freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

某地产集团数字化转型中的信息安全运营实践与探索
2020-08-13 15:10:34

第一部分 某地产集团数字化转型概述

某地产集团从广州起步,经过20余年高速发展,业务已拓展至北京、上海、天津、海南、太原等全国各核心城市及潜力地区,并自2013年走向世界,拉开布局全球的序幕。成为以房地产开发为主,同时在酒店发展、商业运营、文体旅游、互联网产贸、医养健康、物业服务、设计建造及创新服务平台等领域多元发展的综合性集团。

自2015年以来,企业信息化的步伐逐步加快,信息化建设被定调为企业的战略性举措。持续加大信息化建设的投入,实现数据智联、创新赋能,支撑管理变革、引领业务创新。

经过近5年的建设,某地产已经找到了适合自己的信息安全建设之路,在国家支持信息安全建设政策的东风下,以《网络安全法》的实施、等级保护提升至2.0版本为契机,顺应等级保护标准要求,加强全方位主动防御、整体防控,实现对等保防护对象的安全全覆盖,从事后补救到安全前置,从局部分割到全面防护,从被动安全到主动安全的转变,构筑主动、全面的安全防护体系,为数字化转型保驾护航,这就是某地产走数字化转型道路之后交出的信息安全答卷。

第二部分 信息安全数字化

在信息安全数字化建设的具体步骤方面,某地产总结在过去几年数字化转型的经验和成果的基础上,找对自己方向,走出自己的道路。改变从过去被动防御、事后补救的思路,变为从集团整体局面出发,构筑主动、全面的安全防护体系,为数字化转型保驾护航。

在具体建设步骤方面,从维护核心网络环境安全的需求出发,在企业数字化转型战略规划层面将信息安全建设分为巩固基础资产、构建安全防护体系、提升安全联动能力三个阶段逐步推进;自2018年开始,逐步对企业核心业务系统进行等级保护评测整改,取得等级保护测评证书,到2020年已经有6套系统经过等级保护评测;在基础资产安全防护方面,引入新力量、新技术,对现有核心网络资产进行清点、安全排查,优化整改存在安全风险的设备;在2019年,对现网架构进行安全脆弱性评估,挖掘现网架构的源生风险,在此基础上对网络主干架构进行优化整改;在2020年,引入信息安全中台系统,对接网络中关键网络设备、防护设备,将信息安全态势联动,整合各个关键网络设备和安全设备的信息后进行数据建模分析,实时快速展示某集团的安全态势。

第三部分 信息安全数字化建设的思路

在信息化高速发展的同时,信息黑色产业也在不断进化,高级恶意代码以快速变种、多样化和动态交互的形式不断演化,即使某地产已经构建较为完善的纵深防御体系,但是面临快速迭代升级的网络攻击手段和层出不穷的系统漏洞,要面对的风险和威胁依然众多,包括如下:

安全攻防能力极度不对等,如恶意代码,和传统病毒相比,变种更多、更新更快,传统检测方式更难发现;同时黑客攻击更多的具备“全方位立体进攻模式”(不同攻击载荷、攻击方式、攻击维度)、全天候、全方位打击的特点,依靠单一的安全产品品或边界防护往往无法满足企业安全需求;

地区公司防护薄弱,地区公司通过MVPN专线与总部核心交换机进行互联通信,同时各地区公司也有自己的互联网出口进行上网,带来了诸多无法管控的风险;由于安全预算、人力的限制,地区公司没有专职的安全团队,往往很难进行高效的风险防范;

主干网络架构扁平化问题:目前某地产核心网络连接着全国各地多家区域分公司,同时担负集团公司内部兄弟部门的同网连接通信;各公司、各部门的安全建设水平参差不齐,更多的是注重网络侧的边界防御,而内部跨区防护,往往被选择性忽视。在实际攻防场景中,再“高”再“厚”的墙也终将被绕过。一旦攻击者突破某个地区公司边界取得初步权限,内部安全能力的真空很容易导致集体沦陷,攻击者进入内网之后横向渗透,往往一马平川,无往不利;

单点安全能力永远存在漏报和误报的问题。即使当前攻击被阻断,道高一尺魔高一丈,攻击者经过一段时间的研究,也有可能绕过防护。而安全设备和业务系统兼容是一个长期的磨合过程,必然会导致出现无效告警,而真正有效的告警,往往被淹没其中。

为有效应对目前面临的信息安全风险和满足信息安全管理的迫切需求,某地产需要利用基于利用大数据进行数据建模学习技术对已知威胁进行模式挖掘,然后通过专家分析,提取恶意行为并输出安全能力,具备威胁情报检测、网络异常检测、入侵检测、主机行为检测等多种安全能力,从“端、边界、云”的空间维度上以及 “预警、监测、分析、清除”的时间维度上实现安全防护的闭环管理,真正做到 “全面防御、主动预警、安全运营,全天候、全方位感知网络安全态势”。

那么,某地产当前在信息安全风险方面面对的挑战是什么呢?安全团队根据当前工作总结出以下几点:

如果管理部署在不同位置,分布零散的大量安全设备?

