2019年有幸作为外部专家参加了郭威组织的安全防守方案评估,犹记深夜热火朝天讨论台账和措施去留权衡,非常难忘。除了完整的技术方案外,郭威的实践更是完美的动员组织了全公司上下一心,全员皆兵。大型实战攻防演习活动在即,郭威的经验值得借鉴。
实录:各位群友,大家晚上好。一年一度 “保护饭碗筷行动”月即将到来,安全人都很激动,有上场的、有加油的、也有护腕看热闹的。本着“解决金融业安全最后一公里”的初心,斗胆在此分享去年在一线的所见、所思、所为,供有需要的朋友参考。
群里有银行老大哥,也有顶级攻击队,不禁要问,是梁静茹给了我勇气来“班门弄斧”吗?我是这么考虑的,一是我们的样本具有“解剖”意义,企业人员适中,基本环境均有覆盖,安全团队规模较小,所谓“麻雀虽小,五脏俱全”;二是希望借助分享,多听听大佬们的意见,帮助我们进步。
接下来,我将按照时间顺序,复盘前期的准备过程。然后提炼几个关键点,谈谈整体看法。最后是交流环节。现在开始正题。
T日接到通知,领导要求安全小组形成方案初稿,上最近一次会议汇报(这里的 T 代指收到参演通知的日期)。于是安全组吭哧吭哧,加班弄了5天,形成第一版方案,覆盖了运行部门、下属公司。 在 T+5 的汇报中,主要提到四个方面:
- 健全组织保障:总部+分公司均成立工作小组
- 全面风险排查:既然是攻防实战,于是从“攻击者”的漏洞视角着手,结合近几年各类安全检查(内部渗透、众测)发现的漏洞 + 外部案例 + 个人经验 全部梳理了一遍,要做的点大概如下图。
- 提升防护与监测能力:重点考虑了开发测试、VPN、AD账号等。当时,安全组在办公环境基本一片空白,除了SIEM,没有抓手。于是提出以 PoC 的方式,借助厂商力量,短时间内部署流量分析、主机IDS、蜜罐等产品。
- 开展内部“红蓝对抗”:设定了多个场景,包括路径打穿、木马外联检测、钓鱼邮件等。事实证明,时间不允许。
会上,领导未对方案提出异议。(记住这点)工作继续推进中。PoC方面,流量只抓了边界,HIDS 担心可用性问题,也只部署了几台边界代理服务器。T+10日下午,到GAB开会,发现形势比预想的严重,攻击阵容强大,号称“没有干不掉的系统”,对出问题的单位“点名批评”直截了当。作为行业首家参演单位,压力立马就上来了。于是修改方案形成2.0版本,从攻击者视角,也就是攻击路径角度进一步梳理风险。同时增加值班、联动机制、信息上报等流程类内容。上会讨论后增加以下内容:
- 定于 6 天之后;
- (上午)召开网络安全防护技术研讨会,邀请外部专家对现有方案做评审;
- (下午)召开靶标系统关联单位会议,明确注意事项,主管部门领导讲话;
- 制定台账,形成体系化的工作方案,诸如挂横幅这种琐碎的工作都要落实到人。
T+16日,召开方案评审会,史称“护碗遵义会议” — 挽救了党,挽救了革命。参会人员:
- (内部)主管部门领导、网监、CTO、各部门负责人;
- (外部)2018参演单位(能源、银行)、行业专家、乙方专家。
会上有几句话到现在我还记忆犹新:第一句:这件事在我们单位是作为政治任务来抓的。(潜台词:你们政治站位不够)第二句:我们今年红蓝对抗已经打了十轮了。(潜台词:你们投入远远不够)第三句:目前防守方人员比例太低,一般来说,攻防要做到1:1。(潜台词:缺人)同时,专家们提了各种风险点,比如弱口令、信息泄露(文库、GitHub等)、刷分、移动APP、供应链、物理入侵等等。给领导们来了一场“今日说法”,可能给领导的心灵带来了一丝冲击。当日下午,召开行业会议:通报整体工作,要求签署《加强网络安全防护自查表》。在表格回收过程中发现,关联单位400多家,通讯录“年久失修”。当时借了3个人,组成5人团队,跟房地产销售似的,一家家电话联系。到这个时候,我对“人”的管理思路就比较清晰了,给划出了三大类:
