随着攻防对抗强度的加大,安全工作者“疲于奔命”的感受越来越深。在攻防对抗中,攻易难守,攻击只需要突破一个点就可能拿下目标,而防守者却要面面俱到。尤其是随着业务系统的不断扩张,攻击面也在与日俱增,安全运营成本不断增高。
面对这种被动局面,作为防守方的企事业单位该如何应对不断升级的攻击手法,构建常态化的安全防御体系?对此,瑞数信息安全响应中心研究员陆攀给出了四个对策:
防御策略一:战线整理-缩小攻击面
攻击的本质是信息收集,收集的情报越详细,攻击难度也就越小,成果也就会越丰富。因此,防守队可以进行战线整理,加大攻击队信息收集的难度,缩小攻击面。同时,做好以下六点,能够减少90%以上的攻击面:
敏感信息排查:排查扫描敏感信息是否有泄露到公网上,如源码、账号密码、人员信息等。
攻击面收敛:排查攻击面,如常见的网站后台、测试系统、僵尸系统、高危服务端口等。
攻击路径梳理:梳理每个业务系统的访问路径,尤其是重要系统、全国联网系统。
安全措施排查:梳理每个系统的安全防御情况,如安全补丁、访问策略、安全加固定等。
外部接入网络梳理:梳理外部接入情况,如上下级单位、供应链服务商的网络接入等。
隐蔽入口梳理:梳理隐蔽入口的梳理,如私自搭建的WIFI、不用的VPN入口、远程办公等。
防御对策二:供应链安全
面对越来越多的供应链攻击,可以基于以下四点来建设:
供应链管理策略,建立健全内部安全管理制度和标准规范,将软件供应链安全融入已有的安全管理安全技术体系中,审查供应商的安全实践、软件开发生命周期等;
保障供应链完整性验证,监测是否被篡改过;
供应商访问控制,比如实现最小权限访问原则、制定高强度密码机制等;
安全测试,定期对供应链软件和产品做安全测试和漏洞评估。
防御对策三:社工安全
针对人员安全意识建设是一个永不过时的需求,可以从以下四点出发:
安全意识:定期对全员工进行安全培训,组织内部钓鱼邮件演练,不断持续强化防范措施。
部署钓鱼邮件检测设备:部署反垃圾邮件网关、钓鱼邮件检测设备、邮件内容过滤系统等,过滤可疑邮件链接和附件,主动发现钓鱼邮件恶意链接、恶意附件,主动拦截邮件并及时通知用户。
终端侧安全:及时更新漏洞补丁,避免远程命令执行、本地提权等常用漏洞,安装杀毒软件更新,对落地文件静态+动态查杀扫描,做到即使被钓鱼了,但是不沦陷。
网络侧安全:钓鱼成功但是不出网,危害小一大半。出网策略严格限制,如:根据白名单、IP域名白名单进行全流量监控、网络安全访问控制划分;还可以针对钓鱼邮件攻击进行溯源反制,获取攻击者信息。
防御对策四:0day防御
针对最难防御的0day,可以从以下四点去建设:
全方位防控:针对所有流量、日志、主机行为进行监控分析。
核心防御:集中力量办大事,对核心系统、重要系统、集权系统、靶标系统进行重点防御,如:设置严格访问策略、多因素登录、安全加固等。
安全设备:部署安全设备:一是蜜罐,对0day实施诱骗和诱捕;二是动态防御设备,防御0day批量探测、扫描和工具利用。
威胁情报:建设威胁情报体系,第一时间获取最新的0day信息,提前做好部署,防患于未然。
