安全扫描技术操作规范

安全组会使用多种安全工具(免费、商业、自研),周期性地执行以下技术安全扫描操作:

项目说明周期工具
读写共享文件夹扫描Everyone可读的共享文件夹存在数据泄漏风险;Everyone读写权限的共享文件夹易成为病毒传播的媒介每周SoftPerfect Network Scanner 6.2.1
授权:免费
Windows弱密码扫描检查是否存在弱密码;是否符合公司密码策略每周Medusa
授权:开源
SQL弱密码扫描检查是否存在弱密码;是否符合公司密码策略每周Hydra
授权:开源
未加域机器扫描机器不加入公司域会造成组策略、登录脚本和安全更新无法应用到主机每周Microsoft Baseline Security Analyzer (MBSA)
授权:免费
系统漏洞扫描使用非特权账号,对所有开放的TCP/UDP端口执行网络扫描,根据漏洞数据库检查发现已知漏洞每月OpenVAS
授权:开源
防火墙规则扫描检查可能的防火墙规则配置错误,避免不应该开启的端口曝光在公网上每月ScanLine
授权:免费
防病毒软件安装扫描检查Windows平台防病毒软件安装情况每月Trend Micro Vulnerability Scanner
授权:随安全产品捆绑
微软补丁应用扫描检查Windows平台Service Pack和Hotfix应用情况每月Microsoft Baseline Security Analyzer (MBSA)
授权:免费
域用户登录扫描未使用域帐号登录操作系统会造成组策略、登录脚本和安全更新无法应用到主机每月PsLoggedOn
授权:免费
数据库安全扫描检查数据库服务器不安全的参数配置,并建议安全最佳做法每月(内部服务)
每周(对外服务)
SQLdict
授权:免费
Scuba
授权:免费
Microsoft Baseline Security Analyzer (MBSA)
授权:免费
Web应用安全扫描对Web应用进行安全扫描,防止可能的黑客对我们的应用未经授权的访问并窃取敏感数据
参考:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
按需/每季度Arachni
授权:开源
OWASP Zed Attack Proxy (Paros Proxy)
授权:开源
Acunetix Web Vulnerability Scanner
授权:评估版
Netsparker Web Vulnerability Scanner
授权:评估版

 1,054 total views,  2 views today

一套系统漏洞管理办法

漏洞管理介绍

目标:根据漏洞管理成熟度模型(下图),在Q2实现Level 1-2的成熟度(基本流程、基础指标、定期扫描),在Q3-Q4实现Level 3的成熟度(基于风险的优先级判断、趋势)。在2019年度实现或接近Level 4-5的成熟度(全设备管理、防范APT攻击;与业务目标协同、持续修复):

范围:

  • 数据中心:服务器、网络设备、各业务系统
  • 办公室:办公电脑、IT服务器、网络设备(包括VoIP话机、IoT设备)
  • 云平台:阿里云、腾讯云
  • 终端:小黑鱼iOS、Android客户端

流程:

  • 识别资产(服务器、网络设备、应用)并根据部门分类
  • 使用漏洞扫描器查找已知漏洞并确定风险等级
  • 确认漏洞上报平台(内部、外部)或威胁情报平台提交的漏洞并确定风险等级
  • 漏洞修复
    • 测试补丁/方案
    • 应用补丁/方案至生产环境
  • 漏洞修复重扫/确认
  • 知识沉淀(知识库、流程/配置优化)

方法:

评价指标:

  • 平均检测时间 (MTTD)
  • 平均响应时间 (MTTR),或平均修复时间
  • 扫描覆盖率
  • 暴露窗口期
  • 未修复的高危漏洞数
  • 经授权暂不修复的漏洞数
  • 漏洞重启率
  • 不含任何高危漏洞的系统数

漏洞上报奖励办法

外部”白帽子”版本:略

内部员工版本:略

注:奖励标准内、外部保持一致。

漏洞提交模板

漏洞标题:

漏洞类型:

  • 应用漏洞:上传类漏洞、代码执行、SQL注入、XSS攻击、CSRF、逻辑类漏洞、信息泄露
  • 系统漏洞:服务器端口漏洞、信息泄露、代码执行、权限提升
  • 终端漏洞:越权访问、信息泄露、逻辑错误、组件漏洞
  • 安全事件:安全情报、入侵事件
  • 其他

关联系统:

漏洞详情:

  • 详细说明
  • 漏洞证明
  • 修复方案

时间表

TBD

流程图

漏洞提交

安全测试申请(新上线扫描、漏洞复测)

修复申请(已知漏洞修复、”豁免”漏洞修复)

 1,175 total views,  6 views today

系统漏洞扫描自动化平台实现可能性的简单评估

经过评估,当时选出的候选工具如下。后面就看如何整合了:

工具类型地址说明
巡风基于网络https://github.com/ysrc/xunfeng指定高危漏洞的快速扫描
OpenVAS基于网络http://www.openvas.org/SCAP: NVT, CVE, CPE, OAVL
CERT: CERT-Bund, DFN-CERT
Lynis基于主机https://cisofy.com/lynis/本机加固辅助工具,集中化展示需Lynis Enterprise企业版

需求:

  • 资产(IP)自动发现
  • 漏洞扫描

工具评估:

https://www.ocsinventory-ng.org (with GLPI or FusionInventory)

http://www.open-audit.org/

评估结果:仅资产管理功能

Microsoft Assessment and Planning Toolkit (软件资产管理)

评估结果:仅资产管理功能,可生成完整软件安装列表

SeMF:https://gitee.com/gy071089/SecurityManageFramwork 

评估结果:抓取信息维度不够(仅IP)、扫描器暂时只支持Nessus 6已停售,新项目

巡风:https://github.com/ysrc/xunfeng

评估结果:资产发现+漏洞扫描(自定义插件)。捕获信息全

注:Zabbix Agent侦听端口10050需添加例外或在iptables中禁止 

iptables -A OUTPUT -p tcp –dport 10050 -j DROP
iptables -A OUTPUT -p tcp –dport 10051 -j DROP

OpenVAS: http://www.openvas.org/ 

评估结果:中危以下漏洞较多,建议闭源的Nessus或其他商业扫描器

Vuls: https://github.com/future-architect/vuls 

评估结果:检出率一般

Lynis: https://cisofy.com/lynis/ 

评估结果:本机加固辅助工具,扫描结果集中化展示需Lynis Enterprise企业版

 831 total views,  5 views today

企业应如何选择SD-WAN产品?

什么是SD-WAN

SD-WAN(软件定义广域网)是构建广域网的一种新方法,通过将网络硬件与控制功能分离(解耦),简化了WAN的管理和操作。这一概念与SDN(软件定义网络)通过虚拟化技术改善数据中心管理和操作的原理类似,但SDN是对现有网络架构的全面革新,而SD-WAN则像是增量变化,现有WAN架构可以方便地新增SD-WAN功能。这种方法解决了传统广域网对带宽成本、部署和重新配置所需时间等问题的担忧,因此SD-WAN在企业中更易推广,特别是分支机构较多的企业。知名IT咨询公司Gartner在2018年预测,至2023年超过90%的WAN边缘基础设施的更新计划将基于vCPE(虚拟化用户终端设备)或SD-WAN方案。

SD-WAN是SDN(软件定义网络)技术的重要分支,也是现阶段商业上最成功的SDN应用。对于原先重度依赖昂贵的MPLS技术组网的企业用户,迁移至基于Internet宽带的SD-WAN带来的投资回报率是非常高的。当然不是所有的场景都适用单一Internet宽带接入,对于VoIP或远程视频这样对延时、丢包、抖动(jitter)非常敏感的应用,仍需考虑将MPLS或专线整合进SD-WAN方案中。

传统WAN组网方式的问题

长久以来,企业通常依赖如下几种方式来组建WAN:

  • 点对点专线

企业与ISP服务商签订合同,总部与分支机构间通过光纤直接互连,适合部署规模不大的场景。当节点数上升到一定程度时,无论是采用全网状拓扑(费用高)还是星型拓扑(中心节点带宽阻塞)来部署,都会遇到实际的限制。由于理论上这条专线是申请企业独享,因此通常不需要在合同中对QoS等级进行约定。

(点对点)

(星型拓扑)

(全网状拓扑)

  • MPLS VPN

企业与ISP服务商签订合同,在每个用户节点部署MPLS路由器(即CE路由器),与运营商的PE路由器相连。由于服务商PE路由器间是近乎全网状的拓扑,因此每个用户节点的CE只需和所在地最近的PE互连,就可以与所有节点互通。显然,PE路由器间传输的流量不单只有该企业一家,因此通常需要在合同中对QoS等级进行约定,以确保在CE路由器上标记了高等级的数据包能够在PE间被优先转发。以中国电信为例,其QoS等级分钻石、白金、金、银、铜5个等级,满足客户不同应用的指标要求。

  • IPSec VPN

基于Internet宽带的IPSec VPN,通常在办公室出口防火墙上进行配置。成本低、部署快、配置灵活,适合对延时、丢包不敏感的场景。实际部署中,也可以通过BGP、OSPF等路由协议配置成MPLS专线的冗余线路。但IPSec VPN最大的问题是Internet上的QoS无法保证。不像MPLS VPN,运营商不会在合同中约定QoS等级,技术上暂时也无法实现。

需要说明的是,虽然IPSec VPN方案同样相当便宜,但是当节点数非常多的时候,全网状拓扑的IPSec VPN网络全靠人工手动配置已不现实,非常依赖防火墙设备厂商提供更为智能化的配置功能,例如Cisco DMVPN、Fortinet ADVPN等功能。(传送门:Technical Note: Fortinet Auto Discovery VPN (ADVPN)

