=Start=
缘由:
就是想简单记录一下个人对于网络准入和应用准入的看法,写到哪算哪,不一定有章法,随便写点。
正文:
参考解答:
做企业内部安全时希望达到的一些目标:
- 设备可信(设备序列号:设备ID/MAC地址/……)
- 账号可信(账号密码/证书/……)
- 环境可信(网络/地理位置/……)
- 行为可信(账号行为链路的识别、挖掘及诊断/……)
在提高内部账号、应用安全性的同时,降低对正常员工的打扰,优化他们的办公体验;但让作恶的门槛和难度不断变高,并通过日志的采集和分析以及时准确的识别出恶意行为,然后结合一些系统能力和管控手段,提高响应效率,降低攻击危害。
设备可信是后面的基础,而想要做到设备可信,就当前的情况而言,如果在端上没有一个“可信的agent”,其它的也无从谈起。这个agent要具备的一些能力包括但不限于:
- 硬件信息(设备序列号、网卡MAC地址、蓝牙、CPU、内存、外联设备等)采集
- 软件信息(系统版本、软件列表、杀毒软件和病毒库版本、DLP软件版本和运行状态等)采集
- 文件上传和指令执行等
- 防卸载、防篡改、防逆向等安全自保护能力
最终目标就是,对每一个访问公司内部重要应用的设备和账号,都要能够识别并定位到具体的个人。并能够根据采集和关联到的日志分析出其中的异常行为和风险,然后联动各系统进行安全响应快速止损。
有了准确的基础信息之后,后续的分析和监控效果才有可能达标,否则数据都是假的,算出来给谁看啊?
==
公司设备是一个圈(1)
个人设备是一个圈(2)
外包公司设备也是一个圈(3)
其它设备是一个圈(4)
上面4个圈中,除了第1个圈理论上100%有(现场+远程)访问公司网络或登录公司内部应用的需求之外,其它的3个圈都只是部分有这个需求;而且现实情况中你还会发现即便是第1个圈,它也有各种各样的情况导致占比不是100%,比如历史遗留老设备也不知道放哪去了,但数据还在资产库里(当然这个应该IT资产的同学去搞定),比如有一些设备员工拿回家去当个人电脑在用,还有一些做特殊测试的设备等等等等,反正情况各种各样五花八门。不过如果这些公司资产不进入内部网络或内部应用,最多也只是企业IT资产流失/浪费的问题(需要对应IT资产管理的同学跟进处理),不涉及到企业内部数据泄露的风险(那种电脑上本身存放了大量内部敏感数据的设备暂且先不讨论,这个要细究的话问题就太多了),对企业安全团队来说其实还好,不用特别关注。
正常情况下网络准入认证/授权如果做好了,访问公司网络/登录公司内部应用的设备 == 安装了安全agent/DLP(且正常运行)的设备
但网络准入和应用准入稍微有点差别,网络准入是对要接入公司内部网络的设备进行认证和鉴权,
而应用准入是对账号进行认证和鉴权,
如果所有的应用都放在公司内部,必须要先进入公司内部网络才能访问,那在应用系统的网络可达的这一要求上,网络准入约等于应用准入;
但很多公司会出于一些实际需要,将内部应用对外部网络开放,即在公网上也能访问到这些应用,这个时候如果只有网络准入就不太够了,还需要加上应用准入,将缺失的部分涵盖进来,尤其是重点应用,要借助应用准入把网络准入上对于设备的要求也加上,避免授权账号在未知设备上登录应用进行敏感操作。
==
网络准入控制系统
能够对接入内部网络的终端进行严格、高细粒度的管控,保证合法以及安全的终端入网,全过程进行严格管控、全方位的的操作审计,实现内网标准化管理,降低内网安全风险,是一款有效的内网行为规范管理产品。
==
用户价值
设备发现、资产识别、访客管理、认证授权、合规检查、隔离修复、权限管理、入网追溯
参考链接:
什么是端点安全?
