▎各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 236 期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
2. 管理员在外网能不能远程访问服务器和单位自己的PC,应该采用什么样的方式远程?
3. 针对远程桌面软件如向日葵、Todesk等,大家是如何管理的?
4. 针对分支机构或VPN接入的办公终端,经常发现存在挖矿流量告警,这种需不需要处置?
话题
话题:攻防演练期间,VPN 很容易成为突破口,应该如何防范?
可以把禁止通过VPN进去内网写到禁止项里面。
关注VPN本身是否有漏洞,及时修复,严重情况要停掉。
1. 清理一波僵尸帐号;
2. 多因素验证;
3. 能禁用的禁用;
4. 夜间停服务。
VPN本身的密码加强,禁止弱口令,进行一轮强制密码整改。VPN的使用,禁止非工作时间段连接VPN。VPN的升级,更换VPN为零信任,增加2FA验证。
双因素都不一定有效了其实,第一次绑定双因素你总得用邮箱告诉他怎么操作,攻击队拿到这封邮件反手自己绑定了,都是血与泪。
双因素只能解决用户层面的风险,不能解决设备本身系统、底层的风险。
从风险本质上来说,VPN跟零信任没有任何区别。
那还是多套了一层的,多一层相对还是更安全一点。
VPN最怕的是本身有漏洞,这种情况即使用户安全意识再好,都直接被搞了。似乎可以用一些所谓的零信任,对外部人员端口隐身。
1 .让厂家修复VPN设备漏洞;
2. 考虑使用多因素认证;
3. 增加VPN监控的阻断设备;
4. 取消特权管理员用户;
5. 临时改为零信任取代VPN。
如果考虑极端,对方使用0 Day,单一从VPN角度也没得防了。这个其实还是整体安全能力的对抗,比如在IT设施的各个层都有能力(纵深防御框架),多层安全能力的预警结合类似业务系统侧日志分析(UEBA等)进行威胁捕获。
让我想起某些厂商一堆防火墙的图,套几层,能降低风险,但是用户体验比较差。
规划好VPN所在的区域(如办公区、运维区),按人员角色分配其接入的VPN。
如果只是一般的安全措施,那么大家说的比较全面,无外乎MFA、账号整改、删除多余账号、弱口令整改 等,但其实核心问题在于VPN本身存在漏洞,做再多整改VPN的工作都于事无补,所以还是要在VPN前面加ACL访问控制,FW指向公司办公出口等,这样能让专门扫描VPN 0Day的红队找不到 ,必要时也可以隔离VPN下线。
Q:管理员在外网能不能远程访问服务器和单位自己的PC,应该采用什么样的方式远程?
基本都是VPN或者零信任到堡垒机,然后去服务器。
杜绝,但是可以面对突发情况,可以走特殊形式访问,需要层层审批管控。
HVV期间原则上远程都关了的,特殊情况用VPN+堡垒机。
我记得之前有个在VPN之前套WAF的,这个路子好使的话,可以前面套几层WAF,什么Cloudflare 、Akamai都套上。
我们就是VPN的内网流量单独镜像给了NDR,没有搞太多控制。我好像在哪里见到过,VPN后面是硬件墙,VPN开放规则以后硬件墙也要开放IP规则。
我觉得传统VPN和传统网络的问题就是权限粒度不够细化。如果能做到千人千权,每个用户只能访问自己有权限访问的地址,并且有审计,其实还好。就算某个User的VPN被打穿了,进了内网也是寸步难行。而不是不设防的无人之境。
你这还不如套几层WAF,管理成本太高了。
权限粒度不够大多不是设备本身的问题,而是管理成本的问题。我知道的设备好像都是支持到端口级的粒度,但是这么多用户,业务资产IP这些时不时调整变动,人员岗位也会调整变动。
端口级别其实还不够细致。主要是现在大多数网络设备不支持云上的安全组。
Q:针对远程桌面软件如向日葵、Todesk等,大家是如何管理的?
