运营商互联网业务暴露面安全

对于一个士兵 来说,最大的梦想就是能上战场真刀实枪的干上一战,同样对于一名安全人员来说,自己设计、建设的经过层层防护的系统,如果没有经历过一次攻击,不免有点索 然无味。在众多的甲方当中,运营商互联网业务暴露面每周都会受到来自集团的考核,考核一般通过远程渗透的方式进行,发现漏洞后,通报扣分,省公司会采取很 多措施保证不会被发现漏洞,在运营商驻场的我们,每天都能感受到最直观的网络攻击防守之战。

本文主要介绍运营商信息技术部对互联网暴露面安全防护的具体思路,从不同的维度来介绍应对互联网攻击的防护措施:

一、两张基本表的管理

1.1 资产表管理

运营商业务系统有着系统数量多、开发部门复杂等特点,很多开发团队都是外包实施,局方一个人可能要对接很多外包团队,外包团队添加系统、修改内容等没有按照流程向局方汇报,导致资产信息比较混乱,维护资产表是所有安全工作的基础。

l 规范资产变更流程

资产变更流程是从根源解决资产混乱的途径,安全部可以记录业务部门资产变更情况,维护资产表,动态实时更新。

l 建立资产管理平台

在甲方的安全人员都有一个共识,一项流程如果通过制度推进,会比较麻烦,有些特别复杂及不好监控、考核的工作,通过制度很难推进。如果流程通过线上 平台控制,不仅可以减少运营跟进的人工成本,还能使推进工作更加顺畅。资产变更工作,安全部与业务部门对接较多,开发团队有时候一周要对一个系统进行多次 修改,通过建立资产发现平台与需求申请平台、开发管理平台等对接,可以最大限度的减少沟通成本,提升推进效率。

l 互联网资产发现

除了上述类似“白盒”的措施之外,还需要在互联网进行“黑盒”资产发现工作,通过搜索引擎、威胁情报库域名反查等方式,发现不在资产列表中的资产, 即管理员不通过资产变更流程,添加的资产。通过端口扫描的方式,确定目前暴露面目前开放的端口,排查管理员是否有不通过资产变更流程,自己开端口的情况。

1.2 漏洞表的管理

安全部门发现的安全漏洞,提交开发修复,记录复核情况,对漏洞的生命周期跟进,维护漏洞跟踪表。安全检测时,为了防止有疏漏,建立漏洞清单checklist,记录检测项。

Clipboard Image.png

二、互联网暴露面整合

互联网暴露面包括开放的网站、系统、应用、APP接口等,减少暴露面就减少了被攻击被检查的范围,具体措施包括:

1) 测试使用的应用,迁移到内网,不在互联网暴露。

2) 对访问量较少的应用,建议关闭,访问量数据可以从waf、防火墙等设备上获取。

3) 有些网站启用了https后,http网站可以继续访问,建议关闭http网站的访问。

4) 业务系统有关联或者相似的,通过一个URL访问主站,其他业务系统通过二级目录访问。

三、系统生命周期的安全检测、防护、处置

1.1 开发态

l 安全编码规范

安全部门提供安全编码规范,开发团队在开发过程中需要上按照编码规范要求。在开发阶段减少安全隐患。规范需要涵盖账号与认证、输入与输出验证、授权 管理、数据保护、会话管理、加密管理、日志管理、异常管理等方面,从业务逻辑建议、代码编写建议、管理规范建议等方面提出安全需求。

l 安全编码培训

定期对开发部门进行安全编码培训,讲解常见应用漏洞产生原理,提升开发人员安全编码意识和安全开发水平。

l 代码审计

系统上线前需要进行代码审计,检测源代码安全隐患。

1.2 测试态

l 规范上线流程

新上线系统、修改后的系统上线前,需要经过安全部门检测,对发现高危漏洞的系统,修复后复测,保证没有安全隐患后才允许上线。

1.3 运行态

l 日常安全检测

对正在运行的线上系统,每日由渗透测试团队进行安全检测,包括web漏洞扫描和人工渗透测试等措施,漏洞扫描使用多款扫描器交叉扫描,人工渗透根据 制定的漏洞清单checklist检测,根据检测结果,建立知识库,统计出一般扫描器能检测哪些漏洞,哪些漏洞扫描器不好发现,如逻辑漏洞、越权漏洞等, 只能通过人工渗透方式检测,保证检测的广度和深度,提高检测效率。

l 安全众测

针对重要暴露面资产,可以采用众测的方式,引入互联网白帽子进行安全众测。

l 基于区域和时间的访问控制防护

源地址访问地域控制:分为全国、全省、全市三级纬度进行来源地址进行限制,如某些应用只允许该省IP访问。

业务访问时间控制:分为全天,白天,晚上进行限制。

接口类访问点对点控制:对源和目的地址的ip+port采用点对点的白名单防护策略,如某些应用只需要从其中一个IP取数据,只放行该IP流量。

l 平台检测

对部署在省公司的监测系统告警日志,验证、处置,及时发现安全事件和安全漏洞。

Clipboard Image.png

经过上述措施,暴露面被检测出来漏洞的几率会减少很多,对于运营商这类系统数量庞大的用户单位,防护不仅需要的是安全技术,还要从流程、体系等方面,多维度的建立防护体系,增强暴露面的安全性。

