一、辦公網(wǎng)安全

在大多數(shù)互聯(lián)網(wǎng)公司，安全建設(shè)的主要精力都投入在業(yè)務(wù)網(wǎng)安全上，辦公網(wǎng)往往成為短板。為避免教科書式的理論說教，本文以攻防的角度，以中型互聯(lián)網(wǎng)公司為例，討論下辦公網(wǎng)安全建設(shè)。這里的辦公網(wǎng)是狹義的辦公網(wǎng)，僅包括員工辦公的網(wǎng)絡(luò)區(qū)域，支撐辦公的erp、郵件等系統(tǒng)不包含在內(nèi)。

辦公網(wǎng)滲透思路

辦公網(wǎng)通常是黑客入侵的一大突破口，究其原因我認(rèn)為主要為：

• 辦公網(wǎng)安全投入相對業(yè)務(wù)網(wǎng)不足，入侵成本較低
• 辦公網(wǎng)的主體是人，人有七情六欲，上網(wǎng)行為千奇百怪，攻擊面大于業(yè)務(wù)網(wǎng)
• 業(yè)務(wù)網(wǎng)往往信賴辦公網(wǎng)，可以成為戰(zhàn)略迂回進(jìn)攻業(yè)務(wù)網(wǎng)的絕好跳板
• 研發(fā)、運(yùn)營等重要資料往往高度集中在辦公終端，數(shù)據(jù)價值甚至超過業(yè)務(wù)網(wǎng)

滲透辦公網(wǎng)的思路很多，以下是一個舉例：

滲透辦公網(wǎng)的思路舉例：

從入口的角度講，惡意鏈接、文件是常見手段。

從黑客行為講，主要分為：

• 水平橫向滲透
• 縱向提權(quán)

從黑客目的角度講，主要分為：

• 以辦公網(wǎng)為跳板攻擊業(yè)務(wù)網(wǎng)
• 竊取HR、財務(wù)、高管等手中的重要資料

網(wǎng)絡(luò)安全

下圖為常見的辦公網(wǎng)拓?fù)浣Y(jié)構(gòu) 

辦公網(wǎng)拓?fù)渑e例：

• 防火墻

防火墻作為抵御攻擊的第一道防護(hù)，責(zé)任重大，但是他又肩負(fù)著NAT上網(wǎng)的重要職責(zé)，性能和穩(wěn)定性又要求很高。我認(rèn)為從純安全角度講，選擇防火墻時需要考慮下列幾個功能：

• 惡意網(wǎng)站過濾
• 惡意文件過濾

2016年gartner企業(yè)網(wǎng)絡(luò)防火墻魔力象限

• IPS/IDS

IPS/IDS在這里有個非常重要的作用就是識別使用Nday的軟件尤其是瀏覽器、辦公網(wǎng)套件漏洞攻擊員工的行為。有很多廠商宣稱自己的IPS/IDS可以識別0day，我個人認(rèn)為目前比較成熟的0day識別技術(shù)主要依賴沙箱和機(jī)器學(xué)習(xí)，真要識別0day還是需要專業(yè)的APT設(shè)備來做。

2017年gartner入侵檢測與防御魔力象限

• 郵件安全網(wǎng)關(guān)

這個話題內(nèi)容太多，可以單獨寫一篇，本文先省略。

• APT設(shè)備

APT設(shè)備通過分析郵件、流量中的文件和流量行為識別APT行為，我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。

• 安全隔離

安全隔離的主要目的有兩個：

1.按需提供網(wǎng)絡(luò)訪問權(quán)限，避免權(quán)限濫用

2.減小黑客在辦公網(wǎng)橫向滲透以及縱向提權(quán)的攻擊面，提高攻擊成本

出于這兩個目的，所以安全隔離通常和準(zhǔn)入或者vlan劃分結(jié)合在一起，不同的地方主要在于準(zhǔn)入可以根據(jù)用戶身份動態(tài)調(diào)整網(wǎng)絡(luò)權(quán)限，vlan劃分相對不夠靈活。 

