内网安全运营的逻辑体系架构

内网安全运营
内网安全运营,指的是公司内部生产办公网络。一般对于传统企业指的的是生产网络(工控网络),办公网络一般指企业公司内部系统(文档服务器、OA系统、财务、专利、人力等业务系统)和员工的办公电脑网络;对于互联网或者IT企业,生产网络一般只对外提供服务的网络(官网、主站点、CDN等等),办公网络与传统企业一致,测试网络指的是用于开发测试环境的网络,推荐在互联网或IT类企业中做到三网分离。

局域网态势感知与安全运营

局域网

       局域网的概念应该不用再复杂的赘述一遍,大家都懂。但在这里局域网并非指得是传统概念上的局域网、城域网、广域网中的局域网,而是属于一个组织的所有资产所构成的网络以及其与外界通信信道的集合。

内网安全建设思路

首先这里的内网不包含网络拓扑规划、应用发布、访问控制的等基础网络规划的内容,对于身份鉴别模式和访问控制有推荐的场景模式。对于内网安全的管控还是回归风险评估三要素,从扫要素开始说起,更能体现管控工作的思路。
风险评估三要素:
– 资产:这里包含所有的IT资产和无形资产(包含数据和名誉);
– 威胁:这里一般指的是面临的内部和外部可能的有害行为和力量;
– 脆弱:这里多指漏洞以及存在的其他隐患;

资产收集以及漏洞管理

作为公司内部网络安全建设的基础环节,资产的收集以及对应的管理,尤其是漏洞管理,都是网络安全建设的基础。

资产收集第一步–已入网设备的收集:

(1)收集手段:根据历史登记记录查询或者使用扫描方式对网络环境内部进行活跃主机探测。

(2)收集目标:覆盖所有已入网设备,包括云、IoT设备等,建立相应的库表结构存储,定期复测,有序更新。

资产收集第二步–新入网设备的收集:

(1)收集手段:入网登记或者使用智能入网探测机制,可以利用网络探测技术,或者入网联通身份验证机制做收集。

(2)收集目标:覆盖所有新入网设备,包括云、IoT设备等,建立相应的库表结构存储,定期复测,有序更新。

资产收集第三步–虚拟资产的收集:

(1)虚拟资产:包括但不限于重要数据记录、IP地址、MAC地址、主域名、子域名、CNAME记录、MX记录、NS记录、A记录等等。

(2)收集手段:登记审核机制以及扫描解析请求。

(3)收集目标:覆盖所有虚拟资产,建立相应的库表结构存储,定期复测,有序更新。

资产分析第一步–主机OS、SOFTWARE、SERVICES等信息收集:

(1)技术手段:扫描

(2)收集信息:os系统信息(包含口令信息)、网络协议栈信息(MAC、IP、PORT、PROTOCOL、SERVICES)、软件信息(软件名称、版本)

(3)收集目标:覆盖所有以上信息,并定期追踪探测,有序更新。

资产分析第二步–漏洞库建立:

(1)收集方法:有条件的建立自己的SRC和漏洞平台,众测收集漏洞;自身,或邀请有资质的机构进行渗透测试,挖掘漏洞,并记录进入自己的漏洞库;关注CVE、CNNVD、NVD进行同步。

(2)收集内容:漏洞危险等级,漏洞影响范围、软件、版本,漏洞测试方法、漏洞修补方法。

(3)收集目标:尽量覆盖所有相关漏洞信息,并定期追踪探测,有序更新。

资产分析第三步–漏洞检查修复:

(1)漏洞匹配阶段:资产信息与漏洞库匹配检查,必要时使用poc测试。

(2)漏洞修复阶段:分等级限期修复,修复好验证。无法修复的记录,并制定其他限制策略。

甲方安全建设推进思路

一、STEP1-合理的网络规划与边界防护: 这里其实是一个老生常谈的问题,虽然Google号称消灭网络边界很多年了,至少2015年我就听说过类似的概念,但是目前国内甲方尤其是重资产甲方是无法消灭网络边界的,在短时内也看不到消灭网络边界的可能性。因而合理规划网络环境,做好边界安全防护依然是最最基础的事情。