SD-WAN如何工作

SD-WAN支持多种连接方式,如Internet宽带、MPLS、专线、4G/LTE等。其利用相对廉价的Internet宽带线路来承载原先在MPLS网络中传输的全部或大部分流量,而低延时低丢包率需求的流量仍通过MPLS或专线传输。大部分厂家的SD-WAN产品还支持4G/LTE的接入,以作备用线路(低延时高带宽的5G到来后,说不定可以作为主力)。

SD-WAN将底层硬件与管理功能分开后,通常会提供一个集中的控制器来管理WAN连接,设置应用流量策略和优先级,监测WAN连接可用性等。对于应用程序来说,不需要了解底层的WAN连接究竟是什么。例如,假设同时连接了MPLS和Internet,那么可以将一些重要的应用流量,例如VoIP和远程视频分流到MPLS,以保证应用的可用性;对于一些对带宽或者稳定性不太敏感的应用流量,例如文件传输,可以分流到Internet上。

需要说明的是,上述案例中的SD-WAN设备供应商可能会要求MPLS接入也选用其服务(即无法利用原有的MPLS网络),否则Internet线路中断后,SD-WAN终端设备可能无法与“云”上的中央控制器通讯(MPLS通常都是私有网络)。当然4G/LTE也是一条备用通道,但是一般都需要额外收费,同时带宽和延时也无法保证。不过相信等到2020年5G网络的全面商用后,应该会有更经济的故障转移方案。

SD-WAN的优势

概括来说,SD-WAN在成本、敏捷性和灵活性、可见性和可控制性方面为企业带来优势。

低成本

SD-WAN带来的低成本优势体现在两个方面。一是替换或部分替换MPLS专线带来的费用节省,同比例带宽情况下,每年可节省30%-70%的带宽费用。同时对于零售、餐馆、医疗保健、加盟店这类场景中的小型门店,入门级SD-WAN网关设备的价格也比常见的支持IPSec VPN自动组网的网络防火墙价格要低。一些基于ARM架构的SD-WAN网关小盒子,批量采购价甚至能低至数百元。

另外,运营成本也降低了。传统WAN组网需要高级网络工程师的参与和后期维护,现阶段的SD-WAN技术仍无法完全消除这一需求,但它能通过简化部署和管理来最大化人力和工程资源(更少的人管理更多的设备)。部分集成了安全功能(防病毒、IPS/IDS、URL过滤等)的SD-WAN方案可以进一步节省硬件和管理成本,网络防火墙、安全网关、WAN路由器全都整合进了SD-WAN设备中。

敏捷性和灵活性

SD-WAN允许IT部门更快地响应业务需求。市场风云变幻,企业迫切需要快速开辟一个分支机构,但新申请一条MPLS线路可能需要1-3个月。SD-WAN借助Internet宽带可以在几小时至2周(新申请Internet线路的时间)内部署完成。如果厂商提供4G/LTE甚至未来5G接入的话,开通速度还能更快,因为不需要向运营商申请光纤资源。

MPLS通常需要拥有专业知识的网络工程师现场配置网络设备,但SD-WAN可通过零接触配置(Zero Touch Provisioning)功能使设备自动注册到中央控制器,并快速上线。

可见性和可控制性

获得对WAN上流量的可见性是获得控制权的第一步。由于所有的SD-WAN终端都会注册到中央控制器,管理员可以天然地获得全局网络可视性。而在传统WAN架构中,这一视图可能需要额外的应用程序和时间成本来部署实现。

主流的SD-WAN解决方案不仅提供深入的应用程序智能,还使IT人员能够将应用程序优先级、性能与业务意图保持一致。企业可以从对传统应用和云应用的高度可见性中受益,并获得分配策略以保护和控制所有WAN流量的能力:

SD-WAN架构和部署方法

除了Cisco、VMware、Silver Peak这些国外头部玩家,光国内就至少有几十家在做SD-WAN产品的厂家。由于最初是由技术推动的应用(而不是厂商联盟),行业内并没有统一的定义,各行业分析咨询机构如IDC、Gartner等都有着不同的定义和标准。

Gartner最新WAN边缘架构魔力象限图

既然没有一个实际的标准衡量,每家的技术差别很大,实现方式和功能千差万别,要理顺他们殊为不易。有些是传统UTM或NGFW防火墙新增了SD-WAN功能,有些是原本做WAN优化(广域网加速)的厂商转型,有些是公有云厂商利用天然的机房资源和带宽优势试水SD-WAN。因此,小编准备在下一篇文章中再来为大家详细介绍。各位如果对某一家厂商的SD-WAN产品特别感兴趣,也可以给小编留言。我们下期再见吧:)

 923 total views,  2 views today