4)根据便携式WIFI和免费WIFI后门识别便携式WIFI。
优势:
1)能否比较准确地检测到部分智能手机和便携式WIFI接入,主要与监控数据包的覆盖范围有关;
2)能够更准确地识别NAT接入设备并统计NAT接入设备的数量。
缺点:
1)监测数据的覆盖范围决定了其检测范围,可能存在漏报。 适用于有公共出口链接的网络,不适合作为检查工具使用;
2)由于检测技术的限制,存在误报的可能;
3)主要以检测为主,基本不具备源头阻断和控制能力。
深信服的上网行为管理系统就采用了此类技术,多部署在互联网出口处。 可以限制私连的WIFI设备访问互联网,但无法控制WIFI设备私自访问内网。
(2) 基于客户端代理
通过在终端桌面系统上安装客户端代理来监管无线网络的使用情况,主要针对终端自带的无线网卡、专用无线WIFI、免费无线WIFI的使用情况进行监管。
优势:
1)检测时间短,能够快速发现上述无线网络使用违规行为,不误报;
2)响应速度快,能够快速阻断和控制上述非法使用无线网络的行为。
缺点:
1)无法控制未安装客户端代理的终端桌面系统;
2)无法监管无线路由设备的私有连接,因为此类设备无法安装客户端代理;
3)实施和维护工作量大。 由于客户端代理容易被卸载,影响整体监管效果,且容易出现遗漏。
北鑫源的桌面管理系统就采用了此类技术恶意代码分析技术分类,部署在终端PC上。 可以限制无线网卡、随身WIFI、免费WIFI的使用,但不能限制无线路由设备的私人访问。
(3)网络扫描
主要通过ICMP、SNMP、TCP和UDP扫描技术,并借鉴操作系统指纹识别技术形成本地协议特征库,从而判断目标机器是否为NAT接入设备、智能手机设备、便携式WIFI接入设备设备,或者免费WIFI接入设备等。
优势:
1)可以准确检测部分智能手机和便携式WIFI接入。 覆盖范围与扫描范围有关。 适用于大中型网络,可作为巡检和管理工具;
2)能够更准确地识别通过NAT访问的路由设备;
3)能够准确识别无线AP接入并提供无线AP的SSID号。
4)结合交换机端口定位技术,可以对非法接入设备进行网络定位和阻断控制。
缺点:
由于采用远程网络扫描机制,存在漏报和误报的可能性。
访问控制
这个控制点没有明显的变化,基本还是按照准入策略的要求。 首先,对于ACL(以ACL为代表,大多数访问控制策略仍然基于它),一般来说,会根据业务和需求来设置对不同区域和地址段的访问,包括端口。 这里应该做什么? 首先要明白的是,要求的是边界或区域之间的设备,而不是所有设备,所以不要扩大范围。
一般来说,ACL制定后,最后会添加deny any any(虽然有些设备上默认会自动添加)。 这是MLPS 2.0标准中提出的要求,即默认情况下,受控接口除了允许通信之外都会被拒绝。 所有通讯; 使用扩展ACL时,必然会包含五元组的内容(源地址、目的地址、源端口、目的端口、协议),所以这样是没有问题的。 当然,如果你比较懒,使用简单的ACL,就需要及时Update。
无效和冗余的访问控制规则将被禁用或删除。 我们在设计控制规则时也应该采用简单优化的原则,尽可能简洁有效。 就像应用中的算法一样,算法越简单、占用资源越少才是最优的。 有些企业的设备被运维人员频繁更换或者业务需求不断变化,会产生很多访问规则。 随着时间的推移,访问控制规则的数量将会非常庞大。 不知道哪些是有用的,哪些是无用的。 我不敢轻易删除它们,因为我不知道。 是否会影响业务,造成设备和带宽资源浪费、网络时延较高? 针对此类问题,等保2.0标准提出了明确要求恶意代码分析技术分类,企业必须制定合理有效的人员管理和配置规则。 对于新装备来说还是可以的。 如果老设备已经存在上述现象,运维人员需要投入更多经验,理清业务逻辑。 如果可能的话,他们可以进行 BIA。 等保2.0标准中的新要求,必然成为检查。 考核工作的重点。