PS:本文是小编在运营商甲方驻场期间,整理的运营商领导良总的保障方案,文笔拙劣、对暴露面安全理解有限,很多领导的深层思路没有表现出来,见谅!

*本文原创作者:雨水,属于FreeBuf原创奖励计划,未经许可禁止转载

雨水 4 篇文章 等级: 3

|

|

这些评论亮了

  • 士兵 回复

    谁tm说我最大的梦想就是能上战场的 :mad:

    )8( 亮了

发表评论

已有 7 条评论

  • OFSkey  (1级)  2018-07-17 回复 1楼

     

    学习

    亮了(0)

  • 天马小蚯蚓  (1级)  2018-07-17 回复 2楼

     

    兄弟,你在运营商被虐了多少次,才能写出这么好的文章。膜拜大佬~~

    亮了(2)

  • 士兵  2018-07-17 回复 3楼

     

    谁tm说我最大的梦想就是能上战场的 :mad:

    亮了(8)

  • 后海大鲨鱼  2018-07-17 回复 4楼

     

    哈哈哈,我可能岗位和你一样,兄dei

    亮了(0)

  • 互联网的帽子戏法  (2级)  2018-07-17 回复 5楼

     

    华为 中兴 爱立信 阿卡特 诺西 ibm cisco tibco vodafone HP 等等 主要看这些大厂的升级和安全加固,然后给到各个客户更新升级;他们的解决方案里面的一系列机构你们自己升级不了的;得靠他们做安全加固,这样整体才安全。

    亮了(0)

  • 互联网的帽子戏法  (2级)  2018-07-17 回复 6楼

     

    他们的解决方案里面的一系列架构,打错了。

    当然边缘系统 和 增值业务这些,上上waf 偶尔看看日志 就好了。

    亮了(0)

  • 互联网的帽子戏法  (2级)  2018-07-17 回复 7楼

     

    核心网元的安全检测,各种日志 登陆 进程 命令操作记录 ftp sftp rsync 等等审计。不能少,只能多。
    核心网元的MML SOAP 等 远程管理端口需要做好策略,仅允许信任机器访问。

    信令防火墙得到位: GSM MAP, Diameter , 查看异常信令, 追踪查看非法漫游信令阻断,看看哪里的stp 或者 能发包的 (over ip or UE ->TDM ) m3ua m2ua TUP ISUP等异常 市 / 省 /国际漫游信令的;找到异常点进行阻断下线。

    Diameter 会是未来的主战场,需要各路大神来搞攻防。

    HLR/HSS 查看操作日志; 合理配置允许拜访网络的区域; k2 k4 ki op 妥善处理,拒绝监守自盗,和权限混淆。

    核心网里面的: 网管区域 和 命令操作区域 , 杜绝弱口令,包括操作系统 软件 数据库 snmp 等等; 老的xp win2003 sunos aix unix 进行补丁升级或者是换新的操作系统, 装上监控节点或者防护软件。

    亮了(0)

