官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 236期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 攻防演练期间,VPN 很容易成为突破口,应该如何防范?
2. 管理员在外网能不能远程访问服务器和单位自己的PC,应该采用什么样的方式远程?
3. 针对远程桌面软件如向日葵、Todesk等,大家是如何管理的?
4. 针对分支机构或VPN接入的办公终端,经常发现存在挖矿流量告警,这种需不需要处置?
话题:攻防演练期间,VPN 很容易成为突破口,应该如何防范?
A1:
可以把禁止通过VPN进去内网写到禁止项里面。
A2:
关注VPN本身是否有漏洞,及时修复,严重情况要停掉。
A3:
1. 清理一波僵尸帐号;
2. 多因素验证;
3. 能禁用的禁用;
4. 夜间停服务。
A4:
VPN本身的密码加强,禁止弱口令,进行一轮强制密码整改。VPN的使用,禁止非工作时间段连接VPN。VPN的升级,更换VPN为零信任,增加2FA验证。
A5:
双因素都不一定有效了其实,第一次绑定双因素你总得用邮箱告诉他怎么操作,攻击队拿到这封邮件反手自己绑定了,都是血与泪。
A6:
双因素只能解决用户层面的风险,不能解决设备本身系统、底层的风险。
A7:
从风险本质上来说,VPN跟零信任没有任何区别。
A8:
那还是多套了一层的,多一层相对还是更安全一点。
A9:
VPN最怕的是本身有漏洞,这种情况即使用户安全意识再好,都直接被搞了。似乎可以用一些所谓的零信任,对外部人员端口隐身。
A10:
1 .让厂家修复VPN设备漏洞;
2. 考虑使用多因素认证;
3. 增加VPN监控的阻断设备;
4. 取消特权管理员用户;
5. 临时改为零信任取代VPN。
A11:
如果考虑极端,对方使用0 Day,单一从VPN角度也没得防了。这个其实还是整体安全能力的对抗,比如在IT设施的各个层都有能力(纵深防御框架),多层安全能力的预警结合类似业务系统侧日志分析(UEBA等)进行威胁捕获。
A12:
让我想起某些厂商一堆防火墙的图,套几层,能降低风险,但是用户体验比较差。
A13:
规划好VPN所在的区域(如办公区、运维区),按人员角色分配其接入的VPN。
A14:
如果只是一般的安全措施,那么大家说的比较全面,无外乎MFA、账号整改、删除多余账号、弱口令整改 等,但其实核心问题在于VPN本身存在漏洞,做再多整改VPN的工作都于事无补,所以还是要在VPN前面加ACL访问控制,FW指向公司办公出口等,这样能让专门扫描VPN 0Day的红队找不到 ,必要时也可以隔离VPN下线。
Q:管理员在外网能不能远程访问服务器和单位自己的PC,应该采用什么样的方式远程?
A15:
基本都是VPN或者零信任到堡垒机,然后去服务器。
A16:
杜绝,但是可以面对突发情况,可以走特殊形式访问,需要层层审批管控。
A17:
HVV期间原则上远程都关了的,特殊情况用VPN+堡垒机。
A18:
我记得之前有个在VPN之前套WAF的,这个路子好使的话,可以前面套几层WAF,什么Cloudflare 、Akamai都套上。
A19:
我们就是VPN的内网流量单独镜像给了NDR,没有搞太多控制。我好像在哪里见到过,VPN后面是硬件墙,VPN开放规则以后硬件墙也要开放IP规则。
A20:
我觉得传统VPN和传统网络的问题就是权限粒度不够细化。如果能做到千人千权,每个用户只能访问自己有权限访问的地址,并且有审计,其实还好。就算某个User的VPN被打穿了,进了内网也是寸步难行。而不是不设防的无人之境。
A21:
你这还不如套几层WAF,管理成本太高了。
A22:
权限粒度不够大多不是设备本身的问题,而是管理成本的问题。我知道的设备好像都是支持到端口级的粒度,但是这么多用户,业务资产IP这些时不时调整变动,人员岗位也会调整变动。
A23:
端口级别其实还不够细致。主要是现在大多数网络设备不支持云上的安全组。
Q:针对远程桌面软件如向日葵、Todesk等,大家是如何管理的?