最后还需要应用层的访问控制能力,对四到七层数据进行限制的能力一般对应WAF的一些功能(NGFW也有这样的功能),这并不困难。 但要注意这里提到的“应用内容的访问控制”,它延伸到了敏感信息保护和信息安全领域(敏感文字、色情、赌博和毒品内容等)。 从个人理解,首先可以实现基础的数据访问权限能力。 网络除了具备安全防护能力外,还应具备一定的内容过滤功能。 例如,对于一些新闻和媒体公司来说,传入和传出的数据流可能包含一些敏感内容。 对于这些文本或图片的基本控制是必要的。
补充一个不相关的话题,据我了解,大部分自媒体公司(一线媒体网站)还是手动做内容安全的。 第一次通过机器过滤,第二次由人工团队审核。 第三次发布前会进行第二次人工审核。
主标准中对内容安全有明确的规定,但仅在Class Protection 2.0标准中提及。 我感觉它更偏向于安全级别的访问控制(即内容访问和修改权限)。 我可能过度考虑了内容过滤。 可能是一个过度扩展的检查点,但可以作为参考。 只要企业拥有WAF类型的设备,访问控制需求就应该没有问题。
入侵防御+恶意代码和垃圾邮件防护
将这两个控制点放在一起是因为它们都属于防止入侵的范畴。 我们先来说一下入侵防御。 MPS 2.0标准强调东西向双向检测和保护。 事实上,它与旧标准类似。 它只是强调在关键网络节点(网络边界、区域间、重要区域边界等)应双向应用检测和策略。 发现Attacks可以被限制(报警、拦截等),指的是检测能力。 然后是安全响应能力。 由于目前的态势感知和机器学习还不是很完善(SOAR目前也不太可靠),所以还需要更多的人来处理,那就是安全应急小组。 一般来说,检测是通过设备或软件来实现的,而响应则取决于人。 MPS 2.0标准中对安全事件分析的要求也得到了提高,特别是分析新型攻击(APT、0day、社会工程等)的能力。 这可说是大了,也可说是小了。 企业根据自身实力和情况决定。 。 最起码,无论是自建团队还是外包第三方,都要具备突发安全事件的检测、响应和分析能力; 如果有能力,可以部署一个蜜网系统,团队里有逆向分析师。 漏洞挖掘者。 以不应对、不追求完美的态度,确保安全到位即可。
接下来,我们来谈谈恶意代码和垃圾邮件。 至于网络关键节点恶意代码的检测,说实话,应该更具象征意义。 我们依靠设备扫描和功能匹配来确保代码安全。 到目前为止,效果还不是很好。 因此,手动代码审计服务拥有良好的市场份额。 但这绝对比什么都没有好。 部署在地区边境的安全设备还是可以起到一定的防护作用的。 从合规角度来看,只要在外围部署安全设备即可。
垃圾邮件预防还涉及更多内容。 过去,垃圾邮件仅用于广告和促销。 现在,垃圾邮件充满了恶意,包含各种木马和网络钓鱼技巧。 已逐渐成为需要重点关注的安全风险。
从安全角度来看,电子邮件过滤可分为无害垃圾邮件过滤和有害恶意电子邮件过滤。
无害的垃圾邮件包括:
(1) 收件人未事先要求或同意接收的广告、电子出版物、各种形式的宣传资料等促销电子邮件;
(2) 含有欺诈信息的电子邮件。
无害的垃圾邮件本身不包含恶意程序。
有害恶意电子邮件是指含有恶意链接和攻击程序的电子邮件,包括:
(1) 携带病毒、木马程序的恶意邮件(隐藏在附件中);
(2) 含有钓鱼链接(隐藏在正文或附件中)的诱饵电子邮件。
电子邮件攻击的多样性决定了电子邮件安全防护方法的多样性。
从技术发展来看,电子邮件安全防护技术分为四代。 第一代垃圾邮件网关可过滤无害的垃圾邮件。 它以邮件来源、邮件头数据和内容过滤为主要技术手段,通过静态特征识别和关键词匹配技术识别垃圾邮件。 20世纪90年代第一封病毒邮件出现后,能够识别有害恶意程序的病毒邮件网关成为邮件安全防护的主流技术; 第二代病毒邮件网关采用样本比对、脚本分析、附件检查等技术来检测恶意病毒。 电子邮件的分析和识别; 随着电子邮件的使用日益广泛,钓鱼攻击者开始利用电子邮件作为载体进行URL钓鱼和账号密码欺骗,第三代电子邮件安全网关应运而生。 第三代邮件安全网关在前两代的源过滤、内容过滤、特征识别、恶意程序监控等技术的基础上,增加了多样化的图像分析、URL监控、行为分析等技术。 它可以分析电子邮件内容、链接和附件。 、图片,识别恶意邮件攻击意图和行为。