如何收集、分析和展示安全设备产生的海量的日志,及解决日志采集、存储和分析带来的困难?

如何将风险管理工作落地执行?避免信息化领导者被日常工作拖累,陷于细节,无法宏观判断,有效决策?

如何变被动为主动?部署了网络平台或者安全平台,依旧是被动响应事件和处理,采购了安全能力还会遇到安全问题?

部署了网络平台或者安全平台后,即使缺乏专业安全分析人员,如何真正发挥平台的作用?

重大安全事件保障工作越来越多,如何有效利用工具使各系统和平台协同管理,避免每次重保都会手忙脚乱的应对?

如何通过平台快速处理紧急事件、专项工作,避免给某地产带来不必要的安全隐患?

解决以上的挑战,是某地产信息安全数字化建设的基本思路。

第四部分 信息安全数字化建设的成果

面对上文提到的挑战,安全团队在工作实践中寻求解决的方法,总结出信息安全数字化建设必须考虑未来的企业安全运营体系建设,并重点关注以下五个方面:

能够在战略和战术上利用威胁情报;

能够利用机器学习、复杂统计分析或预测算法等技术进行安全建模和高级分析;

能够快速、准确的取证调查和威胁追溯;

能够进行持续的监控与分析,构建自适应体系;

尽可能的自动化,提升安全运营效率;

根据某地产当前面对的安全风险与挑战,安全团队引入最新的自适应架构体系方案,即以持续监控和分析为核心,持续构建自适应体系架构的4个分层结构:大数据,安全情报,知识库及情景感知智能。该方案通过融合最新的安全技术,包括大数据安全、智能威胁研判、基于情报的漏洞管理、威胁情报平台、海量数据存储和分析、SOAR安全编排技术、云安全管理平台,覆盖了边界控制、评估分析、威胁防御、监测预警、合规治理等全面的安全管控界面,同时,打造了更具备扩展性、安全管控性、智能决策性、安全运营性的安全大数据分析平台,为某地产安全团队提供全面的、智能的、可扩展的安全分析、展示和管理能力,极大提升了某地产的安全管理水平。

本方案已通过智能安全中台系统在公司核心网络落地运营,安全中台系统强调以安全分析为核心,结合云端威胁情报,通过各种攻防场景及可视化手段,构建一个从防御、检测、响应、到预测于一体的自适应系统,安全运营角度落实平台与流程,:

1)通过云端情报与本地数据关联分析,进行有效的事前预警,缩短了安全团队应对新生威胁的时间。

2)通过大数据分析和可视化技术,对攻击行为进行猎捕和追溯,快速定位攻击背后的黑手。

3)通过持续的漏洞监控和自动化管理,将风险管理落到实处,实现了对漏洞的闭环管理。

4)通过高级分析和工单流转系统,自动化分析威胁和响应处置,提升安全运营整体效率,缩短运维响应时间。

5)通过安全运营服务和安全编排自动化响应SOAR技术,降低整体的安全运营投入成本和风险,减轻客户的安全运营负担。

第五部分 真实案例分享

事件起因:

基于对安全中台系统持续优化,安全管理团队按照计划对系统关键组件之一的流量探针系统进行测试,每周持续对安全中台系统的流量侦测策略进行优化提升。

在2020年5月18日,安全管理团队对安全中台系统例行巡检时,发现系统“运维响应——运维工作台——事件运维”专项栏目里面出现“发现主机木马的通信行为告警”。通常出现这类告警,意味着内部网络的部分计算机已经被木马入侵,木马进程已经与外界网站成功连接,开始数据交换。

随后,安全管理团队向各团队确认,未收到有关办公终端或服务器主机出现挖矿木马或勒索病毒症状的报告。本次木马告警事件仍处于传播阶段,未进入病毒发作阶段。安全中台系统在木马事件激发前,提前预判了风险的发生。

由于告警数量达100多条(从5月15日周五起至18日周一),受木马影响的主机遍布某大厦各个楼层,安全管理团队立即启动应急机制,着手处理木马告警。

排查情况:

安全中台系统能够将网络设备和安全设备的信息汇集整理,安全团里团队通过其信息汇集的功能对木马告警的情况进行排查;可排查的情况如下:

  • 告警的类型和线下预判的严重程度

告警的类型都为“发现主机木马的通信行为告警”,等级为“严重”在对应的时间段内未发现其他类型的告警;

  • 确定发起木马数据包的网络区域;

定位发起木马数据包的终端都处于某大厦办公楼层的各个部门,云上与线下的服务器IP未发现木马数据包情况;

