首页 > 安全 > 企业安全 > 正文
企业安全建设之浅谈办公网安全
2017-03-17       个评论      
收藏    我要投稿

企业安全建设之浅谈办公网安全。在大多数互联网公司,安全建设的主要精力都投入在业务网安全上,办公网往往成为短板。为避免教科书式的理论说教,本文以攻防的角度,以中型互联网公司为例,讨论下办公网安全建设。这里的办公网是狭义的办公网,仅包括员工办公的网络区域,支撑办公的erp、邮件等系统不包含在内。

\

办公网渗透思路

办公网通常是黑客入侵的一大突破口,究其原因我认为主要为:

办公网安全投入相对业务网不足,入侵成本较低 办公网的主体是人,人有七情六欲,上网行为千奇百怪,攻击面大于业务网 业务网往往信赖办公网,可以成为战略迂回进攻业务网的绝好跳板 研发、运营等重要资料往往高度集中在办公终端,数据价值甚至超过业务网

渗透办公网的思路很多,以下是一个举例:

\

渗透办公网的思路举例

从入口的角度讲,恶意链接、文件是常见手段。

从黑客行为讲,主要分为:

水平横向渗透 纵向提权

从黑客目的角度讲,主要分为:

以办公网为跳板攻击业务网 窃取HR、财务、高管等手中的重要资料网络安全

下图为常见的办公网拓扑结构

\

办公网拓扑举例

防火墙

防火墙作为抵御攻击的第一道防护,责任重大,但是他又肩负着NAT上网的重要职责,性能和稳定性又要求很高。我认为从纯安全角度讲,选择防火墙时需要考虑下列几个功能:

恶意网站过滤 恶意文件过滤

\

2016年gartner企业网络防火墙魔力象限

IPS/IDS

IPS/IDS在这里有个非常重要的作用就是识别使用Nday的软件尤其是浏览器、办公网套件漏洞攻击员工的行为。有很多厂商宣称自己的IPS/IDS可以识别0day,我个人认为目前比较成熟的0day识别技术主要依赖沙箱和机器学习,真要识别0day还是需要专业的APT设备来做。

\

2017年gartner入侵检测与防御魔力象限

邮件安全网关

这个话题内容太多,可以单独写一篇,本文先省略。

APT设备

APT设备通过分析邮件、流量中的文件和流量行为识别APT行为,我知道国外fireeye、趋势、pa、mcafee等都做这块在。

安全隔离

安全隔离的主要目的有两个:

按需提供网络访问权限,避免权限滥用 减小黑客在办公网横向渗透以及纵向提权的攻击面,提高攻击成本

出于这两个目的,所以安全隔离通常和准入或者vlan划分结合在一起,不同的地方主要在于准入可以根据用户身份动态调整网络权限,vlan划分相对不够灵活。

\

网络权限隔离

上图是一个简单的分类,其中有几类同学需要重点关注:

运维&DBA,系统权限特别大,纵向提权的最佳目标,有种开玩笑的说法,黑掉一个运维的电脑,把所有文本文件翻个遍,找不到一个密码才是见鬼了。应当尽量限制其他人群对他们的访问。 重要业务系统的管理员,这些同学负责对公司核心业务进行运营管理,对重要后台系统具有很高的权限,一旦他们电脑被入侵,后果会很严重。比如游戏公司充值系统的后台、广告公司的客户广告投放管理系统、招聘公司的后台简历管理系统、电商的订单物流管理系统,出点事都是大事。应当尽量限制其他人群对他们的访问,同时严格限制他们的外网访问权限。 高管、HR、财务,这些同学对办公系统的访问需求比较单一,主要网络访问需求在外网,通常不懂技术,安全防护意识也最弱,也最得罪不起。他们的办公电脑集中大量公司重要数据,一旦被入侵就直接产生损失了。这部分同学可以严格限制跟办公网其他区域以及对内部系统的访问。无线安全

\

无线情况就特别复杂了,这里讨论比较常见的情况。不少公司的无线依靠静态密码保护,认证通过后即可以访问办公网络。这里有两个甲方常见误区:

我无线只覆盖公司内部,黑客咋搜到?

黑客如果真打算黑你,真可以到你公司附近,现在的AP发射能力都很强,黑客如果使用专用设备,接受信号能力也很强。

点击复制链接 与好友分享!回本站首页
上一篇:企业安全建设之路:端口扫描(上)
下一篇:企业无线安全解决方案——分析无线攻击行为与制定防御规则安全策略
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站