阅读更多

互联网运营商的冲击与运营商互联网救赎

06-23

这个文章本来希望讨论云计算,但思前想后,发现仅讨论云计算无法讨论清楚的,因为云计算这个概念源于互联网,发展于互联网,壮大于互联网。云计算与互联网的紧密结合,意味着云计算已经不是一个独立的概念和话题,必须在互联网这个大环境下展开分析和讨论。rnrn从狭义上讲,很少有人觉得电信运营商是互联网公司,很多人也不喜欢把电信运营商归属于互联网领域,而仅仅将电信运营商定位成管道和通信服务提供商的角色。但实际上,电信运营商与互联网又存在着极其紧密的关系,甚至是相互依赖发展的。至少“互联网”的“联”字和“网”字,一半是属于电信运营商的。那为什么人们不愿意将电信运营商归属到互联网行业呢。笔者猜想,原因可能有两个:一个是互联网公司如百度,谷歌,阿里,腾讯等与人们密切接触,互联网公司在人们心中的存在感(或者存在时间)要远强于电信运营商。人们往往在找不到wifi的时候或者手机没信号或者欠费停机的时候才会想起这位幕后的大英雄。另外一个,就是互联网公司与电信运营商在业务经营模式上(或者叫商业模式上)给人们的印象也有极大的不同。这和微软公司类似,微软公司早在互联网诞生之初就开始涉猎互联网业务,比如推出门户,即时通信,乃至后来的云计算服务。但人们依旧很少把微软说成互联网公司。很多人都觉得微软顶多算个风流于上世纪与IBM,Oracle,Intel为伍的传统IT企业。和微软几乎同岁的老苹果公司被说成互联网企业,倒是少有人有意见。rnrn简单的讲,互联网不仅带来的是一系列的技术,还带来的是一种特有的商业基因。两者兼备才能被人们认为是互联网企业。互联网给世界带来的技术是“云计算”和“大数据”技术,互联网所特有的商业基因是“颠覆”(对传统的颠覆)。微软虽然拥有了互联网技术,但没有互联网基因,所以不能被认为是互联网企业。不要因此笑话微软,电信运营商比微软还惨,即没有互联网技术,也没有互联网基因(唯一拥有的是垄断的资源)。所以至今,电信运营商不能算是互联网企业。信息产业如此蓬勃的发展,核心贡献者并不是电信运营商,而是互联网公司,因为是互联网公司创造了内容,创造了用户需求,创造了市场,电信运营商顺势而为,通过垄断网络,获得收入增长而已。电信运营商拥有庞大的用户,但从互联网商业角度看,那些用户基本上并不属于运营商,而属于互联网公司。电信运营商业务收入能否持续增长,要看两个“人”的眼色,一个是互联网公司,一个是政府,前者创造需求,后者创造垄断。rnrn那么电信运营商该如何摆脱“寄人篱下”的生活方式呢?有人会反问:现在这种寄人篱下的生活挺好的,为什么要摆脱呢?这和当下流行的“啃老”是一个道理,“老人”迟早是要退休的,他们没了生活来源,将来还啃啥呢?老人没得啃,还可以啃互联网哦,互联网公司可和自己衣食父母是两回事,互联网公司更像租房的房客。父母可以不求回报的付出,把房子这个遗产留给你,房客可是整天斤斤计较你收的房租的,你如果不降,那他就想方设法降下去(比如像黑中介那样当二房东,做很多小隔断,搞蜂窝,放上下铺,找更便宜的房子,更恐怖的是有了小钱要自己建房子…)。比如2014年春节电信运营商短信收入大幅下滑,就是个例子。rnrn这里就是要提到的互联网对电信运营商的冲击。本来互联网快速发展,电信运营商是受益的,而且几乎是无风险受益。只要有流量,座等收钱。互联网对电信的冲击,有三个层面:rnrn第一个层面:切断运营商增值路径,截断电信运营商向上发展的通路,一直把电信运营商打压在地下,冒不出头来。其实电信运营商10多年来一直期望摆脱管道商的努力,希望将土财主的形象转变成高富帅。但钱没少花,似乎也没见到什么效果。这么讲可能很多人会不赞同,会说,如果没有xxx,我们的非管道业务早就腾飞了。很遗憾,我们只看现实,特别是现实业务中主营管道业务和其他新型业务的收入对比。不过电信运营商还是多少有点成绩的,比如创造了很多老百姓根本看不懂的却想给老百姓提供服务的名词,比如:OTT,IPTV,ISP,ASP…rnrn第二个层面:蚕食运营商主营业务收入,这个是非致命冲击,冲击手段是擦边球,比如基于互联网的语音业务、微信业务,特别是互联网视频业务,这一直是电信运营商10几年来一直的梦想,如今基本实现了,可惜不是由电信运营商实现的,而是互联网公司实现的。rnrn第三个层面:互联网公司自建网络的冲击,这是致命冲击,但目前还没有发生,这个冲击是要基于电信网络垄断的打破。发生的时间取决于电信运营商的衣食父母,但这应该是个大趋势。rnrn面对这些冲击,其实电信运营商的应对措施,可谓雷声大、雨点小(又会有很多人不赞同)。关键原因是,互联网对电信运营商的冲击,还不致命,甚至互联网的飞速发展给运营商带来的利润,还远高于被冲击导致的损失。不是入不敷出,而是入远大于出。所以电信运营商上下,口号虽然很响亮,但转型的动力严重不足。