一、辦公網安全

在大多數互聯網公司，安全建設的主要精力都投入在業務網安全上，辦公網往往成為短板。為避免教科書式的理論說教，本文以攻防的角度，以中型互聯網公司為例，討論下辦公網安全建設。這里的辦公網是狹義的辦公網，僅包括員工辦公的網絡區域，支撐辦公的erp、郵件等系統不包含在內。

辦公網滲透思路

辦公網通常是黑客入侵的一大突破口，究其原因我認為主要為：

• 辦公網安全投入相對業務網不足，入侵成本較低
• 辦公網的主體是人，人有七情六欲，上網行為千奇百怪，攻擊面大于業務網
• 業務網往往信賴辦公網，可以成為戰略迂回進攻業務網的絕好跳板
• 研發、運營等重要資料往往高度集中在辦公終端，數據價值甚至超過業務網

滲透辦公網的思路很多，以下是一個舉例：

滲透辦公網的思路舉例：

從入口的角度講，惡意鏈接、文件是常見手段。

從黑客行為講，主要分為：

• 水平橫向滲透
• 縱向提權

從黑客目的角度講，主要分為：

• 以辦公網為跳板攻擊業務網
• 竊取HR、財務、高管等手中的重要資料

網絡安全

下圖為常見的辦公網拓撲結構 

辦公網拓撲舉例：

• 防火墻

防火墻作為抵御攻擊的第一道防護，責任重大，但是他又肩負著NAT上網的重要職責，性能和穩定性又要求很高。我認為從純安全角度講，選擇防火墻時需要考慮下列幾個功能：

• 惡意網站過濾
• 惡意文件過濾

2016年gartner企業網絡防火墻魔力象限

• IPS/IDS

IPS/IDS在這里有個非常重要的作用就是識別使用Nday的軟件尤其是瀏覽器、辦公網套件漏洞攻擊員工的行為。有很多廠商宣稱自己的IPS/IDS可以識別0day，我個人認為目前比較成熟的0day識別技術主要依賴沙箱和機器學習，真要識別0day還是需要專業的APT設備來做。

2017年gartner入侵檢測與防御魔力象限

• 郵件安全網關

這個話題內容太多，可以單獨寫一篇，本文先省略。

• APT設備

APT設備通過分析郵件、流量中的文件和流量行為識別APT行為，我知道國外fireeye、趨勢、pa、mcafee等都做這塊在。

• 安全隔離

安全隔離的主要目的有兩個：

1.按需提供網絡訪問權限，避免權限濫用

2.減小黑客在辦公網橫向滲透以及縱向提權的攻擊面，提高攻擊成本

出于這兩個目的，所以安全隔離通常和準入或者vlan劃分結合在一起，不同的地方主要在于準入可以根據用戶身份動態調整網絡權限，vlan劃分相對不夠靈活。 

網絡權限隔離

上圖是一個簡單的分類，其中有幾類同學需要重點關注：

• 運維&DBA，系統權限特別大，縱向提權的最佳目標，有種開玩笑的說法，黑掉一個運維的電腦，把所有文本文件翻個遍，找不到一個密碼才是見鬼了。應當盡量限制其他人群對他們的訪問。
• 重要業務系統的管理員，這些同學負責對公司核心業務進行運營管理，對重要后臺系統具有很高的權限，一旦他們電腦被入侵，后果會很嚴重。比如游戲公司充值系統的后臺、廣告公司的客戶廣告投放管理系統、招聘公司的后臺簡歷管理系統、電商的訂單物流管理系統，出點事都是大事。應當盡量限制其他人群對他們的訪問，同時嚴格限制他們的外網訪問權限。
• 高管、HR、財務，這些同學對辦公系統的訪問需求比較單一，主要網絡訪問需求在外網，通常不懂技術，安全防護意識也最弱，也最得罪不起。他們的辦公電腦集中大量公司重要數據，一旦被入侵就直接產生損失了。這部分同學可以嚴格限制跟辦公網其他區域以及對內部系統的訪問。

無線安全 

無線情況就特別復雜了，這里討論比較常見的情況。不少公司的無線依靠靜態密碼保護，認證通過后即可以訪問辦公網絡。這里有兩個甲方常見誤區：

• 我無線只覆蓋公司內部，黑客咋搜到?

黑客如果真打算黑你，真可以到你公司附近，現在的AP發射能力都很強，黑客如果使用專用設備，接受信號能力也很強。

• 我無線密碼好復雜，黑客不可能暴力破解

本本上裝個kali，買個好點的usb網卡，wpa/wpa2密碼破解只是時間問題。另外現在不少wifi助手有記住密碼功能，內部員工一旦誤點了記住免費wifi，其他人使用wifi助手連接這個wifi就會自動認證，破解都不用了。所以無線網絡最好可以限制僅能訪問外網，并且加上類似準入的二次認證機制，也可以使用域密碼或者證書認證，降低靜態密碼被泄露和破解的風險。

終端安全

終端安全是辦公網安全的重點，涉及面非常廣，核心訴求至少包括一下方面：

• 提高終端安全基線，減小攻擊面
• 基礎防病毒能力，具備抵御常見Nday病毒木馬的能力，提高攻擊成本
• 基礎的終端系統、應用軟件資產搜集以及管理能力，針對常見的Nday系統、應用軟件漏洞具有發現、修復的能力，提高攻擊成本

為了達到以上要求，需要借助一定的商業解決方案。

• 終端安全加固

終端安全加固的目的是提高安全基線，減小攻擊面，事半功倍的方法是讓PC終端統一加入window域，通過域控策略統一管理終端的安全策略，介紹域策略的文章很多，這里只提下幾個比較重要的點：

• 開啟屏保以及鎖屏時間
• 域賬戶密碼復雜度，密碼更換時間
• 禁用guest賬戶
• 開啟主機防火墻
• 禁止administror賬戶遠程登錄(員工自己域賬戶是本地管理員，可以正常登錄，很多公司喜歡用ghost預裝電腦，administror賬戶的密碼絕對是個大坑)
• 禁止域管理員遠程登錄(一定要把域控和一般PC放在不同組策略下，不然這個策略害死人)
• 刪除IPC$ C$ D$ admin$(木馬經常利用)
• 開啟審計策略，記錄登錄、賬戶相關事件
• 調整事件日志的大小及覆蓋策略
• 關機清理虛擬內存頁面文件
• 終端防病毒

終端防病毒肩負著具備抵御常見Nday病毒木馬的能力，提高攻擊成本的重任，不過傳統解決方案基本就是純粹的黑名單和基于病毒特征，似乎這一領域也是紅海中的紅海。可喜的是最近兩年終端安全又被各大安全廠商重視起來，因為越來越多的有針對性的攻擊行為被揭露，跳板都是辦公終端，大家對這塊越來越重視;另外新的檢測技術以及解決思路落地實現，安全廠商提出了EDR的概念，即終端檢測與響應。基本思路是默認攻擊者始終會滲漏公司網絡，讓安全人員利用IoC和終端行為來快速檢測任何入侵，減小攻擊者造成的損害。

2016年gartner防病毒軟件魔力象限

• 終端管理

終端管理主要解決兩個安全問題：

1.系統、應用軟件版本的管理

2.系統、應用軟件漏洞的自動化修復

微軟的WSUS以及SCCM雖然只能搞定微軟系軟件以及flash的問題，但是已經可以解決大部分問題了，針對類似java、chrome這類常用第三方軟件的升級，就需要專業的終端管理解決方案了。 

2015gartner終端管理

• 準入系統

準入系統可以基于員工身份做到靈活的網絡權限限制，保障主機安全基線的強制執行。這部分可以參考我以前的文章《企業安全建設之自建準入系統》。

數據安全

數據安全是個非常復雜的話題，有興趣可以參考下我之前的文章《企業安全建設之淺談數據防泄露》。

系統安全

辦公網的系統安全，出了加固手段，還需要通過漏洞掃描器定期自動化發現。我理解這里的掃描器至少需要解決幾方面問題：

• 各種弱密碼
• 系統級漏洞，比如ms08-067、MS12-020
• 第三方軟件漏洞，比如Cisco WAG120N多個遠程命令執行漏洞

其他

• 蜜罐

部署一定數量的蜜罐，可以起到事半功倍的效果，最簡單的就是用類似honeyd之類開源的偽裝成window終端即可。

• siem

辦公網數據量基本不大而且商業產品居多，使用ossim就可以很好解決數據搜集、展現、自定義報警、關聯分析的功能了。

建設步驟

通過以上努力，我們基本建設起了辦公網的縱深防御系統，整個辦公網具有了一定的安全防護以及感知能力。公司的預算總是有限，人力也是捉襟見肘，從無到有建設這么個安全防護體系不是一年半載的事，需要拍優先級，下面是一個建議：

