技术干货 | 企业信息安全建设实践之路(七)

  • A+
所属分类:云安全

免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!

作者简介

80后信息安全从业人员,目前是某公司安全【掌门人】,负责信息安全管理和建设工作。本系列是其对安全建设工作的实践总结。

技术干货 | 企业信息安全建设实践之路(七)

二、基础安全工作,你的细节决定成败

2.4  主机安全落地之路

2020年的头号威胁是啥?我相信大家都能异口同声的回答——勒索软件

从2020年上半年全球十大典型勒索软件开始聊起。

1、勒索软件Maze;2、勒索软件Ryuk;3、勒索软件Sodinokibi/ REvil;4、勒索软件DoppelPaymer;5、勒索软件NetWalker;6、勒索软件CLOP;7、勒索软件EKANS;8、勒索软件Nefilim;9、勒索软件Ragnar Locker;10、勒索软件PonyFinal。

技术干货 | 企业信息安全建设实践之路(七)

所以今天我们从几个维度来聊聊主机安全这些事!

2.4.1. 主机杀毒软件

杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。

杀毒软件通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能,有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和恶意软件的查杀程序,入侵预防系统等)的重要组成部分。

杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。“杀毒软件”由国内的老一辈反病毒软件厂商起的名字,后来由于和世界反病毒业接轨统称为“反病毒软件”、“安全防护软件”或“安全软件”。集成防火墙的“互联网安全套装”、“全功能安全套装”等用于消除电脑病毒、特洛伊木马和恶意软件的一类软件,都属于杀毒软件范畴。

技术干货 | 企业信息安全建设实践之路(七)

物理机:乖乖的在系统之上安装Agent并定期升级,不管你的服务器是Windows、还是 Linux的!然后一定要定期检查,并及时对发现的病毒威胁进行确认。当然这是最基础的了。

虚拟机:建议采购轻代理,甚至无代理类型的杀毒软件,传统Agent及占用CPU及内存,而且在跑数据库和业务的时候,拿流量,简直了!!笔者当时放火墙上见到了上T数据流。

轻代理:在每一台VM主机上安装一个轻量化的代理Agent。轻代理的任务是有控制中心进行统一下发,客户端程序完成病毒扫描任务后,将任务执行状态、发现病毒文件详情日志发送给控制中心。

技术干货 | 企业信息安全建设实践之路(七)

无代理:无需安装Agent,防护功能由单独1台安全虚机(或虚拟化系统上的一个进程)实现。

技术干货 | 企业信息安全建设实践之路(七)

裸金属:一定要买云杀毒服务。


注:笔者在此推荐几个在线杀毒扫描网站,在选购杀毒软件的时候绝对有帮助。

1、http://www.virscan.org/(VirSCAN.org 是一个非盈利性的免费为广大网友服务的网站,它通过多种不同厂家提供的最新版本的病毒检测引擎对您上传的可疑文件进行在线扫描,并可以立刻将检测结果显示出来,从而提供给您可疑程度的建议。)
2、https://www.virustotal.com/gui/(VirusTotal是一个免费的病毒,蠕虫,木马和各种恶意软件分析服务。可以针对可疑文件和网址进行快速检测。)
3、https://virusscan.jotti.org/(Jotti的恶意软件扫描程序是一项免费服务,让您同时使用几个反病毒程序进行扫描可疑文件。您可以在同一时间提交最多5的文件。每个文件有250MB的极限。请注意,没有任何的安全方案能提供100%的保障,即使是使用多个防病毒引擎。所有的被扫描的文件将与抗病毒公司共享以改进他们的产品和提高它们的检测精度。)
4、https://habo.qq.com/(支持多种文件格式,各种压缩包,Office文档;普通用户不超过30MB,高级用户不超过100MB。)
笔者在2019年采购新杀毒软件的时候,利用100个病毒样本,还是针对性的比较了一下。总之,杀毒软件还是要买对的才行。

2.4.2. 主机安全基线检查

安全基线:是借用“基线”的概念。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最低的安全要求。(很多企业对这个最低要求 熟视无睹)