  • 定位木马对外通信的目标地址

安全中台系统的告警显示,所有木马对外连接的目标都是HTTP://v.beahh.com (ip为116.31.102.47)这个地址。

安全管理团队根据安全中台系统发出告警的时间段,收集整理告警记录。告警情况如下图:

系统告警情况(至2020-05-18  12:21:28):

同时,通过安全中台告警记录回溯到最早出现告警的日期,并跟踪每日涉及告警的IP,相关数据跟踪情况如下表:

日期

15日

16日

17日

18日

感染数量

39

32

31

30(至12点)

通过安全中台系统提供的信息,安全团队初步判断:

受感染的主机都是终端,服务器主机未受到影响;

受感染的范围集中在某集团办公大楼总部,分散在各个部门;

A中心与B院的主机占大多数。

范围定位:

经安全中台系统资产管理模块对照,受感染主机范围,集中在集团本部某院、等部分无线网段的终端。

安全中台系统通过告警与资产管理模块关联对比,确认告警中涉及的IP地址对应的资产信息。

排查验证:

根据安全中台提供受感染的IP地址清单,安全管理团队对防病毒系统后台进行排查,确认以上IP的主机都勒索病毒查杀记录:

(1)通过SEP查询116.XX.XX.47攻击终端日志,发现响应的防病毒记录:

(2)通过SEP查询攻击源192.168.XX.222,192.168.XX.222:SEP客户端离线,病毒定义更新到2019.12.18,初步判断为本地SEP防病毒系统失效导致感染木马;

(3)确认192.168.XXX.36服务器未安装SEP:SEP后台未找到该IP的终端监控记录

对受感染终端的排查显示,安全中台系统记录发起木马数据连接的IP地址,对应的主机都存在防病毒系统失效的情况,部分甚至未安装防病毒系统客户端。

处理手段

安全管理团队在巡检到安全中台系统的告警之后,第一时间进行应急响应流程:

第一步,确认相关告警涉及的IP地址是否包含服务器的IP地址。经登录服务器区防火墙,查阅相关时间段的日志未发现对应的告警。安全中台系统相关告警无涉及18,28两个服务器网的IP地址;

第二步,评估木马的横向感染能力;根据连日来发生告警的IP比对结果,引起本次事件的木马感染能力相对较弱。在同一时间段内,未发现相关的IP地址有连带的告警,判断无连带的病毒情况;

第三步,评估木马的纵向传播能力,根据安全中台系统告警记录,所有发生告警记录的IP都与外网网址HTTP://v.beahh.com (ip为116.31.102.47)进行数据通信;确认该网址为本次一系列告警的非法通信目的地;

第四步,根据对安全中台系统告警日志记录的排查,确认发起非法通信的终端使用随机的端口向外非法网站进行链接。经安全团队商量,决定在出口UTM防火墙上建立策略,屏蔽HTTP://v.beahh.com (ip为116.31.102.47),禁止内部网络与该地址进行通信。

第五步,在屏蔽非法地址策略生效后,安全团队对安全中台系统进行巡检,确认在禁止策略生效后,告警已经在12:21后不再出现。如下图所示:

溯源排查结果

在确认安全中台上攻击告警不再新增之后,对本次事件的感染源头进行排查溯源。

首先,安全管理团队对HTTP://v.beahh.com (ip为116.31.102.47)进行核查,根据安全云服务提供的安全通告,确认与该地址相关的木马,为新版本的驱动人生木马,属于挖矿病毒一类。

然后,经对受感染IP主机的安全日志进行排查,确认横向传播木马病毒的IP地址:192.168.XXX.222(某区域公司)、192.168.XX.36(某区域公司),而这两个IP并无出现本次告警事件中;攻击时间:2020年5月15日,攻击行为:内部主机发起扫描,被攻击范围:集团本部终端。相关记录如下图所示:

后续处理

根据对安全中台系统告警记录及防病毒系统日志记录进行评估,安全团队判断引发本次告警事件的木马为新版本的驱动人生木马。由于在木马病毒激发前,安全中台系统已经侦测到木马进程对外非法通信,从而产生本次告警事件。在安全管理团队提前介入处理下,本次事件影响相对较小,暂无造成重大的损失;

通过本次事件确认,第一,安全中台系统通过汇集各个网络设备、安全设备的信息,以具备一定的安全信息整合分析能力,能够提前发现网络中的安全风险;第二,某总部部分网段的终端安全情况不佳,容易受到感染。安全团队将跟进后续处理以下工作:

1、 本次事件是根据安全中台系统持续性优化策略后发现的,相关网络设备并无对应的记录;因此,应继续优化安全中台系统安全策略,使其更适应某集团的IT现状;

2、 安全团队会对受感染终端的管理部门提供处理指引,清理受感染终端上残留的互联网遗留物,例如COOKIES,表单,脚本等;