https://aws.amazon.com/cn/what-is/endpoint-security/
网络安全准入系统(NAC)
https://www.qianxin.com/product/detail/pid/392
网络准入控制系统
https://www.jiangmin.com/plus/list.php?tid=67
飞连/产品简介/应用场景
https://www.volcengine.com/docs/6427/129371
浅谈网络准入的技术、应用及前景
https://www.secrss.com/articles/10088
iOA 零信任安全管理系统 > 产品简介 > 应用场景
https://cloud.tencent.com/document/product/1092/35455
阿里郎FAQ
https://alilang.alibaba-inc.com/portal/help.htm
=END=
《 “网络准入和应用准入” 》 有 9 条评论
应用准入控制
http://www.victory-info.com/yingyzr.html
`
应用准入控制产品是针对局域网内部终端访问互联网或企业关键服务器做准入控制,**应用准入网关通过和安全客户端软件(网络版杀毒软件、内网桌面管理软件、非法外联客户端)的跨界组合,“自助式部署,一体化管理”,实现各自防护效果的互相加强,并简化终端安全产品的部署和管理**。
应用准入控制同时还具备上网实名认证、智能网络流量控制、网络应用协议过滤(聊天工具帐号/邮件发送帐号审计、BBS发贴控制、URL网址过滤)、IPSEC/SSL VPN、防火墙等功能,严格控制了内网用户的网络行为,解决终端的随意访问外网、内部应用系统的访问控制,以及病毒泛滥等安全问题。是一个集安全准入、流量控制、网络行为管理、防火墙、VPN、终端安全管理功能于一体的网络安全纵深防御产品。
应用准入模块
应用准入模块通过网页自动重定向,对不合规的终端,进行个性化的友好提示,发送执行合规管理的客户端软件,真正实现了最终用户“自助式”的客户端部署,不仅大幅度减少系统维护人员的工作量,也极大减少用户的厌烦和抵触行为,有效增强了最终用户在内网合规管理系统实施中的积极性,促进内网合规更快获得良好收效。
与应用准入模块联动的客户端,可以是网络版杀毒软件,也可以是内网桌面管理软件或非法外联检测客户端,它们对接入主机做特定的检查:操作系统补丁是否打齐?终端软硬件环境是否符合企业网络接入规范?是否存在非法外联行为?并向应用准入网关发送不同的准入消息,由应用准入网关给出不同的安全解决方案的下载链接。
* 可分网段分步实施应用准入控制;
* 对特定的接入主机可不做应用准入控制;
* 对特定的应用服务器的访问可不做应用准入控制;
* 可定义终端入网后指定的时间段后再做应用准入控制;
* 可定义终端准入控制检测周期时间;
`
终端准入控制
https://www.h3c.com/cn/Solution/Mobility/EAD/
`
目前,在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。
网络安全从本质上讲是管理问题。H3C终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信息等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。
• 全方位准入控制
EAD解决方案提供完善的接入控制,可以支持局域网、广域网、VPN、无线各种接入方式,支持包括HUB在内的各种复杂网络、思科等异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。
• 严格的身份认证
除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
• 完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括**终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、U盘审计、外设管理、桌面资产管理等**;EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动,同时为了更好的满足客户的需求,也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品的配合使用。例如已经购买微软的桌面管理工具SMS的用户,EAD可以与SMS配合,由EAD实现终端用户的准入控制,由SMS实现各种Windows环境下用户的桌面管理需求:资产管理、补丁管理、软件分发和安装等。
• 精细化的权限控制
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
`
网络准入:正在变,即将变?
