- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
13.2 终端安全
内网终端是我们日常工作接触最多的设备,也是企业内网安全防护需要重点关注的战场之一。终端用什么样的操作系统,允许安装什么样的软件,系统和软件补丁怎么打,用户的权限是管理员还是普通用户,必须满足什么条件才允许接入内网,满足什么条件才允许访问互联网,恶意软件查杀,各种外设管控等等,都是终端安全领域不可回避的话题,也有很多基础的工作要做。有些企业采用各种封堵的技术方案来控制,比如,终端电脑不允许上外网、不允许使用 U 盘、外发邮件需要审批等;还有的企业考虑到人力成本,往往将一些基础工作外包出去,普通用户没有管理员权限,需要安装软件时会有专门的人提供支持。我们不去评判其好坏优劣,毕竟鞋子合不合脚只有自己才知道。
终端安全涉及资产管理、补丁管理、终端准入、防病毒、外设管控、上网行为管理等诸多内容,每一个话题又是一个细分的领域。对企业敏感数据保护有要求的企业,往往在终端上还会部署一些文档加密、DLP 类的程序。终端标准化做得不好的企业,可能终端上的环境非常复杂,尤其是安全软件相互“打架”产生的兼容性问题。为了不陷入其中,我们以攻击者的视角,来看终端安全需要关注的技术点。注意这里有一个假设的前提:终端资产的重要性(包括拥有的数据价值)远不如后台服务器,所以攻击者往往都会以终端为跳板进行深入。我们以图 13-1 所示的终端安全为例进行分析。
图 13-1 终端安全威胁
终端在办公网前台区域,存在的风险主要包括以下几个场景:
场景一 终端用户私接 U 盘,U 盘所带的木马病毒在办公网中传播,进一步感染办公网后台重要服务器。
场景二 终端用户通过 3G 上网卡或随身 WiFi 设备私接互联网,无意感染病毒被黑客远程控制,黑客以此为跳板进一步侵入企业内部。
场景三 终端用户通过上网防火墙访问互联网,无意感染病毒被黑客远程控制,黑客以此为跳板进一步侵入企业内部。
针对场景一,我们的对策是:操作系统基线配置,不允许应用程序直接从 U 盘、光盘自动启动,结合防病毒软件进行查杀。针对场景二,我们的对策是:结合终端外设管理封禁无线、蓝牙等功能,防止非法外连,同时在终端上部署外连探测程序,检测网络连通性以发现非法外连的可疑行为。针对场景三,我们的对策略是:上网通过沙盒虚拟桌面上网,结合上网行为、下一代防火墙对恶意域名、地址及恶意文件进行拦截。当然,用户访问的恶意 URL 可能来自于邮件系统,可以在邮件系统中提前干预,不让这类 URL 来到终端。
如果那个假设前提不成立,即终端上有比较重要的数据,除了上面提到的对策使之进不来、带不走之外,最好还要对数据进行脱敏、加密处理,对敏感数据的外发进行拦截等,这样,即使终端被控制了,重要数据也能得到保护。关于数据安全这个话题,我们将在第 14 章进行阐述。
在企业中,有一些特殊终端电脑需要关注,往往其使用者身份较高,安全执行不到位或者执行困难的企业,往往对这类人采取比较宽松的管理方案,比如可以直接上网,不受限制等。而恰恰是这类终端电脑,其上面的资料可能比普通员工的重要很多,所以需要重点关注。为其设置特殊的网段使之与其他终端隔离,在该网段部署蜜罐,对进出该网段的流量进行重点监控,对此类人员的入站邮件内容进行更多层的分析,同时在 SOC 里将此类资产重点标记,机器上所产生的安全事件风险等级提升一个级别,这些都是应对之策。
现在,针对终端安全有些厂商整合了各种功能,信誉库、云查杀、情报、EDR 等等,往往意味着终端要使用这些功能,还得在网络上部署沙箱、内部情报库等,企业在选择的时候需要结合自己的实际情况考虑。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论