(luò)連接分析進程分析24135主機防護數(shù)據(jù)防護部分開啟軟件防火墻windows：防火墻必裝linux：hids必裝對部分DB進行語句審計3、縱深防護--覆蓋矩陣類型系統(tǒng)名稱網(wǎng)絡(luò)防護主機防護應(yīng)用防護數(shù)據(jù)防護

行為分析后臺登錄監(jiān)控文件交換系統(tǒng)漏洞掃描系統(tǒng)運維監(jiān)控平臺滲透整改日志IPTablesHIDS具備跨網(wǎng)或跨域能力運行時間監(jiān)控運行時間監(jiān)控web命令執(zhí)行AV/HIDSHIDS日志源IP限制日志禁用命令推送DB審計ATAHIDS安全助手域控具備集中管理功能源IP限制禁止反連日志網(wǎng)絡(luò)流量繞行告警HIDS日志雙因素AV/HIDSN/AN/A堡壘機源碼系統(tǒng)日志帳號清理越權(quán)讀取數(shù)據(jù)分析IPTables承載了重要數(shù)據(jù)滲透整改DB審計web命令執(zhí)行OAHIDSN/AWIKIN/AN/AN/AN/A默認：1、網(wǎng)絡(luò)域間隔離；2、跨域訪問禁止；3、關(guān)閉反向連接4、安全防護框架新增計劃總控層SIEM建立集團化的安全全局視圖安全威脅情報態(tài)勢感知安全客戶端雙因素認證堡壘機用戶層安全管控普通員工、操作人員繞行策略管控辦公文檔數(shù)據(jù)、業(yè)務(wù)系統(tǒng)數(shù)據(jù)的主動、被動外泄數(shù)據(jù)防泄漏文印一體化文件交換水印API安全數(shù)據(jù)層安全郵件DLP數(shù)據(jù)脫敏數(shù)據(jù)庫審計安全規(guī)范防篡改應(yīng)用防護應(yīng)用漏掃信道加密蜜罐應(yīng)用層安全管控各類應(yīng)用系統(tǒng)自身的安全性ATA安全基線終端安全漏洞掃描補丁管理AV蜜罐系統(tǒng)層安全管控主機、終端等設(shè)備HIDS管控服務(wù)器虛擬化、桌面虛擬化等平臺的安全云平臺監(jiān)控主機加固主機異常虛擬應(yīng)用虛擬層安全VPC安全域劃分網(wǎng)絡(luò)準入防火墻入侵檢測上網(wǎng)行為門禁授權(quán)環(huán)境監(jiān)控NTA網(wǎng)絡(luò)和物理層安全

的安全管控網(wǎng)絡(luò)、物理空間異常流量NDR04“安全運營”定義安全運營舉例面總結(jié)重新審視“安全運營”“安全運營”定義職業(yè)欠錢“為了實現(xiàn)安全目標，提出安全解決構(gòu)想、驗證效果、分析問題、診斷問題、協(xié)調(diào)資源解決問題并持續(xù)迭代優(yōu)化的過程”01

02

03

04以終為始持續(xù)迭代手段不限態(tài)度轉(zhuǎn)換以目標為導向安全與業(yè)務(wù)相適應(yīng)是一個持續(xù)迭代的過程，只有進行時管理和技術(shù)不分彼此由被動解決問題，向主動尋找問題轉(zhuǎn)換量化是持續(xù)迭代的手段CASE1：WEB應(yīng)用上線前掃描WEB

應(yīng)用上線前要通過掃描器檢測，不存在嚴重漏洞原先現(xiàn)在安全組擔負掃描職責，成為瓶頸：①

上線時間緊張，發(fā)現(xiàn)問題來不及整改②

系統(tǒng)掃描時間長由測試團隊負責：①

安全組負責搭建、維護多套掃描環(huán)境②

制定報告的通過標準③

系統(tǒng)并發(fā)性能不足③

對報告進行抽查對漏洞進行統(tǒng)計分析，開展“開發(fā)安全專場培訓”CASE2：日志收集分析系統(tǒng)運營1、合規(guī)；2、發(fā)現(xiàn)安全風險原先現(xiàn)在真正運轉(zhuǎn)起來：①

寫入主機安全基線，生產(chǎn)系統(tǒng)全覆蓋②

對24h未接入設(shè)備進行監(jiān)控③

根據(jù)各類檢查、滲透測試結(jié)果不斷進行規(guī)則優(yōu)化幾乎淪為擺設(shè)：①

從最初100臺設(shè)備，減少到40多臺設(shè)備。（孤島嚴重）②

其他團隊不參與③

刻板報告模板，一次巡檢要4個小時④

數(shù)據(jù)保存半年④

熱數(shù)據(jù)一年，冷數(shù)據(jù)十年n

口號：“日志是基礎(chǔ)，規(guī)則很關(guān)鍵，運營才核心”n

在演練、攻防中不斷提升系統(tǒng)的曝光度CASE3：員工安全責任落實讓全體員工能參與到安全建設(shè)工作中通常我們?nèi)止芾恚?/p>