现在的电信运营商有如大清帝国,没有鸦片战争,老子(GDP)天下第一的心理是不会改变的。rnrn文章本该到此结束的,但还没谈正题“云计算”。那么我们不得不继续谈下去。怎么谈呢?下面分析必须要在一个假设基础之上,这个假设是:电信运营商深刻认识到自己的危机,或者有崇高的事业心,要自强、要发展和要转型。该怎么做呢?我们不妨称之为:“电信运营商的互联网救赎”。简单的讲,分几步:rnrn第一步,先将自己锅里的饭煮好。rnrn第二步,再夹点别人锅里的肉。rnrn第三步,同时用别人的锅,煮自己的饭。rnrn第四步,高筑墙,广积粮。rnrn互联网在走两个极端,一个极端是成本,以前是免费吸引用户,现在都开始在贴钱购买用户。为了支撑这种商业模式,互联网公司必须把其支撑的业务的平台成本降到更低,没有最低,只有不断的更低。第二个极端是对用户的极端的黏连,即互联网公司会想尽一切办法来吸引用户到自己的平台,这些办法包括但不限于:免费内容服务,提供有价格竞争力的产品和服务,提供充满诱惑的产品和服务,不断增强用户体验(充分利用大数据)。这两个极端手法,可以残酷的将竞争对手置于死地,而这些被干掉竞争对手往往也是互联网企业,对于非互联网企业,或企图进入互联网行业的传统企业,与互联网公司正面竞争的胜算很小。rnrn互联网公司在以上两个极端模式支撑和保护下,进行曲线盈利,将个人用户流量转换为企业用户向互联网公司的付款(如:谷歌、百度、新浪等公司的做法)。如果互联网公司提供的产品和服务诱惑力够强,也可以直接向个人用户收费,比如:游戏、社交、苹果手机、特斯拉汽车等。rnrn互联网的攻势不仅咄咄逼人,而且竞争也是血流成河,电信运营商进入互联网市场,面对的是从草根诞生,在血雨腥风中成长,靠实力而非靠父母生存的一群草莽英雄。那么电信运营商是否还要跟互联网公司一起趟这个混水呢?趟!得出这个结论,主要考虑是:rnrnl 电信运营商主营业务收入健康、丰厚,可以有效支撑其在互联网领域的努力,至少不会因为尝试互联网而整体翻船;rnrnl 互联网公司当前(未来可能会变化)亲个人用户,远企业用户的做法,为电信运营商开放了一个时间窗口来抢占企业用户市场;rnrnl 是一种“以攻为守”的反渗透策略,虽然胜算不大,但可以通过向互联网行业的进攻,学习、摸索互联网运营模式,通过借鉴互联网行业的优点,为改善电信运营商自身业务做出贡献;rnrnl 为未来不确定性变局,做好前期准备。对电信运营商而言,未来最大的不确定性就是主营业务的垄断是否会被彻底打破,从而进入残酷的自由竞争时代。如果这个情况真的发生,电信运营商想靠管道生存,可就艰难了,那时可能是个涵盖用户、内容、平台、管道、线下企业、乃至金融的垂直整合时代。当前开始互联网的经营,是未雨绸缪的早期准备。rnrn电信运营商全面进军互联网需要执行以下变革策略:rnrnl 从组织变革做起:对互联网部门进行权力与组织结构,文化乃至股权结构的互联网化调整,目标是从组织、激励、文化上,建立一支有活力、有动力、有能力的团队;rnrnl 重点发展面向企业、政府、公共事业的云计算与大数据市场,客户优先级:中、大、小型客户,建立点对点直销模式(小微型客户发展,但不是重点)。将增强企业用户黏性放在第一战略位置,将成本放在第二战略位置;rnrnl 借力企业BYOD向企业员工的个人用户拓展业务,通过企业黏性,发展个人黏性;rnrnl 用互联网的思维,重新思考、规划、经营电信运营商的固定、移动、宽带用户资源;rnrnl 个人用户才是电信运营商的终极客户,黏住足量个人用户源,而且取得盈利,才是电信运营商在互联网行业站稳脚跟的标志。rnrnl 电信运营商进入互联网,不是建设一个网站,搞一个聊天软件,发展一个云xx服务,不是跟随性发展互联网公司已经发展的业务,而是要建立互联网思维模式,先来改造自己,成功后,再改造其他行业,抢占下一个还未被其他互联网公司抢占的制高点。rnrnl 电信运营商对互联网商业模式也不是简单复制,互联网公司免费,电信运营商也免费那基本是不作死不会死的节奏。rnrn rnrn在进军云计算和大数据服务领域,电信运营商要特别注意的是,云计算和大数据并不是一个产品,也不是人云亦云的一个平台(IaaS, Paa,SaaS),更不是01码组成的数据和存储,而是企业生存和发展的一种手段。让企业客户生存环境更好了,业务发展更迅速了,企业用户才会付款给电信运营商。再说直白一点,电信运营商进入云计算和大数据领域,不是听一群学者、叫兽和供应商们讲技术,讲产品,讲海外运营商的成功经验(至今为止,互联网行业没有成功的电信运营商),不是测试、选型、搞集采。不是疯狂建设数据中心。而是先回答自己,你帮助哪家企业获得成功了吗?你让个人用户欲罢不能了吗?如果答案是否定的,那就需要通过实践先找到肯定答案再考虑下一步该做什么。rnrnby 张大震

没有更多推荐了,返回首页