企业网络安全浅析(2)
时间:2017-08-14 09:53 来源:网络整理 作者:墨客科技 点击:次
无线情况就特别复杂了,这里讨论比较常见的情况。不少公司的无线依靠静态密码保护,认证通过后即可以访问办公网络。这里有两个甲方常见误区: 我无线只覆盖公司内部,黑客咋搜到? 黑客如果真打算黑你,真可以到你公司附近,现在的AP发射能力都很强,黑客如果使用专用设备,接受信号能力也很强。 我无线密码好复杂,黑客不可能暴力破解 本本上装个kali,买个好点的usb网卡,wpa/wpa2密码破解只是时间问题。另外现在不少wifi助手有记住密码功能,内部员工一旦误点了记住免费wifi,其他人使用wifi助手连接这个wifi就会自动认证,破解都不用了。所以无线网络最好可以限制仅能访问外网,并且加上类似准入的二次认证机制,也可以使用域密码或者证书认证,降低静态密码被泄露和破解的风险。 终端安全 终端安全是办公网安全的重点,涉及面非常广,核心诉求至少包括一下方面: 提高终端安全基线,减小攻击面 基础防病毒能力,具备抵御常见Nday病毒木马的能力,提高攻击成本 基础的终端系统、应用软件资产搜集以及管理能力,针对常见的Nday系统、应用软件漏洞具有发现、修复的能力,提高攻击成本 为了达到以上要求,需要借助一定的商业解决方案。 终端安全加固 终端安全加固的目的是提高安全基线,减小攻击面,事半功倍的方法是让PC终端统一加入window域,通过域控策略统一管理终端的安全策略,介绍域策略的文章很多,这里只提下几个比较重要的点: 开启屏保以及锁屏时间 域账户密码复杂度,密码更换时间 禁用guest账户 开启主机防火墙 禁止administror账户远程登录(员工自己域账户是本地管理员,可以正常登录,很多公司喜欢用ghost预装电脑,administror账户的密码绝对是个大坑) 禁止域管理员远程登录(一定要把域控和一般PC放在不同组策略下,不然这个策略害死人) 删除IPC$ C$ D$ admin$(木马经常利用) 开启审计策略,记录登录、账户相关事件 调整事件日志的大小及覆盖策略 关机清理虚拟内存页面文件 终端防病毒 终端防病毒肩负着具备抵御常见Nday病毒木马的能力,提高攻击成本的重任,不过传统解决方案基本就是纯粹的黑名单和基于病毒特征,似乎这一领域也是红海中的红海。可喜的是最近两年终端安全又被各大安全厂商重视起来,因为越来越多的有针对性的攻击行为被揭露,跳板都是办公终端,大家对这块越来越重视;另外新的检测技术以及解决思路落地实现,安全厂商提出了EDR的概念,即终端检测与响应。基本思路是默认攻击者始终会渗漏公司网络,让安全人员利用IoC和终端行为来快速检测任何入侵,减小攻击者造成的损害。
2016年gartner防病毒软件魔力象限 终端管理 终端管理主要解决两个安全问题: 系统、应用软件版本的管理 系统、应用软件漏洞的自动化修复 微软的WSUS以及SCCM虽然只能搞定微软系软件以及flash的问题,但是已经可以解决大部分问题了,针对类似java、chrome这类常用第三方软件的升级,就需要专业的终端管理解决方案了。
2015gartner终端管理 准入系统 准入系统可以基于员工身份做到灵活的网络权限限制,保障主机安全基线的强制执行。这部分可以参考我以前的文章《企业安全建设之自建准入系统》。 数据安全 数据安全是个非常复杂的话题,有兴趣可以参考下我之前的文章《企业安全建设之浅谈数据防泄露》。 系统安全 办公网的系统安全,出了加固手段,还需要通过漏洞扫描器定期自动化发现。我理解这里的扫描器至少需要解决几方面问题: 各种弱密码 系统级漏洞,比如ms08-067、MS12-020 第三方软件漏洞,比如Cisco WAG120N多个远程命令执行漏洞 其他 蜜罐 部署一定数量的蜜罐,可以起到事半功倍的效果,最简单的就是用类似honeyd之类开源的伪装成window终端即可。 siem 办公网数据量基本不大而且商业产品居多,使用ossim就可以很好解决数据搜集、展现、自定义报警、关联分析的功能了。 建设步骤 (责任编辑:admin) |
