张安今天参加部里的网络安全表彰和经验分享大会,她连续3年全国前三,走上讲台时候,张安心中还是暗自有点紧张。能站到这里,还得从三年前说起
三年前张安是某集团下面某子公司负责网络安全,安全室就他和小李、小王三人,在一次网络安全对抗中,获得了非凡的成绩,成功把攻击到核心业务系统的黑客,引导到了蜜罐中,从而反向入侵黑客使用的代理服务器,再进一步入侵了境外黑客的电脑,锁定了黑客身份,并留存了证据。这个经典案例被集团注意到,之后正好集团安全处长退休,张安被调到集团委以重任,负责集团总部和全国1000家分子公司的网络安全整体保障。
张安以前干安全是信息化部门底下顺手干,主要是责任心强、又有兴趣、技术也很扎实,也埋头好学,这在地方做安全还好,但到了集团专职负责安全就很不一样,最近非常头大,发现这活就是背锅侠,维护了安全,大家就看不到你的工作了,领导就会问,要你有啥用?但是如果出现了安全事故,安全没弄好,领导更会问,要你有啥用?真出了安全重大事故,第一个被问责的就是自己!而自己对要防御的对象,自己工作的地盘并不清楚!“看来第一点,是必须看看自己管辖的地盘是什么样子,先得做网络空间测绘,绘制网络资产地图!”张安领悟到了第一要诀。
面对集团的整个网络空间,先得测绘,绘制地图
张安召集了国内几大安全厂商,开研讨会,问问大家,如何让安全可以被感知?发现每家都有态势感知产品,厂商个个都说自己的产品无敌,只要用了自己安全产品,保证没有看不到的网络攻击。一个会听得自己眼花缭乱,但就是不敢相信厂商的推介。会后单独把李明留了下来,李明在集团安全处工作了10年,很有经验。“厂商的话,你就别信了。”李明回答很简要,“我们这些年买了各个安全厂商产品差不多没有5亿也有10亿,前阵子上级领导单位组织的网络安全对抗检查工作中,我们被突破了无数核心业务系统,这些厂商产品根本没用!”,虽说这个结论自己心里隐隐知道,但听李明讲出来,张安还是感到强烈的共鸣,李明接着说:“当然,也可能这些厂商的安全设备,需要配套他们的人来用,或者配套懂安全的服务人员来用好,才能发挥作用,但我们处只有8人,我们很难用好,而且我们也很难鉴定谁的产品好,谁的产品不好。”,张安也是深深感慨,安全公司太多了,安全产品也太多了,没有实战检验,根本不知道谁好谁坏。
安全厂商太多,没有真攻防就不知道谁真行
张安在厂商研讨会上,收获有限,这天一早就去拜访退休的老处长,老处长也非常热心,希望张安能把集团安全有效的抓起来。从早聊到晚,张安收获很大,回家赶紧记笔记:
1)集团常年被境外国家级黑客集团盯住;
2)集团常年被国际竞争对手雇佣的黑客盯住;
3)最近一年上级单位安全突击检查中,突出的安全问题有:
a)弱口令太多,需要用软令牌改造这个集团的登录认证系统和流程
b)核心业务网络没有有效隔离,需要把隔离设备有效的用起来
c)网络资产不清晰,被遗忘老资产没有被发现,新增资产没被关注没来得及加固,需要网络空间测绘
d)网络中蜜罐太少,无法及时诱捕入侵黑客
e)各个安全设备、网络设备、主机安全软件,没有实现日志汇总,集中分析,集中展示
f)各个安全设备,没有实现统一管控,统一指挥,统一指令下发
g)集团暴露到公网的业务系统太多,3000多个业务系统,没有统一建设统一管理
h)集团员工,安全意识淡漠,发生好几次社工邮件附件是病毒,被员工点击,从而内网被入侵;更可恨的是,员工居然把门口捡到的U盘插进内网业务区电脑,导致核心业务被黑的情况出现
i)集团各个子公司,网络安全各自为战,没有统一管理
……
