HVV期间的VPN安全策略；如何管理远程桌面软件甲方群话题讨论

最新推荐文章于 2024-07-26 09:18:45 发布

程序员小杨耶

最新推荐文章于 2024-07-26 09:18:45 发布

阅读量1.1k

点赞数 16

文章标签：网络 web安全网络安全运维学习计算机网络

本文链接：https://blog.csdn.net/wananxuexihu/article/details/139920741

版权

▎各位晚上好，2024 甲方群话题讨论来了！甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1. 攻防演练期间，VPN 很容易成为突破口，应该如何防范？

2. 管理员在外网能不能远程访问服务器和单位自己的PC，应该采用什么样的方式远程？

3. 针对远程桌面软件如向日葵、Todesk等，大家是如何管理的？

4. 针对分支机构或VPN接入的办公终端，经常发现存在挖矿流量告警，这种需不需要处置？

话题

话题：攻防演练期间，VPN 很容易成为突破口，应该如何防范？

A1：

可以把禁止通过VPN进去内网写到禁止项里面。

A2：

关注VPN本身是否有漏洞，及时修复，严重情况要停掉。

A3：

1. 清理一波僵尸帐号；
2. 多因素验证；
3. 能禁用的禁用；
4. 夜间停服务。

A4：

VPN本身的密码加强，禁止弱口令，进行一轮强制密码整改。VPN的使用，禁止非工作时间段连接VPN。VPN的升级，更换VPN为零信任，增加2FA验证。

A5：

双因素都不一定有效了其实，第一次绑定双因素你总得用邮箱告诉他怎么操作，攻击队拿到这封邮件反手自己绑定了，都是血与泪。

A6：

双因素只能解决用户层面的风险，不能解决设备本身系统、底层的风险。

A7：

从风险本质上来说，VPN跟零信任没有任何区别。

A8：

那还是多套了一层的，多一层相对还是更安全一点。

A9：

VPN最怕的是本身有漏洞，这种情况即使用户安全意识再好，都直接被搞了。似乎可以用一些所谓的零信任，对外部人员端口隐身。

A10：

1 .让厂家修复VPN设备漏洞；
2. 考虑使用多因素认证；
3. 增加VPN监控的阻断设备；
4. 取消特权管理员用户；
5. 临时改为零信任取代VPN。

A11：

如果考虑极端，对方使用0 Day，单一从VPN角度也没得防了。这个其实还是整体安全能力的对抗，比如在IT设施的各个层都有能力（纵深防御框架），多层安全能力的预警结合类似业务系统侧日志分析（UEBA等）进行威胁捕获。

A12：

让我想起某些厂商一堆防火墙的图，套几层，能降低风险，但是用户体验比较差。

A13：

规划好VPN所在的区域（如办公区、运维区），按人员角色分配其接入的VPN。

A14：

如果只是一般的安全措施，那么大家说的比较全面，无外乎MFA、账号整改、删除多余账号、弱口令整改等，但其实核心问题在于VPN本身存在漏洞，做再多整改VPN的工作都于事无补，所以还是要在VPN前面加ACL访问控制，FW指向公司办公出口等，这样能让专门扫描VPN 0Day的红队找不到，必要时也可以隔离VPN下线。

Q：管理员在外网能不能远程访问服务器和单位自己的PC，应该采用什么样的方式远程？

A15：

基本都是VPN或者零信任到堡垒机，然后去服务器。

A16：

杜绝，但是可以面对突发情况，可以走特殊形式访问，需要层层审批管控。

A17：

HVV期间原则上远程都关了的，特殊情况用VPN+堡垒机。

A18：

我记得之前有个在VPN之前套WAF的，这个路子好使的话，可以前面套几层WAF，什么Cloudflare 、Akamai都套上。

A19：

我们就是VPN的内网流量单独镜像给了NDR，没有搞太多控制。我好像在哪里见到过，VPN后面是硬件墙，VPN开放规则以后硬件墙也要开放IP规则。

A20：

我觉得传统VPN和传统网络的问题就是权限粒度不够细化。如果能做到千人千权，每个用户只能访问自己有权限访问的地址，并且有审计，其实还好。就算某个User的VPN被打穿了，进了内网也是寸步难行。而不是不设防的无人之境。

A21：

你这还不如套几层WAF，管理成本太高了。

A22：

权限粒度不够大多不是设备本身的问题，而是管理成本的问题。我知道的设备好像都是支持到端口级的粒度，但是这么多用户，业务资产IP这些时不时调整变动，人员岗位也会调整变动。