https://www.aqniu.com/vendor/67353.html
`
1、终端全面收集,精准定位
2、零信任安全理念运用
信任不是一次性的,也不是恒久不变的,需要持续验证。动态访问控制策略,访问决策的制定以每一次重新建立起的信任为基础。
3、持续监控能力
现有的网络准入控制系统是“静态”的看设备,设备入网前严格检查,入网后终端就自由通行,即使设备合规状态变化了也无从知晓。面对现在愈发复杂的网络环境和攻击威胁,新一代网络准入控制系统除了强制安全基线合规外,更应加强对终端的威胁检测、行为分析、网络流量分析,实现对终端的情报检测、大数据分析、异常威胁画像,提高对终端安全威胁的检测和发现能力。
4、联合其他网络安全系统构建纵深防御体系
传统管理思路的局限性体现在不能完整覆盖终端类型和网络环境,不能统一管理,导致形成安全系统的孤岛建设,不仅管理效率低,还存在安全系统间的安全空隙风险;且终端上将会积累越来越多的客户端,使得终端运行越来越慢,用户体验感变差,运维压力变大。随着技术的新运用,终端准入控制产品将更有效地加强用户终端主动管理能力,并加强与其他网络安全系统的联动,例如与VPN/SDP/EMM-APN/EDR等结合起来,进一步对网络端和终端实现同等保护服务。
`
准入认证介绍
https://support.huaweicloud.com/qiankuncmn-qiankuncs/qiankuncs_cmn_05_0086.html
《新一代终端安全防护技术应用指南》报告发布
https://www.aqniu.com/vendor/96523.html
`
报告研究认为,新一代终端安全技术应该包括以下典型特征:
* 体系化:最初的终端防护是针对问题的,出现了哪些问题就产生了针对问题的防护措施,但是当前安全运营是一个整体,终端防护只是其中一个部分,新一代终端防护已经转变为体系化的能力构建;
* 数据驱动:终端安全防护的目的,已经从防病毒、防入侵转变为防护终端上的数据和应用;
* 多维度:随着移动设备的普及,新一代终端安全防护需要适应多种终端设备的特点,包括对移动设备的安全保护;同时,新一代终端安全防护需要采用多层次的防护机制,包括物理层、操作系统层、应用程序层等不同层次的安全措施;
* 智能化:新一代终端安全防护应该借助人工智能、大数据分析等技术,实现对终端设备安全状态的实时监测和风险评估。同时,还应该通过技术手段将终端安全运营的各个环节进行自动化或者半自动化处理,提高运营效率。
在新一代终端防护技术的整体建设时,可以从防护管理视角、防护措施视角、防护对象视角三个维度进行分析。从防护管理视角看,新一代终端安全防护需要技术与管理融合;从防护对象视角来看,新一代终端安全主要增加了数据防护的维度;从终端安全防护措施的视角看,新一代终端安全防护更加注重全流程的实时防护。
防护管理视角:
安全目标、差距分析、安全策略
防护对象视角:
* 物理硬件
* 设备系统
* 上层应用
* **数据防护**
* **网络接入**
防护措施视角:
* 威胁防护
* **监测感知**
* **应急响应**
* 处置恢复
需要特别指出的是,**新一代终端安全能力建设不是独立的,而是需要与整体的安全防护框架及体系紧密融合**。它不仅要保证终端自身的安全,也要保证其他层面的安全。整体的安全防护包括网络安全、应用安全、数据安全等多个方面。在整体防护的基础上,通过对终端设备的加强防护,可以有效防范终端设备被攻击的风险,保障企业的信息安全。
# 新一代终端安全建设原则
调研发现,虽然我国企业组织目前的终端安全防护意识方面已经显著提升,但在新一代终端安全防护建设的过程中,依然会遇到种种问题。为了应对挑战,企业在新一代终端安全建设的过程中应该坚持以下原则:
* 资产全面覆盖:终端安全建设应该全面覆盖企业内部的各种终端设备,包括台式机、笔记本、移动设备等,确保每个终端设备都能得到有效的安全保护。
* 智能化技术应用:终端安全建设应该引入人工智能、机器学习等先进技术,提高安全防护手段的智能化程度,能够自动学习和适应新的安全威胁。
* 更加细粒度的管控:终端安全建设应该具备细粒度的安全控制和处理能力,能够对不同的终端设备、应用程序、用户等进行精细化的安全管理和控制。
* 提升终端可见性:终端安全建设应该采用共享的安全策略和信息,将安全管理和监测信息共享给各个安全防护系统和设备,实现信息的整合和共享。
* 提高实时响应能力:终端安全建设应该具备实时的安全监测和响应能力,能够在发现安全威胁时及时做出反应,并采取有效的应对措施。
* 持续优化和改进:终端安全建设应该是一个持续不断的过程,需要不断地更新、升级安全防护手段和技术,以应对新的安全威胁和攻击。同时也需要持续地对终端设备进行安全教育和培训,提高员工的安全意识和素养。