转眼3年过去了,集团最近3年网络安全年年全国排名前三,其他单位经常来张安这里参观学习考察。这天又被上级单位叫去,给其他企业同行分享经验。
交流会上讲台上,张安总结到:“我发现网络安全主要几个问题,管理分散,需要集中,获得了集团支持,赋予了我职权;安全是专业活,需要很多人干,不可能靠我们处干,需要强大外援;安全产品太多,我们不可能平常识别好坏,得在真攻防中去检验,需要专业安全团队去识别;安全需要高对抗,对抗中发现的信息要有效感知,有效传递,问题要有效解决;我们是出钱单位,对结果负责,结果要可衡量,要和经济挂钩。最终我们集团制定了安全互望行动方案,以此为基础构建网络安全整体保障。”
互望互望,互相攻防,互相守望
接下来张安详细介绍了互望行动整体安全保障方案,精髓有 :
-
安全除核心业务安全外,全部外包;
-
外包方分防御方,和进攻方;
-
不再采购安全设备,安全设备由服务方自带,不再单独出资;
-
核心业务安全,外包给集团旗下的信息化公司,和集团旗下网络安全公司,其中网络安全子公司为新成立公司。
具体一点:
-
我们招标找了12家外部安全服务防护公司,每家负责防护我们100家子公司,1家负责防御保护集团总部,1家负责对我们所有外网业务系统提供云防护,每家每年服务费大概1000万。
-
我们招标找了20家安全渗透服务公司,每家出10人,每月对随机发给的100家子公司进行渗透,对总部可以天天渗透,每家基本费用是每年300万。
-
安保商防御范围内的资产分为关键资产和普通资产,如果被渗透了关键资产,每个每次扣10万人民币,普通资产扣1万人民币,如果发现了对方的渗透,并及时上报了,扣款减半;扣出的款项给攻击方;
-
渗透商,渗透方法不限,但只允许在我们集团办公区域进行,不允许带U盘笔记本电脑,不允许删除文件、停止业务进程等一系列危险操作,渗透办公区所有上网日志均留存。如果渗透商连续一年没有渗透过关键资产,或连续3个月没有渗透进入普通资产,将出局;如果渗透方需要去目标公司抵近侦察、攻击、需要带无人机、带攻击U盘等设备的,需要提前报备,集团派人全程陪同参与。
-
核心业务防护交给集团底下信息化公司负责防护,集团底下网络安全公司负责渗透服务,方式和上面很像。
-
集团安全处重点就是看到攻防方每天的态势信息就好了,信息准确性判断交给集团网络安全公司进行,判断后的信息每天上报。
当甲方的正确姿势:提标准,把验收,监控关键过程
下面有人举手了:“我们集团把所有不盈利的业务都外包了,咋就没想到安全也应该外包!”
又有人举手了:“专业的事情,的确应该交给专业的团队去干,我们甲方只用定标准,有几个专业人士负责验收成果就好!”
领导也和兴奋:“互望互望,攻守方天天互相望着,这就守望了我们的安全!”
老领导比较谨慎:“这个办法是好!实施过程中,遇到过什么意外?引出了什么新的问题没?”
听到老领导的问题,张安眼里闪过一丝狡黠的微笑,遇到的坑多的去了:
比如,某渗透公司,直接聘请女网红,找管理员吃了个饭,就要到了核心业务系统的口令!
有公司用网红在网络攻防中也发挥重大作用
遇到的坑实在多的去了,讲三天都讲不完,张安心想。
预知后事如何,欢迎关注公众号:神龙叫。关注后,输入“福利”有惊喜。
注:图片来自百度,文章转自网上。
往期精彩文章:
开放网络空间地图: http://zoomeye.org
神龙叫
原文始发于微信公众号(神龙叫):互望行动,用真攻防构建政府和国企央企网络安全的未来
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论