关于员工上网行为管理与防范恶意域名的策略探讨

‍‍

0x1本周话题

话题：各位大佬，不知道大家有没有为了防范员工被钓鱼，用上网行为管理控制互联网白名单的经历，我们启用后，为了避免员工意见太多，基本是允许了所有类型的上网，包括了企微、QQ等。理论上这样会避免终端外联到恶意域名上，但是不知道这样做还有什么大的漏洞被绕过么？

A1：没用，不能避免外联到恶意域名上。

Q：木马上线可能是通过CDN前置，你看到的域名解析可能是*.microsoft.com 这种它能成功上线么？

A2：我们准备启用白名单策略，首批白名单挑选上网行为系统记录访问量排名前xx的网站或IP，在此基础上再由各部门补充反馈，启用后后期增删改运营工作量可能会比较大。为了减少后期运营量，可以把访问网站需求大的特定岗位进行例外，对这些岗位不做限制，但需加强这些岗位的安全意识教育。

A3：按top N，很可能CDN前置就已经绕过了。

A4：DF看SNI呀。

A5：这种措施对使用域前置或云函数的钓鱼网站可能会失效。

A6：还不如按照岗位隔了网络呢，这策略一下，员工不得拿AK突突突了安全。

A7：对，这个还要综合各个单位的情况，我们人少，不到200人，具备这个条件。

A8：那看来要防好，还得压缩这个白名单，另外在外挂个安全DNS。

A9：之前给一个400人左右的公司做了一些，主要是用零信任接网，按照员工岗位分配不同的vlan，vlan之间有ACL和通用网关。这样防止中招以后的横向。然后DNS全公司就一个通用点，禁止出向53， 这样从dns日志里能摸到很多信息。出流量走对应Nat, 也容易看到马的流量。关于如何识别马这个事情，就看具体情形了。一定是抓大放小的， 安全有时候别把自己当上帝，容易被上帝制裁。

A10：对现阶段的银狐管用，对CDN域前置/DOH上线的攻击队没啥作用。

A11：根本是，“上网行为”就不是防攻击队的 攻击队做事不需要http协议，不需要建立TCP连接，并不受内容管控，icmp、dns、甚至是ssh私人ip都不受上网行为管控，这个“内容白名单”可以防已知的网站，除此之外是只防君子的虚假的安全感，一切的策略不能在上网行为上对抗。

A12：利用云EDR/主机安全/IT管理进行C2控制的，比如https://saas.360.cn/ 这种，白名单也管不好。

A13：即便使用了域名且进入了内容的领域，大家也谈了很多，回连网站也往往在“白名单”内。

A14：1.最初我在安信证券将上网黑名单改成白名单的时候，阻力也很大，主要就是运维觉得以后变更会很频繁，但改成白名单后，基本没有新增需求了。2.虽然还会有一些绕过的方法，但确实提高了基基础水位，作用还是很大的。

A15：如果对抗对象不是针对性攻击，那么安全DNS、有安全规则的上网行为都有用 但现在问这个问题，想必不是这个背景。你们那个单位，要影响用户体验，干脆就一步到位，调研下同业，推三网隔离 这样，先把屋顶掀了。然后回归平时，你再提供个白名单上网方案开窗户，也没人反对了，从来都是由俭入奢易，由松到严难。