APT攻擊防護方案:采用整合型產(chǎn)品進行全方位防護
原創(chuàng)一、網(wǎng)絡(luò)現(xiàn)狀
假設(shè)軍情六處目前有計算機500臺,沒有分域管理,所有計算機在1個網(wǎng)絡(luò)中,出口部署有防火墻,以抵御互聯(lián)網(wǎng)常見攻擊,內(nèi)部網(wǎng)絡(luò)中的計算機安裝有單機版防病毒軟件,并定期更新。
網(wǎng)絡(luò)中有約50臺服務(wù)器,部分采用了虛擬化。
正是因為這樣的粗放型管理方式,導(dǎo)致病毒、木馬、蠕蟲泛濫,并產(chǎn)生過黑客滲透到內(nèi)部網(wǎng)絡(luò)的安全事故——對,在《007:大破天幕殺機》中各位已經(jīng)看到!
二、脆弱性與威脅分析
由于目前的網(wǎng)絡(luò)完全是10年前的網(wǎng)絡(luò)結(jié)構(gòu),因此我們建議將網(wǎng)絡(luò)按照不同的應(yīng)用分為如下三個區(qū)域:
互聯(lián)網(wǎng)區(qū):100臺計算機,用做資料查詢、網(wǎng)絡(luò)信息發(fā)布等用途。(本區(qū)域也有服務(wù)器,但由于做信息發(fā)布,不存儲敏感信息,因此不單獨分析。)
辦公網(wǎng)區(qū):400臺計算機,存有大量敏感信息,并嚴格控制不能在互聯(lián)網(wǎng)發(fā)布。
服務(wù)器區(qū):從屬于辦公網(wǎng)區(qū),但因功能不同,獨立分析。
不同的安全區(qū)域?qū)嵤﹪栏竦脑L問控制策略,特別是互聯(lián)網(wǎng)區(qū),物理上與辦公網(wǎng)區(qū)、服務(wù)器區(qū)分開。
下面分析脆弱性與威脅:
1、互聯(lián)網(wǎng)區(qū)
來自于互聯(lián)網(wǎng)的木馬、病毒、蠕蟲。
U盤、移動硬盤等移動存儲介質(zhì)帶來的惡意軟件、信息外泄。
打印帶來的安全問題。
主機IP和MAC容易被篡改帶來運維和安全風(fēng)險。
刻錄機帶來的安全風(fēng)險。
虎視眈眈的黑客帶來的各種威脅。
自帶設(shè)備(BYOD)帶入內(nèi)部網(wǎng)絡(luò)帶來的安全風(fēng)險(木馬、病毒等)。
隨著手機、平板電腦的流行而帶來的移動設(shè)備管理(MDM)問題。
遠程辦公帶來的安全問題。
2、辦公網(wǎng)區(qū)
來自于互聯(lián)網(wǎng)區(qū)的威脅,辦公網(wǎng)區(qū)同時存在,同時:
重要文檔在流轉(zhuǎn)過程中的安全問題,如不具備某文檔閱讀權(quán)限的人有可能接觸、打開、復(fù)制、打印該文檔。
自帶設(shè)備(BYOD)帶入內(nèi)部網(wǎng)絡(luò),并自動攻擊內(nèi)部主機、服務(wù)器,并將重要資料復(fù)制到BYOD設(shè)備,在聯(lián)網(wǎng)時回傳到黑客指定地址。
同上,U盤、移動硬盤、光盤也有可能在外部感染木馬,并通過上述方式攻擊內(nèi)部計主機、服務(wù)器,然后"輪渡"到外部。
對服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無實時監(jiān)控手段。
主機、應(yīng)用系統(tǒng)登錄安全問題。
3、服務(wù)器區(qū)
來自于互聯(lián)網(wǎng)區(qū)、辦公網(wǎng)區(qū)的威脅,服務(wù)器區(qū)同時存在,同時:
管理員權(quán)限過大,可通過在交換機鏡像或ARP欺騙的方式捕獲內(nèi)部人員的帳號、口令。
管理員可直接在服務(wù)器上讀取OA、E-Mail等的敏感信息。
管理員可直接接觸到核心數(shù)據(jù)庫,容易產(chǎn)生誤操作,或惡意操作。
蠕蟲、病毒,往往會掃描服務(wù)器,進行"額外照顧"。
低權(quán)限管理員有可能利用此權(quán)限,"提權(quán)"后進行越權(quán)、高危操作。#p#
三、解決方案
1、管理手段
加強安全基礎(chǔ)知識培訓(xùn),如補丁、口令等知識。
完善管理制度,并確定可執(zhí)行的策略。
2、技術(shù)手段(產(chǎn)品部署與安全策略)
2.1 互聯(lián)網(wǎng)區(qū)
由于本區(qū)域聯(lián)通互聯(lián)網(wǎng),不存儲任何敏感信息,因此最重要的是保證網(wǎng)絡(luò)的連通性,以確保網(wǎng)絡(luò)聯(lián)通為主,部署如下:
下一代防火墻:部署在互聯(lián)網(wǎng)出口和核心交換機之間,開啟安全防護模塊,用以抵御黑客攻擊、實現(xiàn)網(wǎng)絡(luò)病毒過濾、反垃圾郵件、反釣魚郵件,同時進行上網(wǎng)行為管理,對惡意、非法網(wǎng)站進行URL過濾,同時開啟網(wǎng)絡(luò)流量控制,保證業(yè)務(wù)流量。對遠程辦公用戶,采取VPN撥入方式保證數(shù)據(jù)傳輸安全。