`
新一代终端安全防护的挑战与趋势
https://www.aqniu.com/homenews/96190.html
https://www.makeuseof.com/endpoint-security-challenges-and-how-to-overcome-them/
`
终端是指连接到企业网络系统中的各种计算设备,主要包括了笔记本电脑、台式机、平板电脑、智能手机以及新型物联网终端设备等。如果威胁分子成功利用这些终端设备上的安全漏洞,就可以轻松进入企业网络并非法访问数据资源,造成难以挽回的危害。因此,增强终端安全对于确保整体组织的数字化应用安全至关重要。
但是,要实现全面的终端安全防护并不容易,企业安全团队在开展终端安全能力建设时将面临以下7大挑战:
01-缺乏可见性
02-远程办公
03-BYOD设备
04-影子IT
05-未打补丁的设备
06-网络钓鱼
07-USB端口
研究机构Forrester在其发布的《终端安全管理的未来》研究报告中指出,终端安全防护市场将在未来五年保持快速增长态势。对所有终端设备进行有效的安全防护和管理是保护企业数字化转型安全开展的基础。而组织在开展新一代终端安全防护能力建设时,也需要重点关注以下技术发展趋势:
01-加大AI技术应用
02-体系化的终端安全能力
03-增强用户的应用体验感
04-以隐私数据保护为中心
`
金融行业终端安全面临的挑战及应对策略
https://www.secrss.com/articles/53502
`
终端作为金融行业日常办公、业务处理、系统维护的设备,承载着重要的金融数据。终端是企业外部与内部系统连接的切入点,在严峻的外部网络环境下面临非法访问、病毒入侵、信息泄露等安全风险。随着移动办公、远程办公需求的不断增长,终端安全面临更大的挑战。如何加强终端的安全管理,抵御外来攻击,确保数据得到有效保护是金融行业面临的重要课题。
金融行业终端安全概述
金融行业的终端安全管理对象主要包括传统终端、移动终端、业务终端这三类终端。传统终端主要是指台式计算机、笔记本电脑、柜员用于业务操作的柜面终端、人工坐席、生产运维操作终端等,是员工日常办公使用的终端。移动终端主要是指iOS、Android、Windows平板电脑、手机等便携式移动智能终端,是员工处理业务或移动办公的终端。业务终端主要是指现金类自助设备(如ATM)、非现金类自助设备(如自助终端),是对外提供金融服务的设备。
1、传统终端安全
传统终端使用范围广、终端环境复杂,是外部攻击的重点对象。传统终端安全管理大体上包括行为安全、数据安全、边界安全、系统安全四大方面,内容涵盖非授权软件管理、互联网访问控制、行为监控与处置、敏感信息扫描、文档加密、数据外发管控、防火墙、漏洞防护、病毒查杀、网络准入、外联及移动存储管控等,详见图一。
2、移动终端安全
对于移动终端的安全管理,金融行业普遍基于移动终端沙盒技术实现移动终端安全管理整体解决方案(EMM),通过统一的接入平台和接入标准,实现统一的用户身份认证、设备管理(包括设备注册、使用、注销在内的生命周期管理)、数据加密、数据隔离以及企业应用商店等,详见图二。
3、业务终端安全
相对传统终端,金融行业的业务终端网络环境相对封闭,终端上运行的软件也是标准化的。业务终端的安全管控主要为病毒防护、漏洞防护、外设连接管控、网络访问控制等,同时通过定制程序运行界防止桌面暴露给客户,通过软件远程分发系统进行应用程序、系统补丁等的更新,不需到现场进行维护。
金融行业终端安全面临的挑战
金融行业经过多年的探索和建设,已逐步建立了适合自身业务发展的终端安全管理体系。但随着计算机技术的发展及攻击手段的提高,终端安全面临着严峻的挑战。从系统安全、边界安全、数据安全三个方向分析,终端安全面临如下挑战:
(一)网络边界防护不再安全
(二)被动防御难防外部攻击
(三)信息防泄露存在安全隐患
金融行业终端安全应对策略
(一)加强网络身份认证与访问控制
(二)提高终端主动防御能力
(三)提升终端信息防泄露水平
`
浅谈企业办公终端的软件管控方法 | 总第205周
https://mp.weixin.qq.com/s/4rUbS2AU5PzXacILgR_b7w
`
基础工作,有资源有人,做好SOP及时oncall,愿意花时间就好搞。其它的情况就具体问题具体分析了(能搞就搞,不能搞就换个方向思路搞其他的,等时机成熟了再搞,没必要为了搞某个项目而搞某个项目,别先把自己搞没了)。
==
话题:大家是怎么管理终端软件的?软件白名单管控有哪些注意点?比如大家是内外网都做,还是只做内网?感觉外网环境太复杂,禁用非白名单软件运行,很影响用户体验?