近年来,电子邮件攻击的技术手段变得越来越专业化。 APT攻击、ATO攻击、BEC攻击、反杀木马病毒、0DAY漏洞利用等新型攻击手段层出不穷。 传统的电子邮件过滤技术很难被检测到。 为此,设计并实现了新一代智能恶意邮件监控溯源系统(即第四代)。 电子邮件安全防护技术)。 系统集成动态邮件分析、沙箱操作、行为建模、行为意图分析、威胁情报分析、大数据分析建模等智能监控手段,进行深度邮件监控,能够对复杂的邮件攻击进行识别和溯源。 行为。
涉及的检测和过滤技术包括:协议会话信息监控、邮件头信息监控、URL链接过滤、邮件内容过滤、邮件附件过滤、恶意邮件溯源等。 这里引用了一篇论文。 如果有兴趣,可以看一下关于防范恶意邮件的一些思路:《恶意邮件智能监控与溯源技术研究》。
安全审计
这里必须说明一下,之前我和一个做LPS评测的朋友讨论过。 推测当时标准排版印刷存在错误,将安全区边界-安全审核第三部分和第四部分的要求颠倒了。 如果可以查看标准原文,8.1.3.5中有4条安全审计要求,9.1.3.5中有3条安全审计要求。 一般来说,这是不太可能的。 四级系统同样的控制点要求比三级系统少,希望官方稍后解释一下。
安全审计基本上是在每个控制点都进行的,只要注意日志保留即可。 这里重点关注网络边界和重要节点(安全设备、核心设备、汇聚层设备等)的日志记录。 日志的完整性和机密性也是相同的。 应防止修改、专人保管、做好异地备份、做好保密工作等。此外,等保2.0标准还要求对远程访问用户的行为进行单独审计和数据分析。以及用户接入互联网,这是一个新的需求。 我先解释一下如何理解。 因为是安全区域的边界,所以涉及的设备只能是安全设备和网络设备,不能是主机和应用程序。 远程访问用户基本都是远程登录设备进行维护(或者是黑客捣乱),既然可以远程登录,就必须能够访问互联网,并且属于有特殊权限的用户(通常关键节点设备都是不允许远程登录,除非有特殊需要才会开放权限,并且还必须经过VPN-Springboard-Fortress按照机器-设备的顺序登录)。 需要对此类用户进行单独审计,记录其操作和访问日志,并对记录进行分析。 我不太明白这一点,分析什么,检查的重点是什么。 从评测要求中我们可以看出,评测对象是上网行为管理系统,其中提到了用户的上网行为,所以可能更容易理解,就是对用户上网行为和远程访问的检测和限制行为。 那么问题来了。 这是安全区域的边界。 从头到尾都提到了网络的关键节点。 突然转向用户行为管理。 我觉得这个需求以后放到安全计算环境中可能会更好。 那么合规点就非常明确了。 使用上网行为管理设备并保留用户日志就足够了。
可信验证
轻微地。
终于
该控制点重点关注安全运营能力的要求。 对于企业来说,边界安全规划应该:
在网络边界、区域间和重点区域边界部署NGFW或同等功能的安全设备
安全设备策略有效。 关闭除业务需要之外的其他冗余访问权限。 ACL最小化原则。 使用标准或扩展ACL,删除多余无用的规则。
具有东西双向的检测、报警和阻断能力,并具备安全事件的响应能力,包括响应和追溯能力。
各边境部署的安全设备均配备恶意代码检测和邮件过滤模块,并实现自动升级。
对关键节点设备进行全用户覆盖审计,保留日志6个月以上,并做好日志保护和备份工作。
配备上网行为管理设备或同等功能的设备
题外话
今天浏览Gartner官网,看到一篇CISO写的文章。 我觉得这很有趣。 我翻译了它并重新处理了它。 你可以看一下。 它可能有用。
你的老板经常会问的 5 个安全问题
安全总监需要向董事会报告他们关心且对他们有意义的事情。 除了个人偏好和关注点之外,董事会通常还关心三件事:
收入/目标:营业或非营业收入以及改善非收入任务目标
成本:避免未来成本并降低运营费用
风险:财务、市场、安全与合规、创新、品牌和声誉
权衡问题
我们100%安全吗? 你能保证吗?