按照这个思路,接下来就是逐个击破了。
针对各个部门,我们召开了安全员会议,告知各部门和员工应注意事项,要求员工签署《加强网络安全防护自查表》,大概是酱紫:
召集物业公司专项会议,要求加强对大屏LED管控,加强来访人员监督。(现场来访必须逐个登记,电话确认)召开下属公司和异地单位会议,重点提醒异地机房、网络接入点管理,和第三方服务单位签署《承诺书》,要求“不存在已知的未修复”漏洞。最后,继续做好管理层汇报:
- 落实党管网络安全,向党委会汇报;
- 向上级监管部门报送工作动态。
至此,各级动员工作算是完成了。达到了所谓“完善组织领导,压实主体责任”的目标。以上,介绍了我们如何在不到一个月的时间,逐步将工作分解,并将压力传导到责任主体的过程,偏制度体系和管理体系工作。与此同时呢,技术工作也在逐步推进。技术方面,前面提到,按照攻击者视角,从攻击路径进行了梳理。由总部给出模板,各子公司和重要部门参照制定,最后汇总形成台账90多项,对应400多条工作清单,看起来400多条很多,但是经过拆解,具体到个人之后,安全组变成了管理推进和技术验证的角色,就可以集中精力做更有价值的事情了。接下来是演练期间的运作机制,组织层面设立了三个小组。
这个图当时自己拍脑袋想的,后来看了其他单位的演讲材料,发现大家都不谋而合。这里想说的是分析组,因为需要综合研判,一定要有自己的人,不可能完全外包。因为网络架构、业务情况,外包厂商很难在短时间完全掌握。演练期间,第一周波涛汹涌,第二周暗潮涌动,第三周回光返照。每一家可能情况都不一样,可能参考意义不大,这里就不展开了。由于纯粹技术防护应该不是今天的主题,这里也不详述,有需要的可以提问交流,现在进入小结阶段。护碗工作写起来,其实内容很多、很庞杂。今天选取前期准备这个点切入,是希望“解剖”一个样本,回答以下问题。第一,为什么派活。第二,给什么人派活?第三,怎么开心的派活。第一个问题我觉得:
- 真的干不过来;
- “网络安全靠人人”不是口号,切实需要全员参与;
- 护碗是良机,要珍惜。
第二个问题:上文的图中已经分了三类。注意“派活”不仅要向下,更要“向上”。第三个问题:贴上我之前的一个回答。这是个见仁见智的活儿,说下我们的做法供参考。有些是调侃,权当玩笑。
- 召开外部专家方案评审会。“外来的和尚好念经”,你说再多,抵不上领导心中“牛逼单位”的人过来简单说几句。念经要给领导营造两个印象 ,“护网这么重要,你们公司目前这个投入看起来不够重视啊(比如资源投入不足,内部动员不充分)”、 “咱们安全团队提的这些采购需求很好很重要,买,一定要买”。
- 多向上汇报。要相信,领导不是不重视,他只是不够了解。要有一哭二闹三上吊的架势,技术委员会、总办会、党委会,能上的会都上去汇报,目标就是要资源、定预期。如果领导能准备说出 HW 的启动时间,那就成功了一半。
- 换位思考。有时候领导不是不投入,是真不知道咋投入。HW 这么大一工程,你给出的方案最好是逻辑连贯、内部有基础、外部有支撑、进可御敌千里、退可甩锅四大行。
当时有朋友问“进可御敌千里,退可甩锅四大行”是啥意思。其实是调侃,大家都知道四大行做的好,NO.1。如果你的方案是参照四大行制定的,回头执行起来出了问题,领导也会觉得“我尽力了”,心里负担轻松一些。最后,希望大家可以灵活使用上面的方法,举两个例子:
- 举办一场方案评审会,提前和评委沟通好你的痛点。
- 抓住给领导写讲话稿的机会,推动平级部门整改。
最后的最后,作为关基单位,责任重大、使命光荣,希望大家都能以“最高标准、最严要求、最佳状态”享受这一过程。介绍就到这里,不好意思超时了。