安全基线的元素包括:1、服务和应用程序设置。2、操作系统组件的配置。3、权限和权利分配。4、管理规则。

目前常用的基线有很多,如:常用操作系统基线、数据库类基线、Web服务类应用基线等。大家可以参照工信部基线配置要求或CIS安全基线,进行配置和检查。

这里必须强调一下,所有基线配置表必须经过业务系统测试才能真正上线。笔者曾经使用半年时间来确认每一条策略对业务的影响,并最终达成最终目标。

怎样做好基线配置管理呢?简要思路如下:

1、建立基线配置管理规划

业务+开发+运维一起制定规划,必要时寻求高级管理层的支持。实施情况和实施效果跟绩效关联,明确基线的订制、实施、评审责任,有检查手段能够确认安全基线未能成功部署的原因,有奖惩措施会提高基线落实的效果。

2、定制基础操作系统镜像

基础镜像包括选择那个版本的操作系统、如何进行分区,如何最小化安装,如何部署必须的工具软件(如防病毒,HIDS等),统一做好的基础操作系统镜像分发给业务。

3、制定基线配置模板

基线配置模板可以包含运维和安全2个部分:运维部分如性能相关配置、稳定性相关配置、个性化配置。同一个应用(Tomcat、IIS、Apache等)可以做成一个统一的配置模板进行分发;安全部分可以参考2个来源:工信部基线配置要求(https://learn.cisecurity.org/benchmarks)的安全配置建议。

4、分发基线配置

分发基线配置最好和运维一起做,由运维支撑系统进行分发,可以加速效率。如果运维目前阶段还没有统一 的分发管理系统,可单个用配置脚本完成,这样效率就很低。

5、基线配置检查

购买主流的扫描器/HIDS,或者自己玩一些开源的工具(如,某大佬写的https://www.freebuf.com/sectool/225224.html),最好能自动化检查,笔者人工检查做了1年多,非常不建议。

6、基线配置修订

每年检查,按需升级。

2.4.3. HIDS

HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态。

由于HIDS动态地检查网络数据包这一特性,它可以检测到哪一个程序访问了什么资源以及确保文字处理器(Word-Processor)不会突然的、无缘无故的启动并修改系统密码数据库。同样的,不管是往内存、文件系统、日志文件还是其它地方存储信息,HIDS会一直监控系统状态,并且核对他们是否和预期相同。

HIDS运行依赖于这样一个原理:一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样,计算机管理员就可以察觉到一些系统的修改,HIDS亦能检测并报告出检测结果。

一般而言,HIDS使用一个它们所监视的目标系统以及文件系统(非必需)的数据库,HIDS也可以核对内存中未被非法修改的区域。对于每一个正被处理的目标文件来说,HIDS会记录下他们的属性(如权限、大小、修改时间等)然后,如果该文件有其文件内容的话,HIDS将会创建一个校验码(如SHA1,MD5或类似)。这个校验码信息将储存在一个安全的数据库中,即校验码数据库,以便将来的核对。

主机入侵检测关注的重点的是:GetShell的动作以及GetShell成功之后的恶意行为。

常见的可以getshell的web攻击

直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本(XSS)作为攻击的一部分,甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

webshell的检测

可以通过监控指定目录下的所有文件的创建、修改、重命名等操作。在GitHub上就有这么一个项目:webshell_特征(https://github.com/Neo23x0/signature-base/blob/e264d66a8ea3be93db8482ab3d639a2ed3e9c949/yara/thor-webshells.yar)、某大佬之前写过通过机器学习的方法去检测webshell:初探机器学习检测 PHP Webshell(https://paper.seebug.org/526/)、webshell入侵检测(https://www.freebuf.com/articles/web/183520.html)

HIDS作为传统攻防视角的重要一环,有着不可替代的作用,可以有效的检测到从网络层面难以发现的安全问题。

HIDS架构

目前大部分的HIDS平台建设主要分三大部分:终端Agent监控组件,Dashboard控制面板和与SIEM、运维数据等其他平台对接的接口集合:

1、终端Agent组件:主要作用包括:监控文件变更、监控服务器状态、下发一些操作指令等;

2、DashBoard:用来执行一些策略推送、资源管理方面的操作;

3、MQ && Servers:用来做负载均衡并吞吐数据到数据库;

4、Database:数据库;