網(wǎng)絡(luò)權(quán)限隔離

上圖是一個簡單的分類，其中有幾類同學(xué)需要重點關(guān)注：

• 運(yùn)維&DBA，系統(tǒng)權(quán)限特別大，縱向提權(quán)的最佳目標(biāo)，有種開玩笑的說法，黑掉一個運(yùn)維的電腦，把所有文本文件翻個遍，找不到一個密碼才是見鬼了。應(yīng)當(dāng)盡量限制其他人群對他們的訪問。
• 重要業(yè)務(wù)系統(tǒng)的管理員，這些同學(xué)負(fù)責(zé)對公司核心業(yè)務(wù)進(jìn)行運(yùn)營管理，對重要后臺系統(tǒng)具有很高的權(quán)限，一旦他們電腦被入侵，后果會很嚴(yán)重。比如游戲公司充值系統(tǒng)的后臺、廣告公司的客戶廣告投放管理系統(tǒng)、招聘公司的后臺簡歷管理系統(tǒng)、電商的訂單物流管理系統(tǒng)，出點事都是大事。應(yīng)當(dāng)盡量限制其他人群對他們的訪問，同時嚴(yán)格限制他們的外網(wǎng)訪問權(quán)限。
• 高管、HR、財務(wù)，這些同學(xué)對辦公系統(tǒng)的訪問需求比較單一，主要網(wǎng)絡(luò)訪問需求在外網(wǎng)，通常不懂技術(shù)，安全防護(hù)意識也最弱，也最得罪不起。他們的辦公電腦集中大量公司重要數(shù)據(jù)，一旦被入侵就直接產(chǎn)生損失了。這部分同學(xué)可以嚴(yán)格限制跟辦公網(wǎng)其他區(qū)域以及對內(nèi)部系統(tǒng)的訪問。

無線安全 

無線情況就特別復(fù)雜了，這里討論比較常見的情況。不少公司的無線依靠靜態(tài)密碼保護(hù)，認(rèn)證通過后即可以訪問辦公網(wǎng)絡(luò)。這里有兩個甲方常見誤區(qū)：

• 我無線只覆蓋公司內(nèi)部，黑客咋搜到?

黑客如果真打算黑你，真可以到你公司附近，現(xiàn)在的AP發(fā)射能力都很強(qiáng)，黑客如果使用專用設(shè)備，接受信號能力也很強(qiáng)。

• 我無線密碼好復(fù)雜，黑客不可能暴力破解

本本上裝個kali，買個好點的usb網(wǎng)卡，wpa/wpa2密碼破解只是時間問題。另外現(xiàn)在不少wifi助手有記住密碼功能，內(nèi)部員工一旦誤點了記住免費wifi，其他人使用wifi助手連接這個wifi就會自動認(rèn)證，破解都不用了。所以無線網(wǎng)絡(luò)最好可以限制僅能訪問外網(wǎng)，并且加上類似準(zhǔn)入的二次認(rèn)證機(jī)制，也可以使用域密碼或者證書認(rèn)證，降低靜態(tài)密碼被泄露和破解的風(fēng)險。

終端安全

終端安全是辦公網(wǎng)安全的重點，涉及面非常廣，核心訴求至少包括一下方面：

• 提高終端安全基線，減小攻擊面
• 基礎(chǔ)防病毒能力，具備抵御常見Nday病毒木馬的能力，提高攻擊成本
• 基礎(chǔ)的終端系統(tǒng)、應(yīng)用軟件資產(chǎn)搜集以及管理能力，針對常見的Nday系統(tǒng)、應(yīng)用軟件漏洞具有發(fā)現(xiàn)、修復(fù)的能力，提高攻擊成本

為了達(dá)到以上要求，需要借助一定的商業(yè)解決方案。

• 終端安全加固

終端安全加固的目的是提高安全基線，減小攻擊面，事半功倍的方法是讓PC終端統(tǒng)一加入window域，通過域控策略統(tǒng)一管理終端的安全策略，介紹域策略的文章很多，這里只提下幾個比較重要的點：

• 開啟屏保以及鎖屏?xí)r間
• 域賬戶密碼復(fù)雜度，密碼更換時間
• 禁用guest賬戶
• 開啟主機(jī)防火墻
• 禁止administror賬戶遠(yuǎn)程登錄(員工自己域賬戶是本地管理員，可以正常登錄，很多公司喜歡用ghost預(yù)裝電腦，administror賬戶的密碼絕對是個大坑)
• 禁止域管理員遠(yuǎn)程登錄(一定要把域控和一般PC放在不同組策略下，不然這個策略害死人)
• 刪除IPC$ C$ D$ admin$(木馬經(jīng)常利用)
• 開啟審計策略，記錄登錄、賬戶相關(guān)事件
• 調(diào)整事件日志的大小及覆蓋策略
• 關(guān)機(jī)清理虛擬內(nèi)存頁面文件
• 終端防病毒

