关于员工上网行为管理与防范恶意域名的策略探讨

admin 2024年7月8日10:37:28评论3 views字数 1280阅读4分16秒阅读模式
‍‍

‍‍

 

0x1本周话题

话题:各位大佬,不知道大家有没有为了防范员工被钓鱼,用上网行为管理控制互联网白名单的经历,我们启用后,为了避免员工意见太多,基本是允许了所有类型的上网,包括了企微、QQ等。理论上这样会避免终端外联到恶意域名上,但是不知道这样做还有什么大的漏洞被绕过么?

A1:没用,不能避免外联到恶意域名上。

Q:木马上线可能是通过CDN前置,你看到的域名解析可能是*.microsoft.com 这种它能成功上线么?

A2:我们准备启用白名单策略,首批白名单挑选上网行为系统记录访问量排名前xx的网站或IP,在此基础上再由各部门补充反馈,启用后后期增删改运营工作量可能会比较大。为了减少后期运营量,可以把访问网站需求大的特定岗位进行例外,对这些岗位不做限制,但需加强这些岗位的安全意识教育。

A3:按top N,很可能CDN前置就已经绕过了。

A4:DF看SNI呀。

A5:这种措施对使用域前置或云函数的钓鱼网站可能会失效。

A6:还不如按照岗位隔了网络呢,这策略一下,员工不得拿AK突突突了安全。

A7:对,这个还要综合各个单位的情况,我们人少,不到200人,具备这个条件。

A8:那看来要防好,还得压缩这个白名单,另外在外挂个安全DNS。

A9:之前给一个400人左右的公司做了一些,主要是用零信任接网,按照员工岗位分配不同的vlan,vlan之间有ACL和通用网关。这样防止中招以后的横向。然后DNS全公司就一个通用点,禁止出向53, 这样从dns日志里能摸到很多信息。出流量走对应Nat, 也容易看到马的流量。关于如何识别马这个事情,就看具体情形了。一定是抓大放小的, 安全有时候别把自己当上帝,容易被上帝制裁。

A10:对现阶段的银狐管用,对CDN域前置/DOH上线的攻击队没啥作用。

A11:根本是,“上网行为”就不是防攻击队的 攻击队做事不需要http协议,不需要建立TCP连接,并不受内容管控,icmp、dns、甚至是ssh私人ip都不受上网行为管控,这个“内容白名单”可以防已知的网站,除此之外是只防君子的虚假的安全感,一切的策略不能在上网行为上对抗。

A12:利用云EDR/主机安全/IT管理进行C2控制的,比如https://saas.360.cn/ 这种,白名单也管不好。

A13:即便使用了域名且进入了内容的领域,大家也谈了很多,回连网站也往往在“白名单”内。

A14:1.最初我在安信证券将上网黑名单改成白名单的时候,阻力也很大,主要就是运维觉得以后变更会很频繁,但改成白名单后,基本没有新增需求了。2.虽然还会有一些绕过的方法,但确实提高了基基础水位,作用还是很大的。

A15:如果对抗对象不是针对性攻击,那么安全DNS、有安全规则的上网行为都有用 但现在问这个问题,想必不是这个背景。你们那个单位,要影响用户体验,干脆就一步到位,调研下同业,推三网隔离 这样,先把屋顶掀了。然后回归平时,你再提供个白名单上网方案开窗户,也没人反对了,从来都是由俭入奢易,由松到严难。

0x2

原文始发于微信公众号(君哥的体历):关于员工上网行为管理与防范恶意域名的策略探讨| 总第253周

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日10:37:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于员工上网行为管理与防范恶意域名的策略探讨http://cn-sec.com/archives/2930065.html

发表评论

匿名网友 填写信息