不鼓励使用,也不强制禁止,毕竟算是个灾备方案。
我这边是默认禁,有流程申请的人会单独开。
严禁向日葵,漏洞太多,Todesk严格限制,紧急情况下管理员远程VPN进来开白名单临时放行。
服务器上是严禁向日葵、Todesk这类远程软件的,必须VPN+堡垒机,碰到晚上紧急联调这种情况允许临时开终端。
定期扫描,发现有没有这些服务端口,然后定位处理。
除了话题说的这几个常用工具还有最常用的Xshell ,其实核心问题不在于运维工具本身,运维工具可以通过本公司的运维库申请下载,主要是在用运维工具之前 ,要给运维的服务器做身份的认证,只有认证通过了才可以用运维工具运维主机。
1. 建立流程及权限审核,强制必须增加开通有效时间(且最长限制如一个月或一个季度(或者规定类型厂商远程协助一天,临时远程一天等),强制流程闭环审计);
2. 终端软件管理默认禁止(且指定安全版本或者企业版本可强管控),按审核流程开通,绑定mac地址等;
3. 建立好权限回收机制及闭环流程。
Q:针对分支机构或VPN接入的办公终端,经常发现存在挖矿流量告警,这种需不需要处置?
需要,还要控制一下访问对象(资源门户)的权限,最好是能精确控权。
需要,因为有相当大的概率是RCE漏洞或者弱口令进去的,即使说病毒没有产生后续损失或者对性能啥的影响不大,这个进去的路径可能被其他人利用。
肯定要处理的,不然可能从分支传攻击流量过来,然后也涉及了分支机构的安全管理问题,这超出了VPN安全这个命题了。
宁可错杀不能放过一个,之前确实有人电脑一直发现有挖矿流量告警,排查了以后是迅雷触发的。
这种会被监管机构通报的,属于立查立改。
这种肯定是需要的,一般通过钓鱼让终端/移动PC中毒说明本机已经不受控了,而且能中挖矿说明本身就是一个不好的信号了,说明攻击者只要愿意好可以套取用户的VPN和业务系统的账号密码。一般来说只要病毒修改下网卡,就可以伪装钓鱼网站重新定向,然后套取用户密码。
Q:大家对核心数据、重要数据这块是怎么去理解的,一般公司内部会自己去归类自己属于这二类数据的范畴吗?如果公司归类的话,是依据相关文件吗,主要涉及哪些文件?还是监管下发的通知去填报?还有就是有什么办法去规避公司归到核心数据、重要数据的范畴?
A1: 这个都是监管制定的目录,监管确认你有你就有,和关键信息基础设施一样吧。 A2: 核心和重要数据识别的条件最下面有一条:经有关部门和行业主管部门评估确定。 A3: 主要由工信部制定重要数据核心数据识别、防护标准,制定行业重要数据、核心数据具体目录,参考《数据安全管理办法》第七条。
Q:制定漏洞修复流程的时候,上报环节应该是识别漏洞后、修复方案制定前。还是在漏洞修复后啊?
A1: 当然前置,漏洞都对应风险等级,风险等级对应流程。 A2: 修复方案制定后吧,我最近也在搞这个,但是制定漏洞修复方案要和业务沟通。 A3: 修复方案制定前,你直接修了,业务挂了、蓝屏了、影响用户使用了等都是问题,发现漏洞,制定修复方案 然后领导着急其他部门业务部门一起开会,哪些要修复哪些不修复 ,哪些可以用其他手段抑制,哪些留到下一个版本上线在修复,很多事都要考虑的,你要直接修了,离走人也不远了。 A4: 这个上报指的是上报的工信部。 A5: 上报工信部前,你们自己要对齐再上报。
Q:有400T数据通过2台服务器之间万兆网卡直连方式拷贝到本地服务器,有什么方式检测恶意文件、木马病毒吗?其中有一台服务器有EDR,但是实时扫描能扛得住这么大数据量吗?
A1: 开扫描。EDR除了数据慢点,其他的没啥问题。 A2: 单独这台机设置定时扫描,每隔多久阈值重复扫描。处理改成记录,先不要自动处理。
原文始发于微信公众号(FreeBuf):HVV期间的VPN安全策略;如何管理远程桌面软件 | FB甲方群话题讨论
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论