话题1:与外联单位互联使用专线或者互联网,应用是tcp的,在防火墙配置访问控制到端口级,明细的源和目的,没有ids,ips等等安全设备。这样安全么?
A1:除非防火墙本身有漏洞,或者这个服务有漏洞,其他就不会有啥问题吧。一般防火墙漏洞还有tcp的应用漏洞都比较少吧。
A2:没有绝对的,必须要加IPS waf之类的吧。试过一次,一个参与者把专线的测试业务端口映射到互联网,结果有人扫描他们的端口,扫描流量直接到我们这了。
A3:没有web应用,没必要waf吧,可以加点安全设备感知一下。可以加个IPS。
Q:可能会出现专线单位做安全测试或者扫描扫过来的情况。看到这个,突然想到有没有可能自己做内网扫描,扫到监管那边去的?
A5:外联网很危险。专线和互联网我感觉某些情况差不多,与对方单位虽然是专线,但是他的网络设备都是接到互联网的,我和他之间是专线意义也不是太大。
A7:不可信的网络接进来尽量还是开IPS、IDS,但是开了的话防火墙性能是一个瓶颈,开启之后防火墙性能剩下1/10。
A8:做好访问控制。不要扫描到监管机构。配置好扫描地址。
A9:天天发生,天天封,天天跟业务打架。有的时候业务系统就是个代理,我们不知道,扫描流量全到监管去了。
A10:这个我还真遇到了,排查了一晚上最后发现是某个系统自动转发流量。跟代理一样,我们内网的半夜的全量扫描流量转发了一部分过去,就是前置机。
A11:我这也遇到,扫描银行前置机被封了。扫到监管非常非常麻烦,要解释报告一大堆。
那大家后面还做扫描吗?当时我还在想不可能其他地方告警都没有,流量就能去那边了。
扫,那个机器人做了白名单。不扫他。最关键的而且最有意思是,我们的对端,他们巡检也不是每天都看记录,是看到了才封。而且一眼就能看出来是啥流量,都不跟我们说一声,直接就封了。所以当时排查的时候就很郁闷,有时候就封有时候就不封。后面才知道那帮人是看到了才封。也不是自动封禁策略。
A12:我还以为是自动封禁的。看来对面有人,有问题能先给你打个招呼问问情况,不至于上来就封,一旦封了你让人家给你解封要写一堆材料。
A13:是的,不认识直接封了你,然后你想要了解点详情都不没办法知道,只能靠自己现有的数据来猜到底是怎么回事。
说到底还是资产没管理吧。有些银行的前置机会封,有些不会。
A14:也不是没管理,是厂商没有告知你,他的运作方式,咋会想这二货程序就是本地起了个对0.0.0.0监听的端口转发所有的流量到对端去。数据流也要梳理。甚至你最后到找到原因了,问他有没有转发这回事,他才说哦,我们这个程序是这样转发流量的。
A15:除非外联内网沦陷了,明细的源和目的就是等于白名单了,其他未在明细的公网目标扫描不到的,暴露面可以说小好多了。
Q:前置机怎么会转发到监管呢?应用里面配置了转发,还是扫描内部地址段,这个段做了nat,实际是监管的地址?
Q:怎么会转发到对端?通过业务的端口把扫描的流量转发过去了么?
A17:就一个nat地址。他那个程序本身就是一个流量转发程序。我还是刚来这边,网络拓扑还有这些程序都不太了解。
发现是直接扫前置机,前置机的端口直接对外监听了,他把收到的所有流量都一股脑吐给对端了。
A19:这样是不是有个安全问题,如果对方服务器沦陷了,监听业务端口,用这个方法可以扫描对方服务器环境,找到漏洞,是不是就有办法攻击对方了。防火墙白名单管理就相当于绕过了。
A20:这个服务在最核心的地方,是单向放通的,只能我们访问他们,他们访问不了我们的。
Q:这样你们的服务器如果沦陷了,他们是不是也很危险?
A21:这个地方在单独的分区里面,只有固定的几台机器才能访问,其他的都访问不了。做了几层纵深的。
A22:专线出口做个策略,deny漏扫出去的流量,可以规避一部分误伤。
A23:一般边界防火墙都会只开放业务ip和端口,通过业务端口转发出去配置deny没啥用吧。
A24:穿透式代理会有这个问题,所以要报文落地做格式校验,有些时候监管内部漏扫也会过来。
有外联业务的,做内网漏扫,把扫描流量发到人家那是大概率情况。我觉得这是做漏扫需要非常关注的,可能有很大风险,轻则被标记,重则被禁。
银行存管业务,放第三方那的好多都是前置机,流量直接转到银行端的公网接口。攻击流量不合规就会被过滤,这就是穿透式代理。
A26:不知道怎么算是穿透式,我觉得很可能是封装了个Nginx。
A27:根据监管通知上半年发生了多起类似事件,专门发文要求加强管控了。把前置机例外在漏洞扫描里最好。要看你防外部还是内部。除非你出向的Ips能把这些脏流量全部拦截掉。外部还得waf,内部的话要应用在dmz配置格式检验代码。内部内网漏扫,那就是针对外联系统自己做格式校验了。
A28:找你们应用,唬他们,你们应用没做检测导致攻击流量到监管了,你要负责。这个事件的风险,我是从我们作为主动发起方来看的,因为业务被禁,或者你的出口ip被污染,被情报类设备标记,就很麻烦,如果对端有xx01系列设备,情报类设备,就说你的ip是黑ip。
A29:对有可能的,所以应用不能摆烂做纯端口代理。受扫描方其实又无所谓的,风险不在那,就当是接受了一次来自互联网的常规漏扫而已。受扫描方安全手段太强,封禁,业务发起方就惨了。专线的就难说了,风吹草动的直接就干了。
A30:可以旁路监控,专线相对可控,但是还是要分一份流量出来看看。没有被我的外联单位扫描过。这边部署了ids,但是我不经常看。可能以前有也没注意到。专线之后还要再nat一次的吧,线路上还有ACL,所以总体风险要比dmz小很多。
A31:专线要看的,演练时有通过专线摸进去的案例。是不是商业扫描器的扫描流量其实挺好辨别的,看看里面有没有商业扫描器特征的头,然后扫描特征比如weblogic漏洞,路径遍历漏洞,流量不大,但是你安全设备的报警数在被扫描的时间段内会大幅上升。
A32:ids不行,要ips。不过我记得等保标准应该是ids,只说减免没有要求阻断。等保3级以下只要求ids,我的ids,ips流量全都是正常业务流量,每天大量的流量。安全兼着运维太难了。
话题2:请问下各位大佬,重要系统、不重要系统、内网系统、外网系统进行渗透测试的频率是多久一次比较合适。
A1:看你资源吧,有条件重要系统半年,没条件一年。半年已经算很频繁了。一般是至少每年一次、重大变更前渗透测试。
Q:修补漏洞也是要成本的,有钱月月做?或者版本迭代做?