提问环节 Q:郭总,各部门的有效协调与配合战很重要,除了高层重视和压实责任,在实际的防守细节中,如何调动各部门一线人员的积极性,是否能让其真正成为一种乐趣或使命?A:个人感觉,乐趣很难。但是大家使命感很强烈,谁都不希望成为突破口,当时大家报送安全线索的积极性很高,反而是分析遇到了瓶颈。
Q:请教郭总几个问题
- 管理上护碗活动中台账和清单中任务怎么安排起来不会流于形式,安排下去不难,如何收上来,有效的落实好,请问你们是怎么把握控制点的。
- 去年的清单或台账作为贵司有效的管理手段之一,有没有考虑今年采用什么IT系统支撑一下。
A:这个我们也做的不是很全。但有几个关键点我们是人工“肉搏”的。比如:
- 下属公司与总部的网络通路,找了个周末,断掉所有网络连接,然后一条条找记录再添加回去,发现了不少any类型的acl。
- 测试环境更粗暴,全部重新申请。
- 官网注册用户弱口令、员工弱口令,直接写脚本跑。
目前没有支撑。看起来很多都是偏管理的,不像漏洞管理,做成工单,直接点下复测按钮就能验证。
Q:感谢郭总经验分享,人工肉搏中的1、2点很霸气,一般没有力度那就是“不可能完成的任务”。想请教个问题,网络中内部资产梳理如何实现呢?A:人工肉搏,其实也可能安全组上。这个需要有一位大领导出面。网络资产梳理,我们大概用了主动扫描 + 主机Agent + 云管平台(测试环境) + excel(跑不掉的)
Q:HIDS都需要agent 我们各应用系统对应的操作系统都安装了至少三四个代理 现在系统负责人都比较反感A:这是安全面对的共性问题,往往运维上了3、4个agent,安全上1-2个(av+siem),如果再增加,就很难说服对方。这个时候,可以考虑找“共同利益点”,比如上了hids,除安全信息之外,网络连接信息、资产信息可以共享给运行部门。这样大家就有动力上。
Q:郭总,谢谢细致专业的分享!我想请教的问题是,你们如何做到外网资产梳理的,如何在有限的实践内快速收敛攻击面(我们分公司多,人多、分公司互联网系统也不少)?A:资产梳理与攻击面收敛,看到过一些好的经验材料。核心应该是互联网出口统一管控,可以统一走总部,或者各分公司报备
Q:非常精辟,学习收藏了,感谢郭总。请问你们为HW投入多少正式员工或外协,以及职责分工情况?多少钱,新建或临借多少设备?多谢A:正式员工 8个,外部单位 9(一线监控)+2(负责综合研判)。费用不方便透露。当时新上设备都是PoC临借。
Q:感谢郭总,想请教下对历史的高危漏洞是基于什么原则做整改的,有什么好的推动的思路?A:高危漏洞:资产重要性 * 利用可能性 * 漏洞级别,三个维度加权。所以先补边界资产和核心资产,RCE漏洞优先。推动思路:“护碗”这个还不够吗?日常是以行业检查、等保测评进行推动。
Q:利用可能性怎么判断的?A:这个并不是很精准的数值,属于比较粗的划法。比如边界设备的利用可能性高过内部设备;交互性高的服务器高于冷门设备。
Q:郭总,谢谢细致专业的分享!我想请教的是,内部资产的梳理、安全加固、访问策略优化等需要做到什么颗粒度?A:靶标系统做到了协议类型、协议内容级别。办公系统,基本上就是进程+网络端口
Q:郭总文武双全,确实厉害,我想问下协调外部单位这个对有业务来往的单位是明确责任?还是对业务做了调整?A:明确责任哈。
Q:还有个问题 类似青藤云、安全狗这类产品 怎么说服管服务器的同事或者项目组?实际测试结果吗?A:护碗之前,我想都不敢想能在所有服务器装agent。回过头看,这事儿干成,大概有以下几步。
- 有需求:我们发现了一些DGA木马,告诉领导,因为缺少安全手段,安全组是个瞎子;
- 有保证:xxx单位都上了,运行稳定,我相信这个产品得到了充分验证;
- 拍胸脯:如果上了,再出现问题发现不了,是我安全组的责任。如果不上,我们无法责任共担。