A1:软件标准化,按照免费,开源,付费等分类,制定标准。另外一些银行内外网都做,终端连管理员权限都没有,是power user权限。
A2:跟内外网没关系,直接在终端上定期扫描软件注册的卸载目录与安装目录,发现就直接在内网准入替掉权限。装了就不让上内网或者外网,只做了黑名单,白名单会一直被业务追着添加名单。
A3:我们自己开了合规软件商店,有需要的软件安装包逐个审核后上架,非商店的软件一律会被桌管拦截,无法运行和安装。也就开始一个月比较手忙脚乱,审核过程去掉一些确实和工作不相干的,其实也没想象工作量那么巨大。
一些绿色版软件,商店也可以处理这个情况,打印机驱动多可以采取特权模式安装或者改web打印也行。
Q:白名单软件怎么定出来的,比如一下子对所有终端安装软件拉出来,自己也没法确定哪些是白的,哪些是需要的?
A4:**通过建立软件商店是最靠谱的软件准入管理。桌面管理本身会收集生成软件资产库,管理员花时间进行批量操作维护,工作量其实不大。软件资产库收集的信息有软件的版本,签名各类信息,是可以有效进行分类和鉴别。**
A5:等同于权限最小原则,**原则上全部都是黑名单,清单发给各部门领导,审阅后提交汇总清单,运维组一一核实,并确定哪些属于白名单可加到软件商店,其他统统驳回,如有特别需要,需各部门领导签字,运维组对该提议重新复核,检验安全资格再予添加**。桌管白名单管控不会拦截系统自身的进程。
另外软件黑白名单的控制看公司部门怎么划分职能的,除去基准清单以外的软件白名单控制可以归属到运维,也可以归属到安全。
A6:我们这是标准的准入机制,软件白名单不单是安全问题,还有软件正版化的考量。要准入的软件必须经过审核和测试,通过后纳入一个准入清单,后续可以通过桌管分发,员工自动选择安装,部分涉及授权点数的需要提单登记,由专门的同事协助安装,用户没管理员权限。
Q:绿色版软件怎么管控?
A7:目前解决不好的是绿色版的软件,不过我们会在网关上拦截一道,过滤掉大部分,内部严管。后续考虑推针对绿色软件的进程白名单。
A8:我们有个软件的catelog,理论上只能安装这些软件。但是有些人有权限就可能安装非标软件,比如自行安装杀毒软件后导致和公司杀毒软件冲突。所以我们封掉很多软件安装的网站,但是微软官方的软件库,没办法封,还是存在一些问题。
A9:绿色软件主要封有版权的,不可能穷尽的。**最好是回收管理员权限,能减少很多麻烦。**
A10:**基础工作就是堆人,没啥花头,管得好,服务质量和效率跟得上,就问题不大。**
A11:采用黑白灰三种:定期发布黑白名单,管控白名单,预警黑名单;灰名单要安全和直线经理审批,还要做沙箱测试。做自动化报表,定期分析。从头开始很重要,开始走了一段时间再来管,很困难,只能先从管理制度上下功夫。
A12:我们是两个,一个是标准的装机清单,科技统一维护,一个就是员工自己提的非标准入清单,此外不允许其他的了。管理好能省不少麻烦。
A13:**我们从08年开始,从老板到所有员工都是user权限,之后就少了很多问题。**
Q:大家桌面权限的管控,是通过加域实现的吗?安装软件如何处理呢?域的安全问题如何解决的?如果不用域,还有什么好的解决方案推荐的吗?