終端安全管理系統(tǒng):文件操作審計、打印管理、光驅(qū)刻錄管理、IP地址管理、非法接入控制、非法外聯(lián)管理、移動存儲介質(zhì)管理、資產(chǎn)管理、軟硬件安裝管理、文檔加密、ARP防護。
網(wǎng)絡(luò)防病毒軟件:制定統(tǒng)一的防病毒策略,實現(xiàn)整網(wǎng)病毒防范。
日志綜合審計管理系統(tǒng):Windows/Linux服務(wù)器日志收集與分析;路由器、交換機、下一代防火墻日志收集與分析;數(shù)據(jù)庫操作日志收集與分析。同時旁路部署該設(shè)備,以實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫審計的功能。
補丁管理系統(tǒng):建議采用微軟WSUS,進行補丁管理。
漏洞掃描系統(tǒng):對網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、Windows、Linux等的定期漏洞掃描。
CA服務(wù)器:配合USB-KEY,實現(xiàn)開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。
WEB應(yīng)用防火墻:對SQL注入、XSS跨站攻擊等進行防范。
主機入侵防護PC版:實現(xiàn)主機層面的入侵防御。
2.2 辦公網(wǎng)區(qū)與服務(wù)器區(qū)
重要敏感信息全部存儲在本區(qū)域,因此防護級別較高,部署如下:
下一代防火墻:部署在互聯(lián)網(wǎng)出口和核心交換機之間,開啟安全防護模塊,用以抵御黑客攻擊、實現(xiàn)網(wǎng)絡(luò)病毒過濾、反垃圾郵件、反釣魚郵件,同時進行上網(wǎng)行為管理,對惡意、非法網(wǎng)站進行URL過濾,同時開啟網(wǎng)絡(luò)流量控制,保證業(yè)務(wù)流量。對遠程辦公用戶,采取VPN撥入方式保證數(shù)據(jù)傳輸安全。
終端安全管理系統(tǒng):文件操作審計、打印管理、光驅(qū)刻錄管理、IP地址管理、非法接入控制、非法外聯(lián)管理、移動存儲介質(zhì)管理、資產(chǎn)管理、軟硬件安裝管理、文檔加密、ARP防護。
網(wǎng)絡(luò)防病毒軟件:制定統(tǒng)一的防病毒策略,實現(xiàn)整網(wǎng)病毒防范。
日志綜合審計管理系統(tǒng):Windows/Linux服務(wù)器日志收集與分析;路由器、交換機、下一代防火墻日志收集與分析;數(shù)據(jù)庫操作日志收集與分析。同時旁路部署該設(shè)備,以實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫審計的功能。
運維安全審計與管理系統(tǒng):telnet、SSH、Windows遠程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等應(yīng)用協(xié)議的認證、授權(quán)、審計、賬號管理。以錄像形式存儲內(nèi)部管理員、第三方運維人員的各種操作。
網(wǎng)絡(luò)運維監(jiān)控系統(tǒng):支持對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫等的流量、運行狀態(tài)監(jiān)控
補丁管理系統(tǒng):建議采用微軟WSUS,進行補丁管理。
漏洞掃描系統(tǒng):對網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、Windows、Linux等的定期漏洞掃描。
CA服務(wù)器:配合USB-KEY,實現(xiàn)開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。
主機加固系統(tǒng):對Windows、Linux服務(wù)器進行加固。
網(wǎng)絡(luò)入侵檢測系統(tǒng):采用旁路抓包方式,對整網(wǎng)流量進行監(jiān)控,對內(nèi)網(wǎng)的蠕蟲、木馬、攻擊行為進行有效監(jiān)控。
主機入侵防護PC版:實現(xiàn)主機層面的入侵防御。
主機入侵防護服務(wù)器版:對服務(wù)器進行入侵防護。#p#
四、產(chǎn)品清單
1、互聯(lián)網(wǎng)區(qū)
2、辦公網(wǎng)區(qū)與服務(wù)器區(qū)
五、方案特色
采用整合型產(chǎn)品,在保證性能的同時,減少故障點。
對主機、網(wǎng)絡(luò)、應(yīng)用層的APT進行全方位防護。
在保證安全的前提下提供便捷措施,如VPN,同時提供MDM。
BYOD防護(終端安全管理、HIPS等)。
移動存儲介質(zhì)、打印、刻錄管控。
日志綜合管理可對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備運維日志進行統(tǒng)一管理。
運維審計可對網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫等進行統(tǒng)一運維管理。