5、SIEM APIs:用来将HIDS的数据和SIEM做整合。

技术干货 | 企业信息安全建设实践之路(七)

终端Agent通过对业务IT资产文件的监控可以发现一些潜在威胁的文件或者是被人中的webshell后门,也可以记录和发现文件改动。同时终端Agent肩负着把日志摆渡到数据库的工作,方便运维人员对日志进行检索,进行终端日志的统一化收集管理。

开源HIDS:OSSEC、Osquery、AgentSmith-HIDS

2.4.4. EDR

无文件病毒、无文件挖矿、无文件勒索……近年来,一种被称为无文件攻击的渗透形式与日俱增,它的流行给用户的网络安全带来了巨大威胁。因此在端点防护战,EDR (Endpoint Detection & Response )已占C位。

顾名思义,EDR技术聚焦的是高级威胁的检测与响应,它填补了传统防病毒产品在高级威胁检测及响应方面的技术空白。从本质上来看,EDR技术通过对操作系统行为高清记录和长期存储,根据行为规则IOA和外部特征库IOC来对漏洞攻击和无文件攻击等高级威胁进行关联分级及检测,通过绘制进程事件树实现攻击可视化,对威胁的疑似主机进行远程遏制和修复。

Gartner对于EDR治理高级威胁给出了四项基本定义:检测、遏制、调查和修复能力。

技术干货 | 企业信息安全建设实践之路(七)

Gartner定义的EDR四个基本功能

EDR需要具备针对操作系统行为的“内核态”、“用户态”高清记录能力,且行为日志需要储存3 个月以上。其次,EDR还需要实现攻击的可视化,并对无文件攻击和零日漏洞攻击提供IOA/IOC 检测高级威胁,以及提供威胁狩猎(Threat Hunting )服务。

下图可以说明EPP和EDR的关系。

技术干货 | 企业信息安全建设实践之路(七)

笔者认为终端安全EPP+EDR一个都不能少。

2.4.5 最后的建议

终端安全是保护业务的核心工作,一旦被打穿,后果就严重了。

1、强化端点防护

  及时加固终端、服务器,所有服务器、终端应强行实施复杂口令策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。

技术干货 | 企业信息安全建设实践之路(七)

2、关闭不需要的端口和服务

  严格控制端口管理,尽量关闭不必要的文件共享权限以及关闭不必要的端口。

3、采用多因素认证(MFA)

利用被盗的员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的,或者是从过去的入侵活动中获取的。为了减少攻击的可能性,务必在所有技术解决方案中采用多因素身份验证。

4、全面强化资产细粒度访问

增强资产可见性,细化资产访问控制。员工、合作伙伴和客户均遵循身份和访问管理为中心。合理划分安全域,采取必要的微隔离。落实好最小权限原则。

5、深入掌控威胁态势

持续加强威胁监测和检测能力,依托资产可见能力、威胁情报共享和态势感知能力,形成有效的威胁早发现、早隔离、早处置的机制。

6、制定业务连续性计划

强化业务数据备份,对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性;建立安全灾备预案。同时,做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。业务连续性和灾难恢复(BCDR)解决方案应成为在发生攻击时维持运营的策略的一部分。

7、加强安全意识培训和教育

员工安全意识淡漠,是一个重要问题。必须经常提供网络安全培训,以确保员工可以发现并避免潜在的网络钓鱼电子邮件,这是勒索软件的主要入口之一。将该培训与网络钓鱼演练结合使用,以掌握员工的脆弱点。确定最脆弱的员工,并为他们提供更多的支持或安全措施,以降低风险。

8、定期检查

每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核。通过这些措施不断改善安全计划。及时了解风险,主动防御勒索软件攻击并减轻其影响。

欢迎大家和我一起讨论实际实施中的各类安全细节。

未完待续技术干货 | 企业信息安全建设实践之路(七)

技术干货 | 企业信息安全建设实践之路(六)

技术干货 | 企业信息安全建设实践之路(五)

技术干货 | 企业信息安全建设实践之路(四)

技术干货 | 企业信息安全建设实践之路(三)

技术干货 | 企业信息安全建设实践之路(二)

技术干货 | 企业信息安全建设实践之路(一)


本文始发于微信公众号(安世加):技术干货 | 企业信息安全建设实践之路(七)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: