办公网安全建设

背景
广泛的讲安全，大致分为 网络安全 主机安全 应用安全
在互联网，网络安全基本指的就是办公网的整体安全建设，IDC机房因为现在使用的都是云，所以基本不用操心这类安全。主机安全一般HIDS来做。应用安全从项目立项到上线之后的监控和SRC整套流程涉及的细节都非常的多，幸运的是我基本都做过，现在有幸参与公司的办公网安全建设。现在总结一下办公网安全建设,每一个场景都是亲身经历。
其次，办公网流量分析受到TLS加密的限制，现在能分析的内容已经很少来，其次流量还原肯定会存在流量丢失的情况
威胁
办公网会遇到的威胁都有那些呢？
1.主流的威胁一般有木马,挖矿，僵尸网络，我把这类算作一类，因为这类威胁都是员工点击来某些东西或者下载了某些东西导致自己的电脑被黑，进一步导致的内网沦陷，服务器资源被过度的消耗
解决方案：部署商业杀毒，防火墙，蜜罐，威胁感知类产品
2.公司办公网小型IDC机房开放服务导致的沦陷，445 3389等端口对公网开放，一般都是运维部署了一些服务导致
解决方案 流量采集，汇总安全资产，设备开放的端口，在纯外网使用mscan + nmap的方案无法发现被防火墙禁用的端口和禁止进行TCP的端口，而流量层面确可以有快速和准确的实现方案
3.员工安全，也可以归类到数据安全里，包括员工泄露公司机密数据，员工访问/导出大量线上数据，离职拷贝资料，github/网盘泄露
解决方案 DLP
4.账号安全，员工办公电脑的账号安全，web系统的账号安全都算，之前做过一个账号安全的项目，参考我的另一篇文章
解决方案 SSO统一单点登陆，同时在SSO内集成对CSRF类漏洞的防护机制，后端再加上账号风控，账号风控不需要单独的做，集成到现有的风控系统就好
5.域控安全，很多公司都有域控设备管理公司的办公设备，而域本身的管理也是公司的重中之重
解决方案 域内攻击，基本都是由于高权限运维用户，乱登服务器，被黑客mimikatz抓到密码，或者hash,从而导致整个域的沦陷，所以防范第一步就是限制运维用域管到处乱登服务器，域管权限做角色划分，登陆IDC的，登陆办公网就是异常，可以基于登陆行为日志，做检测，端上还是要交给EDR，windows没有杀软，很容易沦陷
6.内网邮件安全，钓鱼邮件防不胜防，技术上很难解决根本问题
解决方案钓鱼防护有些难，一般邮箱账号二次认证加固只是加固邮箱自身的安全，其次还有邮件网关类产品可以有一定的效果，很多时候还是需要做员工安全意识培训和钓鱼演练，钓鱼演练很多时候员工还是比较反感，需要上层的支持才能做。google为了避免被钓鱼攻击，将原来的TOTP更换成了U2F(通用双因子身份认证)，使用USB或者或者NFC设备执行进一步的验证(成本高很多,企业大量采购人手一个看公司的投入吧)，之前去百度开会看到他们的OTP硬件设备人手带一个，现在主流的OTP用的都是google开源的，商业的有宁盾。防钓鱼的产品有Trend邮件网关，还有那种加沙箱的
7.办公网第三方设备安全，包括投影仪，一键投屏，打印机，进去办公区打卡设备安全
解决方案 之前有个安全事件就是一键投屏设备每隔几分钟就截图一次上传到国外去，通过流量分析被深信服的上网行为管理的用户行为审计出来。可以算是严重的安全事件了。第三方设备还包括办公区机房公司采购的很多第三方设备，这些设备很多都没有做安全，我们也需要对这些设备都做好防范，随着手机clone NFC功能的增加，办公区刷卡用手机也能刷，容易出现离职人员再次返回办公区的情况。
8.办公网无线安全 无线安全是办公网安全建设的重中之重，网络的划分更加的重要
解决方案访客网络，办公网络，测试环境，开发环境，线上环境。很多公司再这些之外还有很多，访客网络和所有网络都是不通的，只能上外网，访客认证现在主流的方案是员工给扫描二维码，这些产品在我们购买的准入上面一般都有提供。办公网络的认证需要结合准入，LDAP 有些公司会再加上OTP动态认证。开发环境和线上环境通过网段划分，需要权限时提交工单，默认是没有所有权限的。做到权限最小化

综上，可以介绍一下我们使用的商业产品和我们的做法。
杀毒：bitdefender 比特梵德
DLP：Forcepoint
防火墙：PA(paloAlto)
蜜罐：长亭
准入：宁盾
OTP：宁盾
情报：天眼
流量分析：ntopng
主机扫描：nessus
流量采集：科来
开源产品：ossec,openrasp
基于上述产品我们的整合：

ps:目前做过的就是这些，后续再做了别的再添加