終端防病毒肩負(fù)著具備抵御常見Nday病毒木馬的能力，提高攻擊成本的重任，不過傳統(tǒng)解決方案基本就是純粹的黑名單和基于病毒特征，似乎這一領(lǐng)域也是紅海中的紅海。可喜的是最近兩年終端安全又被各大安全廠商重視起來，因為越來越多的有針對性的攻擊行為被揭露，跳板都是辦公終端，大家對這塊越來越重視;另外新的檢測技術(shù)以及解決思路落地實現(xiàn)，安全廠商提出了EDR的概念，即終端檢測與響應(yīng)。基本思路是默認(rèn)攻擊者始終會滲漏公司網(wǎng)絡(luò)，讓安全人員利用IoC和終端行為來快速檢測任何入侵，減小攻擊者造成的損害。

2016年gartner防病毒軟件魔力象限

• 終端管理

終端管理主要解決兩個安全問題：

1.系統(tǒng)、應(yīng)用軟件版本的管理

2.系統(tǒng)、應(yīng)用軟件漏洞的自動化修復(fù)

微軟的WSUS以及SCCM雖然只能搞定微軟系軟件以及flash的問題，但是已經(jīng)可以解決大部分問題了，針對類似java、chrome這類常用第三方軟件的升級，就需要專業(yè)的終端管理解決方案了。 

2015gartner終端管理

• 準(zhǔn)入系統(tǒng)

準(zhǔn)入系統(tǒng)可以基于員工身份做到靈活的網(wǎng)絡(luò)權(quán)限限制，保障主機(jī)安全基線的強(qiáng)制執(zhí)行。這部分可以參考我以前的文章《企業(yè)安全建設(shè)之自建準(zhǔn)入系統(tǒng)》。

數(shù)據(jù)安全

數(shù)據(jù)安全是個非常復(fù)雜的話題，有興趣可以參考下我之前的文章《企業(yè)安全建設(shè)之淺談數(shù)據(jù)防泄露》。

系統(tǒng)安全

辦公網(wǎng)的系統(tǒng)安全，出了加固手段，還需要通過漏洞掃描器定期自動化發(fā)現(xiàn)。我理解這里的掃描器至少需要解決幾方面問題：

• 各種弱密碼
• 系統(tǒng)級漏洞，比如ms08-067、MS12-020
• 第三方軟件漏洞，比如Cisco WAG120N多個遠(yuǎn)程命令執(zhí)行漏洞

其他

• 蜜罐

部署一定數(shù)量的蜜罐，可以起到事半功倍的效果，最簡單的就是用類似honeyd之類開源的偽裝成window終端即可。

• siem

辦公網(wǎng)數(shù)據(jù)量基本不大而且商業(yè)產(chǎn)品居多，使用ossim就可以很好解決數(shù)據(jù)搜集、展現(xiàn)、自定義報警、關(guān)聯(lián)分析的功能了。

建設(shè)步驟

通過以上努力，我們基本建設(shè)起了辦公網(wǎng)的縱深防御系統(tǒng)，整個辦公網(wǎng)具有了一定的安全防護(hù)以及感知能力。公司的預(yù)算總是有限，人力也是捉襟見肘，從無到有建設(shè)這么個安全防護(hù)體系不是一年半載的事，需要拍優(yōu)先級，下面是一個建議：

第一步，安全邊界建設(shè)，風(fēng)險初步可控，比如IPS、NGFW

第二步，細(xì)化終端安全建設(shè)，進(jìn)一步提高防護(hù)能力

第三步，提高安全感知能力，錦上添花

每個公司安全現(xiàn)狀不一樣，業(yè)務(wù)情況也不一樣，具體實施步驟和策略需要因地制宜。安全意識教育也是非常重要的一個環(huán)節(jié)，尤其針對社工，技術(shù)防護(hù)手段效果一般。

二、數(shù)據(jù)防泄露

數(shù)據(jù)防泄露在每個公司都是很頭疼的事情，大大小小的泄露事件也總是不期而至。本文結(jié)合我的經(jīng)驗從使用的層面介紹常見的數(shù)據(jù)防泄露技術(shù)手段。

核心數(shù)據(jù)資產(chǎn)的定義

數(shù)據(jù)防泄露是一個非常復(fù)雜的工程，投入再多人力也不為過，但是互聯(lián)網(wǎng)公司的安全人力大多非常有限，所以打蛇打七寸，我們需要先定義清楚什么是核心數(shù)據(jù)資產(chǎn)。通常理解會包含以下幾大類： 

