有幸拜读了李斌老师的《企业信息安全建设与运维指南》,书中详细介绍了基础安全建设、自动化系统建设、业务安全体系建设,受益匪浅。
结合李斌老师的书,做了随笔整理。
企业办公网安全体系建设,包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设。
1. 终端基础安全
之前的文章有介绍:企业安全建设之基础办公安全体系建设(终端基础安全)、企业安全建设之基础办公安全体系建设(防火墙、VPN和上网行为管理)
本篇介绍入侵检测与防御系统
2. 入侵检测与防御系统
防火墙和VPN解决了网络互联基础安全问题,但还需要解决如下的内外部的安全入侵威胁风险。
· 来自互联网的病毒、木马攻击。
· 来自分支机构、网络互联边界的安全攻击。
· 入侵和恶意探测无法检测和溯源。
· 攻击无法被及时阻断。
《信息安全技术网络安全等级保护基本要求》中第三级安全要求中的“入侵防范”要求如下。
· 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。
· 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。
建议在网络边界部署入侵防御系统,阻断入侵和攻击行为;在办公内网部署入侵检测系统,全面检测网络流量中隐藏的内外部入侵行为。
2.1入侵防御系统简介
2.1.1 入侵防御系统简介
入侵防御系统简称IPS(Intrusion Prevebtion System),是部署在网络区域边界的、OSI第3~7层的网络安全攻击、恶意代码攻击进行主动防御的安全设备,如图1。
图1
IPS一般部署在网关处,也就是串联在链路中,对网络进出流量进行解析,并根据已开启的入侵防御策略或恶意代码防御策略进行逐条检测和匹配,如果命中规则,则根据规则的相应策略执行相应的动作。例如,一个网络病毒攻击被IPS检测到时,触发了丢弃规则,则这个恶意攻击就无法进入网络边界,从而达到防御效果。
在前文提到过,很多厂商将IPS功能集成到UTM或NGFW中,但也有不少是以独立设备部署的,这两种方式部署的IPS入侵防御功能和应用效果差别不大。
2.1.2 入侵防御系统评价指标
1)入侵防御能力。
IPS最重要的指标是对入侵的防御能力,因此在产品选型时需要重点测试其入侵防御能力。在实际测试中,可以使用cap包回放或发起真实的攻击进行入侵防御能力验证。
下图2为人工测试的真实案例,先将IPS接入互联网,配置入侵检测策略,只告警不阻断,验证每项入侵的检出率。
图2
如图3所示,通过回放cap包的方式检测IPS的防御能力,建议测试时将IPS置于旁路模式,监听网络中的流量,测试攻击包的检出率。要注意攻击包的覆盖范围必须足够广,要包括网络攻击、蠕虫、木马后门、间谍软件、网络病毒等各种类型。
图3
2)产品性能和功能
产品性能方面,与防火墙的测试方法类似,需要注意的是,测试时应开启IPS防护功能后再测试相关性能指标。
产品功能上,需要关注产品的Bypass功能,当入侵防护设备出现故障(如断电等)时,Bypass功能可以将设备的进出口直接连通(可以理解为变成一根直通的网线);另外也需要有一键取消入侵防御的功能,当入侵防御策略出现问题或产品性能出现瓶颈影响网络使用时,可以开启这一功能。
2.2 入侵检测系统简介
2.2.1 入侵检测系统简介
入侵检测系统(Intrusion Detection System,IDS),部署在网络内部,用于检测发生在内部网络的各种攻击行为。目前业界比较流行的态势感知,也是在入侵检测基础上延伸而来的。
如图4,系统部署一般是将内网的流量镜像,使用IDS检测引擎检测到攻击行为后,将入侵检测告警信息发送到管理中心。
图4
相比IPS,IDS出现得更早,两种设备有很多相同点,也有许多不同指出,如表所示。
2.2.1 入侵检测系统评级指标
1)入侵检测能力
入侵检测能力测试方法与IPS类似,需要将网络流量镜像后接入IDS进行测试。
IDS测试时要重点考虑误报率,在真实网络流量中运行一段时间,验证误报的占比。
2)产品性能和功能
· IDS引擎
IDS是旁路引擎,一般是在局域网的核心交换机上将内网流量镜像到指定端口,接入IDS引擎设备,所以需要重点考虑IDS引擎的处理能力,和防火墙介绍类型,IDS引擎处理大包、中包、小包的能力是有很大差别的,在实际网络中一般考虑混合包的处理能力,实际选型时尽量在真实环境中测试。
另外需要考虑IDS引擎的网口和规格,一般核心交换机镜像的流量较大,网口可能是千兆电口、千兆光口,甚至是万兆光口。
· IDS管理中心
IDS管理中心测试时需要考虑日志查询速度和报表功能的丰富性,如果IDS的数据库优化没有做好,当日志存储达到一定程度后,查询日志的速度可能会非常慢。随着大数据技术的广泛应用,这个问题也得到了解决。
此外需要测试管理中心的集中管理能力,企业内网环境负责,可能需要部署多套IDS,IDS需要能集中进行策略下发、日志统一管理和汇总,这也是测试的重要方面。
2.2.3
IDS日常运维管理
IDS的日常运维至关重要,很多企业购买IDS后,由于没有对入侵检测策略进行优化,导致告警泛滥,负责人刚开始还会登陆IDS管理中心查看,到后来就无人问津了。
IDS的日常运维需要对告警策略进行优化,重点关注如主机漏洞攻击和利用、暴力破解行为、内网弱口令、ARP攻击等,忽略低危和非必要告警;对告警策略进行验证,减少策略误报;持续优化入侵检测策略,使IDS做到精确告警。
IDS告警时负责人应注意找到真实的攻击源,在内网环境中,可能存在NAT的使用,真实的IP往往被隐藏,建议在部署时在网络的不同位置将流量都做镜像和检测,并做好告警关联。
本章主要介绍了--企业安全建设之基础办公安全体系建设(入侵检测与防御系统),下一章会写到邮件安全在基础办公安全体系中的建设方式。
【往期推荐】
【超详细 | Python】CS免杀-Shellcode Loader原理(python)
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现
【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞
【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现
【奇淫巧技】如何成为一个合格的“FOFA”工程师
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
一如既往的学习,一如既往的整理,一如即往的分享。
“如侵权请私聊公众号删文”
本文始发于微信公众号(渗透Xiao白帽):企业安全建设之基础办公安全体系建设(入侵检测与防御系统)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论