A2:如果是漏扫,那可以每个季度、每个月。因为中间会有一些监管部委的需求参杂进去。就会很频繁了。
这种一般是问你最后一次做的时间和报告,一般半年或者一年之内是可以的。除非特殊要求,有的要求即可审计的,就需要重新做。
A3:主要看系统数和人员数吧,搞得过来天天做都行。不怕开发运维有意见啊,这样会成为众矢之的吧,之前某公司内扫,直接把内网扫崩溃了,核心交换机CPU扫暴了,网管把安全的IP全拉黑了,逼着安全写保证书才给解。
A4:这是没处理好,处理得好的,扫挂了是运维责任,网络风险就是要突破CIA看你行不行的。攻击者会跟你报备吗?
A6:天天做也不可能天天挖到漏洞的,漏扫没必要天天扫,而且扫的话也不能公司所有系统同时扫。这个操作方式不能抄别人的,大家都是服务业务的。
当年漏扫把防火墙扫瘫了,因为防火墙把tcp半链接时间改了。
A7:确实,得按实际情况来,每个公司情况不一样。大体方向可以交流,具体方案还得定制。外网每个季度都在做。一个东西刚上线的时候,要谨慎,要压测,要选业务低峰,要分AB分开扫,要有预案。
A8:我们外网每个版本都做。要是外网扫进来把核心扫瘫了,他们还认,主要是你本身就是内网扫的,还不节制,就有点过分了。
A9:每个季度都要全做,加上测试环境上线前都要做,以及代码审计。影响上下游的东西,要关联方确认,先从必须、强制的事项入手,建立起合作。做安全也是在保业务连续性,你们说安全在防啥?防入侵么?别人入侵来干嘛?无非还是偷数据和搞破坏(如勒索) 基本的换位还是要有的。都是给老板服务,大家都重要,分工不同。
A10:企业做安全,本来就是该这么光明正大地做。但是,每条线或者部门,每个人承担的责任或者负责的kpi不一样,在具体的事情上自然就会有分歧。开会点头答应啪啪响,安全方不强势的话,推进整改会无比难过,要么拖要么使劲讲困难,讲能不能换种整改方式。
A11:扫描之前通知到各干系人,让业务那边做好应急预案,在业务低峰期操作,每次扫描ip范围少一点,发现扫挂了系统及时停止。不过这一切都需要大领导强力支持才行。
A12:pmp里有个企事业环境因素,我认为这个对安全是个很重要的输入,会影响很多输出。
扫描基本当做一次变更来做,扫描完要做业务验证。这些都是在增加业务和开发的工作量,没有大领导强力支持,会很麻烦。有个自动化验证业务的平台好一点。
话题3:各位大佬,飞书、企微等打卡作弊,有什么好的防护或检测方法吗?
A2:一般后台都有设备码吧,打卡设备码和常用设备码对不上,就有问题呗。另外企微可以和无线路由绑定。
A3:这也算安全吗?建议不要接这种啊,群众基础直接干没了,安全遭人恨范围+1。
只提供方法,让他们找售后解决去。否则搞到后面会比攻击队还遭人恨。
A3:审计的人找我,应该是团队领导发现所属人员作弊,但是没什么证据,投诉到审计部门了。
A4:改成公司人脸打卡。这就不涉及安全半毛线关系了。或者安全不直接做这个,可以直接调用监控。
A5:数据合规不允许,人脸不能做唯一验证方式。技术解决方案导致对抗持续升级,建议上管理手段简单高效。顺势把工作交出去。
A6:记得后台可以绑定WIFI MAC等硬件特征,可以限制只有连接到公司的WIFI才能进行打卡。
A7:有专门的仿冒wifi设备,可以克隆职场wifi信息。或者在公司放个手机,到点了,自动远程连上去打个卡
A8:看来还是原始的手段有效,所以破解这种,只能靠监控了吧。。。还有举报
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
原文始发于微信公众号(君哥的体历):外联单位互联情况下,如何避免误扫?渗透测试扫描、员工打卡作弊检测方法杂谈 | 总第169周
评论