以上只是舉例，具體各個公司情況都不太一樣，需要結(jié)合自身實際。比如招聘類公司，簡歷就是十分重要的資產(chǎn)。

數(shù)據(jù)保護(hù)的生命周期

數(shù)據(jù)防泄露需要針對定義的核心數(shù)據(jù)的全生命周期進(jìn)行保護(hù)。

數(shù)據(jù)防泄露的協(xié)議棧為：

這并非一個嚴(yán)格的劃分，只是便于把不同的數(shù)據(jù)防泄露產(chǎn)品和方案進(jìn)行劃分。

設(shè)備級

0x01設(shè)備加密

設(shè)備防丟失，主要是預(yù)防設(shè)備丟失后造成的數(shù)據(jù)泄露，最常見的就是U盤等移動存儲，京東上一搜一大片。

密碼保護(hù)的：

指紋保護(hù)的：

雖然保護(hù)方式不一樣，但是底層數(shù)據(jù)加密基本都是AES128或者256，可以提高設(shè)備丟失后數(shù)據(jù)泄漏的門檻，對于高手來說還是可以搞定的。

對于硬盤，也有一些解決方案。

硬盤密碼：可以在bios里面設(shè)置硬盤密碼，這樣每次開機(jī)都需要輸入硬盤密碼。

0x02硬盤加密

如果冠希老師看到這段估計會怪我寫晚了……mac自帶的硬盤加密：

硬盤加密技術(shù)非常成熟了，商用產(chǎn)品非常多。不得不提的還有truecrypt，據(jù)說國內(nèi)安全傳統(tǒng)四強(qiáng)之一就要求員工用這個。

truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統(tǒng)。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤，大家可以按照盤符進(jìn)行訪問，所有虛擬磁盤上的文件都被自動加密，需要通過密碼來進(jìn)行訪問。TrueCrypt 提供多種加密算法，包括：AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish，其他特性還有支持FAT32和NTFS分區(qū)、隱藏卷標(biāo)、熱鍵啟動等，最關(guān)鍵它免費。前段時間相傳軟件有安全隱患，網(wǎng)站被關(guān)停，也有說是因為作者拒絕配合某國政府調(diào)查而被迫關(guān)停，不過這都不會掩飾這是一款優(yōu)秀的免費加密軟件。

0x03移動設(shè)備數(shù)據(jù)擦除

微軟郵件系統(tǒng)自帶一個十分強(qiáng)悍的功能，對于配置接受公司exchange郵件的移動終端，可以通過登錄OWA頁面直接遠(yuǎn)程擦除整個設(shè)備的內(nèi)容并完全恢復(fù)出廠配置。

文件級

0x01文件加密

文件加密目前國內(nèi)的產(chǎn)品就非常強(qiáng)悍了，一搜一大把，我這里介紹一款微軟提供的免費文件加密產(chǎn)品RMS。RMS跟微軟的AD集成，可以針對郵件組進(jìn)行授權(quán)讀寫打印權(quán)限控制，坦率講針對微軟的文件類型支持挺不錯，比如word，excel，ppt等，而且還有mac版。不過對于非微軟的文件類型就比較遺憾了，不過滿足正常辦公需要基本夠用。最強(qiáng)悍的是與郵件系統(tǒng)的集成，可以在發(fā)郵件的時候直接設(shè)置哪些郵件組的人才能看(收件人和可以加密看郵件的人很可能是子集關(guān)系)。

0x02端點級DLP

本質(zhì)上是網(wǎng)絡(luò)級DLP的端點級實現(xiàn)，支持?jǐn)r截功能。

網(wǎng)絡(luò)級

0x01網(wǎng)絡(luò)DLP

狹義的數(shù)據(jù)防泄漏產(chǎn)品就是指網(wǎng)絡(luò)DLP，這是一個經(jīng)久不衰的安全領(lǐng)域，16年的gartner排名如下：

• 網(wǎng)絡(luò)級DLP的未來趨勢是與云訪問安全代理 (CASB) 功能集成，將敏感數(shù)據(jù)的發(fā)現(xiàn)范圍進(jìn)一步擴(kuò)大到云應(yīng)用程序。
• 擴(kuò)展了 DLP 覆蓋范圍到云應(yīng)用程序中的內(nèi)容，包括 Office 365、Box、Dropbox、Google Apps 或 Salesforce。

利用全部的 CASB 功能，持續(xù)監(jiān)控云應(yīng)用程序中內(nèi)容的增加、修改和訪問權(quán)限。

應(yīng)用級

應(yīng)用級DLP主要是指郵件DLP，本質(zhì)上是掃描郵件的內(nèi)容和附件，與設(shè)定的數(shù)據(jù)安全策略匹配，這里就不展開了。

總結(jié)

數(shù)據(jù)防泄漏是個非常復(fù)雜的系統(tǒng)工程，任何技術(shù)手段都不能確保不被繞過，必要的技術(shù)手段可以提高門檻，最后的落地強(qiáng)依賴于公司相關(guān)數(shù)據(jù)安全管理策略的執(zhí)行，常說的七分管理三分技術(shù)在這里非常合適。