企业网络安全护网行动措施指南

admin 2025年1月6日16:01:11评论34 views字数 2852阅读9分30秒阅读模式

关注 “外智信安”公众号:传播安全正能量,反欺诈抗攻击,保护企业信息资产,守护个人钱包!】

一年一度的护网行动基本已经完成,每年护网行动都会让一些由于各类原因导致在安全建设存在不足的企业心慌手乱,战战兢兢。根据个人护网工作经验,整理了应对护网行动的一些执行措施,企业可以转换为制度、也可以转换为行动指南、也可以做自检参考,希望能帮助到一些缺少经验的企业做好护网工作。关于应对护网的措施,可以按照下面三个主要阶段进行:

企业网络安全护网行动措施指南

一、备战阶段(最好定在正式护网开始前一周完成):

1.组织保证

1.1 建议公司总经理或者主管信息化的高管作为总负责人,以便能够更高效协调资源和业务。

1.2 安排护网接口人,值守接口人(可多个轮值),并提供相关人员电话联系方式。

1.3 建立护网IM总群用于护网联防和支持。含集团支撑团队、各分子公司负责人和接口人,各项目主管和护网接口人,用于及时沟通同步护网情况,异常攻击情况同步,应急协助等。

1.4 主动进入各类安全交流群或媒体,以便关注攻防态势。

1.5 企业护网接口人和各子公司向各个安全厂商获取厂商支持人员及联系方式,并提交给值守接口人以便应急支撑,建立微信群等有效的沟通途径。厂商包括防火墙、IDS、WAF、态势感知、威胁情报的厂商等(如果涉及公有云或者政务云的,则需要把云服务商的接口人也一起加入)。

1.6 产研团队安排相关研发人员协助尽快修复发现的风险问题,和一些缓解风险的规避措施(如去除互联网页面的logo信息)。

2.技术保障

2.1 企业护网接口人和各个子公司护网接口人安排梳理确认跑正式业务所需的具体客户源ip地址及其所需访问外网服务ip和端口,互联网防火墙仅放通这些ip地址访问业务端口(细化到具体源IP+目标ip:目标端口),其他全部禁止访问(含数据中心、政务云业务)。

2.2 针对所有对外开放的业务(含对公众和远程办公类)检查边界策略是否都按照第1点要求收敛访问权限。另外需要根据实际业务情况,检查是否有CDN、云代理、云waf、5G、物联网等外部暴露面,对这类暴露面一方面需要设置最小到五元组的网络访问权限,还需要设置其各类管理权限。

2.3 修复所有对外暴露的业务漏洞、网络设备漏洞。

2.4 护网接口人安排禁止在防火墙目标NAT策略中开启双向NAT,以避免源地址被替换为防火墙IP导致无法溯源,无法封堵。如果有设置代理、CDN、双向NAT之类的,需要确保在后端相关的安全监测和防护设备(含防火墙、WAF、态势感知等)开启针对源IP的正确识别机制(如XFF选项等)。

2.5 护网接口人安排关闭sslvpn远程,需要运维的到现场。

2.6 护网接口人安排关闭出网的业务请求。

2.7 护网接口人安排开启IDS、WAF策略、防火墙恶意url、威胁情报对接、态势感知策略、EDR策略等且保证生效。

2.7 护网接口人安排检查不能存在账号弱密码,包括各类安全设备、业务系统、运维系统。

二、应战阶段:

1.日常值守

值守人员需要进行如下监测(可多不可少):

1.1 防火墙流量是否有异常、防火墙封堵日志有没有非放通ip的访问、有无异常外联行为;

1.2 监测IDS异常告警;

1.3 监测waf异常告警;

1.4 态势感知异常告警;

1.5 EDR异常告警;

1.6 蜜罐异常告警;

1.7 威胁情报新增信息;

1.8 关注外部各类信息交换途径(微信群、QQ群、媒体)是否有新增攻击方法或新披露的关键漏洞信息;