- 当然,实施路径上,肯定是分批部署,主备机先上备。跑一周ok了再上主。
群友:通过真实事件危害,权威证明,责任共担的方式来增强说服力。群友:是不是可以先从不是很重要的站点开始,一点点往上加?A:不一定。这么做的话,要先把规划和推进规则定好。不然越来越难推。如果是我的话,可能先从最容易出效果的地方推起。
Q:我有个问题,对于敏感行业 外包这快如何控制风险的,尤其是安全外包?A:如果是物理性风险,比如大脑记下你的拓扑结构,回头针对性攻击,没有特别好的方法。非物理性,技术上,外包没有互联网权限,全在vdi里面。管理上,签署保密协议。追问:你们的外包策略是常态了么?A:以前都是项目外包,买具体的产品。今年开始买服务,不出意外的话,以后就是常态。
Q:方便介绍下护网时的情报共享么?A:这个问题其实都很深刻,情报这块我们做的一般。护碗用的nta自带ti,和平时没区别,误报也很多,对dga识别能力基本为0。相比平时,可能多了人工情报,TI老板会把其他客户的真实信息同步过来,在系统上已实现。
Q:感谢郭总,想请教下对历史的高危漏洞是基于什么原则做整改的,有什么好的推动的思路?A:高危漏洞:资产重要性 * 利用可能性 * 漏洞级别,三个维度加权。所以先补边界资产和核心资产,RCE漏洞优先。推动思路:”护碗“ 这个还不够吗?日常是以行业检查、等保测评进行推动。
Q:郭总,谢谢细致专业的分享!我想请教的问题是,你们如何做到外网资产梳理的,如何在有限的时间内快速收敛攻击面(我们分公司多,人多、分公司互联网系统也不少)
A:资产梳理与攻击面收敛,看到过一些好的经验材料。核心应该是互联网出口统一管控,可以统一走总部,或者各分公司报备。
Q:感谢郭总分享,请问关于“第三方服务单位签署《承诺书》,要求“不存在已知的未修复”的漏洞”,这里的漏洞指的是高危漏洞还是?
A:当时好像写的是高中危。
Q:感谢郭大佬,整个回顾过程逻辑清晰。而且各个节点对安全组的安排也很到位。有一个小问题,因为在接受到护碗任务后,相信主要的协调人员一开始应该是安全组的同事,但是随着应急组织机构的完善,沟通协调事项增多,这个环节应该是很缺人的,我想问的就是,在人的管理上,怎么应对短期内安全组思维方式的转变,还有就是您感觉从哪类部门抓壮丁最有效或者是抓什么样的壮丁效果最好A:抓人要跟需求相匹配。比如:
- 消息组,主要负责信息的上传下达,部门内部协调即可。
- 分析组,是核心,不能靠抓壮丁解决。
- 处置组:找运行部负责网络、基础设施、应用的各一名负责人,加上测试环境负责人一名。
- 思维的转变其实还好,因为我们安全组日常也会牵头一些集团层面工作。
Q:请问,作为护腕单位,需要配备有攻击技术的技术人员吗?这部分外包可以吧?A:攻击可以外包,买红蓝对抗服务。
Q:因为肯定有一些新买的设备,所以感觉分析组外包给厂商比较合适。A:新买的设备也只是系统使用层面,综合分析研判,还需要结合业务,多设备信息关联,所以最后还是要自己的人主导。
Q:感谢郭总的分享,学到了不少经验。另想请问下,安全要监测防护的点很多,各种安全设备也很多。在演练实战期间,哪些关键点的安全检测防护能力发挥出了最好的效果?A:1. 还是要上HIDS;2. 抓重要设备,重要设备可以参照下图进行梳理。
Q:谢谢郭总。请问红蓝怎么融合在hw中?有什么好流程解决吗?靠事件处理流程制定还是?A:红蓝一般在护碗之前开展,用来发现管理、技术上存在的问题。
Q:郭总,最近就是子公司收到集团的要求,也开始上一些设备,做一些整改,但目的是为了应对集团要求,设备性能和效果一般,整改进度较慢,这种情况有办法吗?A:可以考虑将大家的整改情况做成表格,量化排名数据,按周报送给各部门领导。