3、 安全团队会对受感染终端进行漏洞核查,对未更新永恒之蓝补丁的主机进行补丁更新;并删停感染主机的病毒进程;

4、 进一步确认SEP防病毒系统在本地的安装推广情况,确保终端主机处于SEP系统的有效保护之下运行。

处理过程

时间

事件

2020年5月18日 8:00

安全管理团队早上巡检,发现安全中台系统上有“发现主机木马的通信行为告警”。

2020年5月18日 8:30

核查告警数据超过100条,受木马影响的主机IP清单,确认服务器未受到影响

情况核查

2020年5月18日 8:35

排查各个网络设备的日志,确认各个网络设备未发现木马通信痕迹

2020年5月18日 9:00

核查安全中台系统告警信息,通过攻击链功能,确认木马通信地址为:HTTP://v.beahh.com (ip为116.31.102.47)

2020年5月18日 9:30

对告警信息进行回溯,确认首次出现该类告警的时间为15日,即流量检测系统上线当日

2020年5月18日 10:00

巡查防病毒系统后台,确认部分受感染主机未有防病毒系统保护

事件处置

2020年5月18日 12:00

将HTTP://v.beahh.com (ip为116.31.102.47)加入UTM防火墙黑名单

2020年5月18日 12:12

安全中台系统未再触发同类新告警

终端排查

2020年5月18日 14:00

对收影响终端主机进行逐台处置

完成处理

2020年5月19日 17:00

完成对清单上所有主机的木马处置

第六部分 总结

在某地产核心网络部署了一定数量的网络设备和安全防护设备,但各种设备有各自独立的功能,有独立的日志及告警。要提高信息安全管理能力,提升系统安全运维效率,优化某地产内部安全事件应急能力,必须将各种网络设备与安全防护设备的信息进行串联。

已经部署成功的安全中台系统,将各类设备的日志、告警信息,接入借用的流量监测系统,将其信息汇集在平台上,并通过平台的大数据功能,迅速定位被攻击的目标、攻击路径、攻击手段类型,评估受影资产范围,以此估算系统的风险高低。

回顾上文所述五月份终端感染木马事件,安全中台系统在某地产IT信息安全工作中逐步成为核心的一环。本次事件所感染的木马在未被触发前,已经被安全中台系统截获对外联系的证据。安全管理团队在安全中台系统的支撑下,成功阻止一起网络病毒引起的安全事件。

在持续推进优化安全策略工作中,安全中台系统的功能与数据分析能力得到逐步拓展,并逐步贴近某地产的企业实际需求。

在安全中台系统逐步成为信息安全运维工作的运转核心的前提下,未来信息安全工作应该向纵深规划发展,即安全合规审计及可持续审计的方向进行规划满,满足某地产内部合规审计的需求。要满足可持续的信息安全审计要求,需要进一步强化安全中台系统的信息收集能力、安全监控能力、数据分析能力。

因此,应该尽快对借用的流量探针系统进行进一步的优化,让其与安全中台系统的数据对接更紧密,流量探针系统的检测策略向某地产业务系统的实际情况靠拢,并以某地产内部审计要求为根本进行持续性优化。

在信息安全可持续性审计方面的规划,安全中台系统的工作需要进一步扩充。首先要强化流量监控能力,当前借用的流量检测系统在测试期间已经初见成效,未来需要在关键的网络节点,如服务器网段入口、分支机构接入点等位置部署流量检测系统,用于向安全中台系统提供更多的安全信息。

其次,配合安全审计的需求,增加持续性安全审计能力,需要部署日志审计系统,将网络设备、安全设备的日志收集,并进行安全审计。

最后,为保障各个系统的后台数据库安全,及对数据库操作的合规管理,增加部署数据库安全审计系统,为安全中台系统记录数据库的操作行为,审计操作合规性提供数据源。

安全中台系统是未来某地产信息安全工作的核心支撑系统,在自身工作拓展的基础上,亦需要横向拓展,即与现有的其他系统进行数据交互,如与CMDB系统对接,保障资产的安全管理;与ITSM系统对接,简化安全事件工单流程,及优化安全闭环管理,提升信息安全流程的处理效率。

同时,应该加针对业务系统应用层面的安全管理。应该从三方面进行:

持续对系统应用网站进行监控,可通过SAAS化的智能安全监控服务和定期对网站进行漏洞扫描实现,并将监控信息和漏洞扫描结果向安全中台系统递送;

定期对业务系统进行专业渗透测试,评估业务系统的安全漏洞与逻辑风险;

定期对面向互联网开放的资产进行安全评估,确认其对互联网开放的端口、服务、应用的安全风险与规则的合理性。

最后,为从源头上建立业务系统的信息安全能力,必须要引入基于SDLC的安全管理,核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 系统安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