A23：

端口级别其实还不够细致。主要是现在大多数网络设备不支持云上的安全组。

Q：针对远程桌面软件如向日葵、Todesk等，大家是如何管理的？

A24：

不鼓励使用，也不强制禁止，毕竟算是个灾备方案。

A25：

我这边是默认禁，有流程申请的人会单独开。

A26：

严禁向日葵，漏洞太多，Todesk严格限制，紧急情况下管理员远程VPN进来开白名单临时放行。

A27：

服务器上是严禁向日葵、Todesk这类远程软件的，必须VPN+堡垒机，碰到晚上紧急联调这种情况允许临时开终端。

A28：

定期扫描，发现有没有这些服务端口，然后定位处理。

A29：

除了话题说的这几个常用工具还有最常用的Xshell ，其实核心问题不在于运维工具本身，运维工具可以通过本公司的运维库申请下载，主要是在用运维工具之前，要给运维的服务器做身份的认证，只有认证通过了才可以用运维工具运维主机。

A30：

1. 建立流程及权限审核，强制必须增加开通有效时间（且最长限制如一个月或一个季度（或者规定类型厂商远程协助一天，临时远程一天等），强制流程闭环审计）；
2. 终端软件管理默认禁止（且指定安全版本或者企业版本可强管控），按审核流程开通，绑定mac地址等；
3. 建立好权限回收机制及闭环流程。

Q：针对分支机构或VPN接入的办公终端，经常发现存在挖矿流量告警，这种需不需要处置？

A31：

需要，还要控制一下访问对象（资源门户）的权限，最好是能精确控权。

A32：

需要，因为有相当大的概率是RCE漏洞或者弱口令进去的，即使说病毒没有产生后续损失或者对性能啥的影响不大，这个进去的路径可能被其他人利用。

A33：

肯定要处理的，不然可能从分支传攻击流量过来，然后也涉及了分支机构的安全管理问题，这超出了VPN安全这个命题了。

A34：

宁可错杀不能放过一个，之前确实有人电脑一直发现有挖矿流量告警，排查了以后是迅雷触发的。

A35：

这种会被监管机构通报的，属于立查立改。

A36：

这种肯定是需要的，一般通过钓鱼让终端/移动PC中毒说明本机已经不受控了，而且能中挖矿说明本身就是一个不好的信号了，说明攻击者只要愿意好可以套取用户的VPN和业务系统的账号密码。一般来说只要病毒修改下网卡，就可以伪装钓鱼网站重新定向，然后套取用户密码。

本周话题总结

本期话题讨论了VPN及远程访问安全相关话题。对于攻防演练期间的VPN安全，大家普遍认为可根据情况适当禁止VPN使用，并加强VPN自身漏洞的排查；对于管理员在外网能否远程访问服务器和单位自己的PC，除了套上WAF，也需要重视审批和管控，特殊情况可通过VPN+堡垒机；针对远程桌面软件的管理，认为最好默认禁止，特殊情况需审核流程单独开通；对于分支机构或VPN接入的办公终端经常发现的挖矿流量告警，讨论一致认为需要对其进行处理，最好能够精确控权。

近期群内答疑解惑

Q：大家对核心数据、重要数据这块是怎么去理解的，一般公司内部会自己去归类自己属于这二类数据的范畴吗？如果公司归类的话，是依据相关文件吗，主要涉及哪些文件？还是监管下发的通知去填报？还有就是有什么办法去规避公司归到核心数据、重要数据的范畴？

A1：

这个都是监管制定的目录，监管确认你有你就有，和关键信息基础设施一样吧。

A2：

核心和重要数据识别的条件最下面有一条：经有关部门和行业主管部门评估确定。

A3：

主要由工信部制定重要数据核心数据识别、防护标准，制定行业重要数据、核心数据具体目录，参考《数据安全管理办法》第七条。

Q：制定漏洞修复流程的时候，上报环节应该是识别漏洞后、修复方案制定前。还是在漏洞修复后啊？

A1：

当然前置，漏洞都对应风险等级，风险等级对应流程。

A2：

修复方案制定后吧，我最近也在搞这个，但是制定漏洞修复方案要和业务沟通。

A3：

修复方案制定前，你直接修了，业务挂了、蓝屏了、影响用户使用了等都是问题，发现漏洞，制定修复方案然后领导着急其他部门业务部门一起开会，哪些要修复哪些不修复，哪些可以用其他手段抑制，哪些留到下一个版本上线在修复，很多事都要考虑的，你要直接修了，离走人也不远了。

A4：

这个上报指的是上报的工信部。

A5：

上报工信部前，你们自己要对齐再上报。