问题分析
类似这样的问题经常是由并不真正了解安全性及其对业务影响的董事会成员提出的。 不存在 100% 安全的事情。 CISO 的工作是确定风险最高的领域,并根据业务需求分配有限的资源来管理它们。
如何回复
首先:“鉴于不断变化的威胁环境,消除所有信息风险来源是不可能的。我的职责是实施控制来管理风险。随着业务的增长,我们必须不断重新评估什么风险状态是合适的。我们的目标是建立一个可持续的项目,平衡保护与经营业务。”
情境问题
其他公司的情况如何? X公司怎么了? 我们公司现在相比怎么样?
问题分析
董事会成员将面临来自安全报告、文章、博客和监管机构的压力,要求他们了解风险。 他们总是询问别人在做什么,尤其是同行公司。 他们想知道“大局”是什么样的,以及与其他人相比如何。
如何回复
为了避免猜测其他公司安全问题的根本原因,可以这样说:“在获得更多信息之前,我不想猜测 X 公司的事件,但当我了解更多信息时,我会跟进。” “考虑讨论更广泛的安全事件响应,例如识别类似的风险点并制定修复方法或更新业务连续性计划。
风险问题
你知道你的公司有哪些风险吗? 有什么问题让您无法入睡吗?
问题分析
董事会知道接受风险是一种选择(如果他们不这样做,那就是您将面临的挑战)。 他们想知道公司的风险是否得到控制。 CISO 应准备好解释公司的风险承受能力,以确保做出风险管理决策。
如何回复
如果一切顺利的话,就没有什么能让我睡不着觉了。 那只能对你说:“英雄,一路走好。”
解释风险管理决策对业务的影响,并确保您的立场有充分依据。 下半年至关重要,因为董事会根据风险承受能力做出决策。 任何超过容忍水平的风险都需要采取补救措施,将其控制在容忍限度内。 这并不一定需要在短时间内发生剧烈改变,谨防不必要的过度反应。 审计委员会将寻求确保重大风险得到充分管理,并且在某些情况下,采取细致入微的方法进行长期持续改进可能是适当的。
平台问题
公司的资源配置是否合理? 我们(在安全方面)花费足够吗? 你为什么花了这么多钱?
问题分析
董事会希望确保负责安全和风险管理的人员不会停滞不前。 董事会成员想了解定量分析和 ROI(投资回报率)。
如何回复
众所周知,在信息安全方面做定量分析和ROI是自寻死路,所以不要主动对安全工作做任何定量的收益报告。
使用平衡计分卡 (BSC) 方法,其中顶层表达业务期望,并使用简单的允许/拒绝机制根据这些期望说明组织的绩效。 尽可能从业务绩效而非技术方面解释期望。 绩效基于使用一系列客观标准评估安全性的指标。
安全事件问题
这起(安全事故)是怎么发生的? 我觉得你可以控制的! 发生了什么?
问题分析
当一个或多个事件发生且董事会已知晓或 CISO 正在通知他们时,就会提出此类问题。
如何回复
如果你是事件的当事人或负责人,你首先要做的不是去指责事件,而是要有所作为,以最快的速度将其镇压,最大程度地止损。 当然,有些公司在特殊情况下可能不一样。
安全事件是不可避免的,所以要现实一些。 分享您所知道的和正在做的事情,并找出您目前不知道的事情。 简而言之,承认发生了安全事件,提供有关业务影响的详细报告,概述需要解决的风险点,并提供缓解计划。 在董事会面前,不要将一个选择作为你的最终选择。 安全总监仍负有安全和风险的监督责任,但最终责任必须由董事会/高管层承担。
暂无评论内容