上图是本人对所从事的网络安全工作的概要总结,也算是笔者入行几年的一个心得。做网络安全,本质上还是要减少乃至避免安全事件的发生,以保障系统业务正常运作,避免或者减少客户利益的损失。
(一)“事前安全”
“事”前安全,算是网络安全领域中给人最直观感受的方面,也是笔者大学课堂中学习知识的核心所在,通俗来说就是“排除安全隐患”。给操作系统升级打补丁以及安装防病毒软件都属于“事”前安全的范畴。另外,在业务系统中,“事”前安全当然也包含下述方面:
- 漏洞发掘,通过测试或者代码审计等手段发现系统可能存在的安全问题,避免被攻击者所使用。
- 授权与认证,主要用于明确“谁/可以做什么”的问题,确保相关发生在业务系统中的操作合法,并且有迹可寻。
- 边界防护,如防火墙/WAF、IPS/IDS以及VPN等网络边界的安全防护设施,本质上就像在房子周边修了一圈围墙,外加上几个摄像头监控围墙周边情况。当然,这一切都是建立在边界防护设备“安全”的基础上。
- 容灾建设。这里的容灾,除了数据以及服务外,个人还需强调关键系统设置独立的日志服务器,便于出现问题时及时排查原因。
当然,上述几点主要针对的是系统层面的安全防控,这也是传统安全领域的关注点。此外,由于业务系统中“人”是无法避免的,而“人”的问题很有可能就成为了“事”前安全中的薄弱环节,基于此而引发的社会工程学问题也是“事”前安全需要予以考虑的。针对社工问题,除了给予充分的安全知识培训,日常中也需要经常打打“抗体”,比如模拟攻击者对关注对象实施社会工程学测试(如模拟钓鱼),以帮助关注对象提高社工攻击的防御意识。
此外,近来较为热门的威胁情报概念,虽然笔者多于“事”后安全中用到相关工具,“事”前安全里也需要予以同样重视。毕竟大部分的威胁情报来自于专业网络安全机构或者“事”后安全总结,对“事”前安全可是有着事半功倍的指导功效。
(二)“事”后安全
“事”后安全,通俗点说可以理解为应急响应,目的是在安全事件发生后尽可能将事件造成的损失降到最低,同时找出事件源头以及与事件相关的电子证据,修复事件造成的损害,这也是笔者目前接触最多的网络安全相关工作。由于“事”前安全暂不能面面俱到,攻击者尤其是APT攻击者往往只需一个点位就能有所突破,造成网络安全事件。目前,笔者主要接触过下述几类事件源:
- 0day/nday漏洞。常见于使用了开源组件的业务系统中,亦有个例针对闭源系统,这类问题往往迅速导致安全事件的产生,效果一针见血。若攻击者属于APT级别,则往往会在事件发生后相当长的一段时间里难以被发现。此外,诸如Shadow Broker放出的“方程式”组织针对防火墙使用的相关0day,更是让上述“事”前安全中的边界防护直接变为摆设。
- 鱼叉邮件/短信。目前,笔者所处理的安全事件中大部分来源于鱼叉邮件,有用于群发抓鸡型的(如勒索软件),当然也有精准针对型的。鱼叉邮件/短信实际上是一种社工的利用,这也是在“事”前安全中我强调要关注社工攻击的原因。
- 弱口令。此类问题多见于各种黑产的网络“抓鸡”中,多为网管人员安全意识淡薄所致,不幸中枪的系统大部分沦为了黑产手中的子弹。
对于已经发生的安全事件,首先要做的就是隔离现场,毕竟减轻损失才是首要任务。其次,要如同对待犯罪现场一般,决不能简单暴力的对问题设备断电或者重启了事,内存取证或者磁盘取证必不可少。若有独立的日志服务器,则此时可以同步进行日志审计,用于查找出安全事件的源头。
此外,对攻击者的溯源,往往也是事件响应的另一个重要部分,毕竟作为受害者,自己只是被批量“肉”了,还是有组织有预谋,理解这些点对日后安全决策亦很重要。溯源的基础,主要来自取证环节得到的数据,包括可能存在的网络数据(如C&C域名或者IP)和恶意软件程序。在对已有数据充分分析的基础上,充分利用互联网数据(如VirusTotal)或者私有威胁情报数据,调研攻击源头,对攻击背景进行研判。
(三)“事”前与“事”后关系
显然,“事”前“事”后安全体系是相辅相成的,这也是笔者在安全圈子“打杂”多时的心得体会。就说“事”前安全里边提到的漏洞发掘,可为“事”后安全中的事件来源分析提供技术储备,而笔者接触到的多起与鱼叉邮件/短信相关的安全事件处理中,认为“事”前安全需要加强社工方面的防御意识。“事”前与“事”后两者的关系,绝对不是孤立存在的。
7799
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