1.7 每日咨询防火墙、IDS、WAF、SSLVPN厂商是否有新漏洞和并及时进行补丁修复,同时监测业务系统涉及的各类组件及系统本身是否有新漏洞并及时修复或规避解决。

1.8 对接监管单位,对监管单位反馈的异常攻击IP在防火墙和WAF添加黑名单进行封堵;(指定对接监管单位的统一接口人,特别是集团类企业更需要统一接口,以便保证能高效对接)

1.9 每日向IM总群发送护网日报,日报内容包括:是否有异常,问题修复情况、问题跟进人、以及防火墙流量和告警日志截图、IDS告警日志截图、WAF告警日志截图、态势感知日志告警截图、EDR日志告警截图。

2.业务变更

由于目前的护网行动周期越来越长,很难保证能像以前一样护网一周内禁止更新业务,过程如若遇到真实客户业务或者产品需要进行变更的,通过如下处理:

2.1 如果是客户业务变更,则业务需求方需要提供客户具体源IP+访问所需的目的IP:目的端口;如果是产品需要变更,则产品需要提交变更功能说明,包括功能测试报告和安全测试报告给企业护网接口人和子公司护网接口人审核;

2.2 护网接口人跟业务总经理申请审批;

2.3 护网接口人将变更发往护网IM信群报备;(只提供变更人、变更时间、变更功能即可,不要提交具体ip避免泄露信息)

2.4 护网接口人安排在非护网时间段进行策略调整变更,如果是被选中做24小时护网的,则可以根据自己的护网情况,选择能确保保障人员都能及时响应的时间点进行更新。

3.应急响应:

3.1 如果涉及到异常攻击告警,如果值守人员能自己判定的可以自己及时进行封堵处置,并将异常在护网IM总群反馈,方便其他分子公司同步封堵。

3.2 如果异常告警值守人员无法自己判定的,可以向厂商、护网IM总群反馈告警内容,寻求支撑帮助。

3.3 如果值守人员发现已经被入侵了,不管是否有告警,则快速通过防火墙配置黑名单或者先断网进行封堵处置;如果是防火墙失陷了,则快速截图取证,并向防火墙厂商寻求处置方案;同时这两种情况都需要及时向护网IM总群反馈寻求支撑和同步其他分子公司。

3.4 如果出现异常攻击告警(包括正常时间的异常攻击和非护网时间的异常攻击),护网接口人需要向监管单位报备(先统一汇集到监管接口人)。

4.利用护网行动的资源 (根据企业实际情况选择):

 护网行动其实是一个很接近实际黑客攻击但不会对企业造成实际损害的企业安全体系检查,因为如果遇到真正的黑客攻击,那黑客是不会手下留情的,只会能多残忍就多残忍。所以护网行动对企业来说是一个很好的又专业又免费的安全体检。企业安全负责人其实可以好好利用护网行动的资源,帮企业整体发现安全建设的不足,为企业后续建设提供参考基础。可以参考以下措施:

4.1 在护网中后期,把护网行动所做的工作恢复回正常时期的状态,接受攻击队的攻击。

三、战后总结阶段:

1.护网完成之后,企业护网接口人和分子公司护网接口人组织相关人员进行护网过程总结,对过程存在的不足进行总结,包括管理方面、技术方面、执行方面、组织方面等;

2.总结需要包括:具体问题描述(需要覆盖整个攻击链分析以及从管理方面、技术方面、执行方面、组织方面的分析),实际发生的案例举证(避免过于笼统和概括的问题没法落地改进措施),以及初步的改进措施建议;

3.企业护网总负责人组织总结会议,针对各个问题和改进措施建议进行分析研讨,协助制定整改计划和确认整改事项负责人。

4.上报企业总经理,归档总结材料。

企业网络安全护网行动措施指南

    【特别说明:本文仅代表个人的见解,如各位老师有更好的见解欢迎留言不吝赐教,共同进步!】

原文始发于微信公众号(乌鸦安全):企业网络安全护网行动措施指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月6日16:01:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业网络安全护网行动措施指南https://cn-sec.com/archives/3597079.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息