APT攻擊防護方案:采用整合型產品進行全方位防護
原創一、網絡現狀
假設軍情六處目前有計算機500臺,沒有分域管理,所有計算機在1個網絡中,出口部署有防火墻,以抵御互聯網常見攻擊,內部網絡中的計算機安裝有單機版防病毒軟件,并定期更新。
網絡中有約50臺服務器,部分采用了虛擬化。
正是因為這樣的粗放型管理方式,導致病毒、木馬、蠕蟲泛濫,并產生過黑客滲透到內部網絡的安全事故——對,在《007:大破天幕殺機》中各位已經看到!
二、脆弱性與威脅分析
由于目前的網絡完全是10年前的網絡結構,因此我們建議將網絡按照不同的應用分為如下三個區域:
互聯網區:100臺計算機,用做資料查詢、網絡信息發布等用途。(本區域也有服務器,但由于做信息發布,不存儲敏感信息,因此不單獨分析。)
辦公網區:400臺計算機,存有大量敏感信息,并嚴格控制不能在互聯網發布。
服務器區:從屬于辦公網區,但因功能不同,獨立分析。
不同的安全區域實施嚴格的訪問控制策略,特別是互聯網區,物理上與辦公網區、服務器區分開。
下面分析脆弱性與威脅:
1、互聯網區
來自于互聯網的木馬、病毒、蠕蟲。
U盤、移動硬盤等移動存儲介質帶來的惡意軟件、信息外泄。
打印帶來的安全問題。
主機IP和MAC容易被篡改帶來運維和安全風險。
刻錄機帶來的安全風險。
虎視眈眈的黑客帶來的各種威脅。
自帶設備(BYOD)帶入內部網絡帶來的安全風險(木馬、病毒等)。
隨著手機、平板電腦的流行而帶來的移動設備管理(MDM)問題。
遠程辦公帶來的安全問題。
2、辦公網區
來自于互聯網區的威脅,辦公網區同時存在,同時:
重要文檔在流轉過程中的安全問題,如不具備某文檔閱讀權限的人有可能接觸、打開、復制、打印該文檔。
自帶設備(BYOD)帶入內部網絡,并自動攻擊內部主機、服務器,并將重要資料復制到BYOD設備,在聯網時回傳到黑客指定地址。
同上,U盤、移動硬盤、光盤也有可能在外部感染木馬,并通過上述方式攻擊內部計主機、服務器,然后"輪渡"到外部。
對服務器、應用系統的資源占用、響應無實時監控手段。
主機、應用系統登錄安全問題。
3、服務器區
來自于互聯網區、辦公網區的威脅,服務器區同時存在,同時:
管理員權限過大,可通過在交換機鏡像或ARP欺騙的方式捕獲內部人員的帳號、口令。
管理員可直接在服務器上讀取OA、E-Mail等的敏感信息。
管理員可直接接觸到核心數據庫,容易產生誤操作,或惡意操作。
蠕蟲、病毒,往往會掃描服務器,進行"額外照顧"。
低權限管理員有可能利用此權限,"提權"后進行越權、高危操作。#p#
三、解決方案
1、管理手段
加強安全基礎知識培訓,如補丁、口令等知識。
完善管理制度,并確定可執行的策略。
2、技術手段(產品部署與安全策略)
2.1 互聯網區
由于本區域聯通互聯網,不存儲任何敏感信息,因此最重要的是保證網絡的連通性,以確保網絡聯通為主,部署如下:
下一代防火墻:部署在互聯網出口和核心交換機之間,開啟安全防護模塊,用以抵御黑客攻擊、實現網絡病毒過濾、反垃圾郵件、反釣魚郵件,同時進行上網行為管理,對惡意、非法網站進行URL過濾,同時開啟網絡流量控制,保證業務流量。對遠程辦公用戶,采取VPN撥入方式保證數據傳輸安全。
終端安全管理系統:文件操作審計、打印管理、光驅刻錄管理、IP地址管理、非法接入控制、非法外聯管理、移動存儲介質管理、資產管理、軟硬件安裝管理、文檔加密、ARP防護。
網絡防病毒軟件:制定統一的防病毒策略,實現整網病毒防范。
日志綜合審計管理系統:Windows/Linux服務器日志收集與分析;路由器、交換機、下一代防火墻日志收集與分析;數據庫操作日志收集與分析。同時旁路部署該設備,以實現網絡數據庫審計的功能。
補丁管理系統:建議采用微軟WSUS,進行補丁管理。
漏洞掃描系統:對網絡設備、應用系統、Windows、Linux等的定期漏洞掃描。
CA服務器:配合USB-KEY,實現開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。
WEB應用防火墻:對SQL注入、XSS跨站攻擊等進行防范。
主機入侵防護PC版:實現主機層面的入侵防御。
2.2 辦公網區與服務器區
重要敏感信息全部存儲在本區域,因此防護級別較高,部署如下:
下一代防火墻:部署在互聯網出口和核心交換機之間,開啟安全防護模塊,用以抵御黑客攻擊、實現網絡病毒過濾、反垃圾郵件、反釣魚郵件,同時進行上網行為管理,對惡意、非法網站進行URL過濾,同時開啟網絡流量控制,保證業務流量。對遠程辦公用戶,采取VPN撥入方式保證數據傳輸安全。
終端安全管理系統:文件操作審計、打印管理、光驅刻錄管理、IP地址管理、非法接入控制、非法外聯管理、移動存儲介質管理、資產管理、軟硬件安裝管理、文檔加密、ARP防護。
網絡防病毒軟件:制定統一的防病毒策略,實現整網病毒防范。
日志綜合審計管理系統:Windows/Linux服務器日志收集與分析;路由器、交換機、下一代防火墻日志收集與分析;數據庫操作日志收集與分析。同時旁路部署該設備,以實現網絡數據庫審計的功能。
運維安全審計與管理系統:telnet、SSH、Windows遠程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等應用協議的認證、授權、審計、賬號管理。以錄像形式存儲內部管理員、第三方運維人員的各種操作。
網絡運維監控系統:支持對網絡設備、安全設備、服務器、中間件、數據庫等的流量、運行狀態監控
補丁管理系統:建議采用微軟WSUS,進行補丁管理。
漏洞掃描系統:對網絡設備、應用系統、Windows、Linux等的定期漏洞掃描。
CA服務器:配合USB-KEY,實現開機登錄、OA登錄、電子郵件簽名、文檔簽名等功能。
主機加固系統:對Windows、Linux服務器進行加固。
網絡入侵檢測系統:采用旁路抓包方式,對整網流量進行監控,對內網的蠕蟲、木馬、攻擊行為進行有效監控。
主機入侵防護PC版:實現主機層面的入侵防御。
主機入侵防護服務器版:對服務器進行入侵防護。#p#
四、產品清單
1、互聯網區
2、辦公網區與服務器區
五、方案特色
采用整合型產品,在保證性能的同時,減少故障點。
對主機、網絡、應用層的APT進行全方位防護。
在保證安全的前提下提供便捷措施,如VPN,同時提供MDM。
BYOD防護(終端安全管理、HIPS等)。
移動存儲介質、打印、刻錄管控。
日志綜合管理可對服務器、網絡設備、安全設備運維日志進行統一管理。
運維審計可對網絡設備、服務器、數據庫等進行統一運維管理。