A24:
不鼓励使用,也不强制禁止,毕竟算是个灾备方案。
A25:
我这边是默认禁,有流程申请的人会单独开。
A26:
严禁向日葵,漏洞太多,Todesk严格限制,紧急情况下管理员远程VPN进来开白名单临时放行。
A27:
服务器上是严禁向日葵、Todesk这类远程软件的,必须VPN+堡垒机,碰到晚上紧急联调这种情况允许临时开终端。
A28:
定期扫描,发现有没有这些服务端口,然后定位处理。
A29:
除了话题说的这几个常用工具还有最常用的Xshell ,其实核心问题不在于运维工具本身,运维工具可以通过本公司的运维库申请下载,主要是在用运维工具之前 ,要给运维的服务器做身份的认证,只有认证通过了才可以用运维工具运维主机。
A30:
1. 建立流程及权限审核,强制必须增加开通有效时间(且最长限制如一个月或一个季度(或者规定类型厂商远程协助一天,临时远程一天等),强制流程闭环审计);
2. 终端软件管理默认禁止(且指定安全版本或者企业版本可强管控),按审核流程开通,绑定mac地址等;
3. 建立好权限回收机制及闭环流程。
Q:针对分支机构或VPN接入的办公终端,经常发现存在挖矿流量告警,这种需不需要处置?
A31:
需要,还要控制一下访问对象(资源门户)的权限,最好是能精确控权。
A32:
需要,因为有相当大的概率是RCE漏洞或者弱口令进去的,即使说病毒没有产生后续损失或者对性能啥的影响不大,这个进去的路径可能被其他人利用。
A33:
肯定要处理的,不然可能从分支传攻击流量过来,然后也涉及了分支机构的安全管理问题,这超出了VPN安全这个命题了。
A34:
宁可错杀不能放过一个,之前确实有人电脑一直发现有挖矿流量告警,排查了以后是迅雷触发的。
A35:
这种会被监管机构通报的,属于立查立改。
A36:
这种肯定是需要的,一般通过钓鱼让终端/移动PC中毒说明本机已经不受控了,而且能中挖矿说明本身就是一个不好的信号了,说明攻击者只要愿意好可以套取用户的VPN和业务系统的账号密码。一般来说只要病毒修改下网卡,就可以伪装钓鱼网站从新定向,然后套取用户密码。
本周话题总结
本期话题讨论了VPN及远程访问安全相关话题。对于攻防演练期间的VPN安全,大家普遍认为可根据情况适当禁止VPN使用,并加强VPN自身漏洞的排查;对于管理员在外网能否远程访问服务器和单位自己的PC,除了套上WAF,也需要重视审批和管控,特殊情况可通过VPN+堡垒机;针对远程桌面软件的管理,认为最好默认禁止,特殊情况需审核流程单独开通;对于分支机构或VPN接入的办公终端经常发现的挖矿流量告警,讨论一致认为需要对其进行处理,最好能够精确控权。
近期群内答疑解惑
Q:大家对核心数据、重要数据这块是怎么去理解的,一般公司内部会自己去归类自己属于这二类数据的范畴吗?如果公司归类的话,是依据相关文件吗,主要涉及哪些文件?还是监管下发的通知去填报?还有就是有什么办法去规避公司归到核心数据、重要数据的范畴?
A1:
这个都是监管制定的目录,监管确认你有你就有,和关键信息基础设施一样吧。
A2:
核心和重要数据识别的条件最下面有一条:经有关部门和行业主管部门评估确定。
A3:
主要由工信部制定重要数据核心数据识别、防护标准,制定行业重要数据、核心数据具体目录,参考《数据安全管理办法》第七条。
Q:制定漏洞修复流程的时候,上报环节应该是识别漏洞后、修复方案制定前。还是在漏洞修复后啊?
A1:
当然前置,漏洞都对应风险等级,风险等级对应流程。
A2:
修复方案制定后吧,我最近也在搞这个,但是制定漏洞修复方案要和业务沟通。
A3:
修复方案制定前,你直接修了,业务挂了、蓝屏了、影响用户使用了等都是问题,发现漏洞,制定修复方案 然后领导着急其他部门业务部门一起开会,哪些要修复哪些不修复 ,哪些可以用其他手段抑制,哪些留到下一个版本上线在修复,很多事都要考虑的,你要直接修了,离走人也不远了。
A4:
这个上报指的是上报的工信部。
A5:
上报工信部前,你们自己要对齐再上报。
Q:有400T数据通过2台服务器之间万兆网卡直连方式拷贝到本地服务器,有什么方式检测恶意文件、木马病毒吗?其中有一台服务器有EDR,但是实时扫描能扛得住这么大数据量吗?
A1:
开扫描。EDR除了数据慢点,其他的没啥问题。
A2:
单独这台机设置定时扫描,每隔多久阈值重复扫描。处理改成记录,先不要自动处理。
甲方群最新动态
上期话题回顾:
活动回顾:
近期热点资讯
超火爆的Fluent Bit曝关键漏洞,影响几乎所有云服务商
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。
- 0 文章数
- 0 关注者