第一步，安全邊界建設，風險初步可控，比如IPS、NGFW

第二步，細化終端安全建設，進一步提高防護能力

第三步，提高安全感知能力，錦上添花

每個公司安全現狀不一樣，業務情況也不一樣，具體實施步驟和策略需要因地制宜。安全意識教育也是非常重要的一個環節，尤其針對社工，技術防護手段效果一般。

二、數據防泄露

數據防泄露在每個公司都是很頭疼的事情，大大小小的泄露事件也總是不期而至。本文結合我的經驗從使用的層面介紹常見的數據防泄露技術手段。

核心數據資產的定義

數據防泄露是一個非常復雜的工程，投入再多人力也不為過，但是互聯網公司的安全人力大多非常有限，所以打蛇打七寸，我們需要先定義清楚什么是核心數據資產。通常理解會包含以下幾大類： 

以上只是舉例，具體各個公司情況都不太一樣，需要結合自身實際。比如招聘類公司，簡歷就是十分重要的資產。

數據保護的生命周期

數據防泄露需要針對定義的核心數據的全生命周期進行保護。

數據防泄露的協議棧為：

這并非一個嚴格的劃分，只是便于把不同的數據防泄露產品和方案進行劃分。

設備級

0x01設備加密

設備防丟失，主要是預防設備丟失后造成的數據泄露，最常見的就是U盤等移動存儲，京東上一搜一大片。

密碼保護的：

指紋保護的：

雖然保護方式不一樣，但是底層數據加密基本都是AES128或者256，可以提高設備丟失后數據泄漏的門檻，對于高手來說還是可以搞定的。

對于硬盤，也有一些解決方案。

硬盤密碼：可以在bios里面設置硬盤密碼，這樣每次開機都需要輸入硬盤密碼。

0x02硬盤加密

如果冠希老師看到這段估計會怪我寫晚了……mac自帶的硬盤加密：

硬盤加密技術非常成熟了，商用產品非常多。不得不提的還有truecrypt，據說國內安全傳統四強之一就要求員工用這個。

truecrypt同時支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統。TrueCrypt不需要生成任何文件即可在硬盤上建立虛擬磁盤，大家可以按照盤符進行訪問，所有虛擬磁盤上的文件都被自動加密，需要通過密碼來進行訪問。TrueCrypt 提供多種加密算法，包括：AES-256, Blowfish (448-bit key), CAST5, Serpent, Triple DES, and Twofish，其他特性還有支持FAT32和NTFS分區、隱藏卷標、熱鍵啟動等，最關鍵它免費。前段時間相傳軟件有安全隱患，網站被關停，也有說是因為作者拒絕配合某國政府調查而被迫關停，不過這都不會掩飾這是一款優秀的免費加密軟件。

0x03移動設備數據擦除

微軟郵件系統自帶一個十分強悍的功能，對于配置接受公司exchange郵件的移動終端，可以通過登錄OWA頁面直接遠程擦除整個設備的內容并完全恢復出廠配置。

文件級

0x01文件加密

文件加密目前國內的產品就非常強悍了，一搜一大把，我這里介紹一款微軟提供的免費文件加密產品RMS。RMS跟微軟的AD集成，可以針對郵件組進行授權讀寫打印權限控制，坦率講針對微軟的文件類型支持挺不錯，比如word，excel，ppt等，而且還有mac版。不過對于非微軟的文件類型就比較遺憾了，不過滿足正常辦公需要基本夠用。最強悍的是與郵件系統的集成，可以在發郵件的時候直接設置哪些郵件組的人才能看(收件人和可以加密看郵件的人很可能是子集關系)。

0x02端點級DLP

本質上是網絡級DLP的端點級實現，支持攔截功能。

網絡級

0x01網絡DLP

狹義的數據防泄漏產品就是指網絡DLP，這是一個經久不衰的安全領域，16年的gartner排名如下：

• 網絡級DLP的未來趨勢是與云訪問安全代理 (CASB) 功能集成，將敏感數據的發現范圍進一步擴大到云應用程序。
• 擴展了 DLP 覆蓋范圍到云應用程序中的內容，包括 Office 365、Box、Dropbox、Google Apps 或 Salesforce。

利用全部的 CASB 功能，持續監控云應用程序中內容的增加、修改和訪問權限。

應用級

應用級DLP主要是指郵件DLP，本質上是掃描郵件的內容和附件，與設定的數據安全策略匹配，這里就不展開了。

總結

數據防泄漏是個非常復雜的系統工程，任何技術手段都不能確保不被繞過，必要的技術手段可以提高門檻，最后的落地強依賴于公司相關數據安全管理策略的執行，常說的七分管理三分技術在這里非常合適。