A14:第一步加域,第二步安装桌面管理及helpdesk。桌面管理的软件商店里的可以自己安装,特殊的写申请,领导审批后,helpdesk安装。
A15:**收掉管理员应用安装权限后,少很多问题,但是存在临时在非职场环境下安装软件等问题和绿色软件确实管不了。会上黑名单禁止或卸载删除绿色或已安装的非法应用。上网行为辅助封杀外联软件等。**
Q:加域之后很容易域控失陷被整体拿下的问题如何解决的?
A16:首先,我认为不容易,更谈不上很容易,我曾经找安全厂家搞对赌,都不敢接活。其次,犹如行军打仗,首领也能被定点处理掉,难道不要首领。
A17:是不是可以考虑异构的技术方案。域控和桌管有很多共性的。域控有很多敏感操作需要限制使用并做监控,桌管策略灵活很多。另外集权系统的管理要统一规划好。
A18:看需要实现的管理要求,最好不同方案能相互制约。比如说我们桌面终端使用AD域统一管理,但桌面收回管理员权限,软件安装通过软件仓库,或者helpdesk的手动安装。AD域账号使用做限制,也不给helpdesk,helpdesk使用的本地管理员账号,但这个账号需要定期修改,一机一密。用一些辅助信息做密码片段,比如说资产编号;可以通过脚本自动化设置密码。
Q:helpdesk一机一密如何维护?
A19:域内的话使用laps技术可以实现一机一密。laps是微软官方技术,有很多文档。
A20:如果能持续落地下去,确实可以解决密码dump风险,看桌面运维的意愿,有可能支持的时候要记很多密码,桌面运维可能就不干了。
A21:都有一机一密的需求了,必然每台pc密码不一致,这么多密码只能使用的时候查询一下,不然哪里记得住啊,可以使用完再轮换一下密码,安全。
A22:看了一下,这个密码是自动生成的?helpdesk每次登录用户电脑,还要查一下密码是多少?那是不是可以搞个堡垒机,把所有pc的管理员密码都纳管了,利用堡垒机把所有电脑密码都改成随机的,管理员通过堡垒机登录pc桌面,管理员可以不用每次登录pc的时候再找密码。
A23:堡垒机可能根据IP来维护资源的?pc环境下dhcp IP会变化,而且每个pc相同账户不同密码在堡垒机存储可能也会有问题,域内方便根据主机名走,可以忽视IP,当然了方案很多,laps只是一种,看选择。
`
Defense Evasion(防御规避)
https://mp.weixin.qq.com/s/F0asRsaqOMvxHcu70kavZg
`
“ 终端对抗向技巧型文章,闭门沙龙精华提炼版。”
0x01 Static Analysis Evasion(静态文件规避)
一、检测机制
* 基于签名的检测:文件hash、特征码、文件名、图标
* 启发式查杀:导入导出表、API调用链
* 文件熵分析:文件中字节的熵
* 元数据分析:编译器、时间戳、数字签名
* PE节表:PE文件中异常节
* 机器学习:例如常见的QVM HEUR 202
二、规避技巧
* 加密/压缩:使用自实现加密算法
* 常规方法:
* XOR
* Base64
* AES
* RC4
* 针对shellcode的检测
* 代码混淆:混淆源代码(llvm+pass、ollvm)
* 控制流平坦化
* 虚假控制流
* 指定替换
* Pass插件
* LLVM 混淆
* OLLVM 混淆
* 字符串加密:避免基于字符串的检测
* 利用C++模板:constexpr 编译时间字符串加密
* 动态加载windows api:隐藏导入表
使用GetProcAddress()/GetModuleHandle()动态获取windows API,隐藏导入表
* 降低文件熵
* shellcode 转 English words
* MAC、IPV4、IPV6、UUID编码
* 分离加载(远程拉取或突破隐写)
* 添加大资源文件
* 加壳:自写壳、商业壳
* UPX
* VMProtect
* Shielden
* Themida
* ASPack
* Enigma Protector
* 模拟正常文件:签名、文件名、图标、属性信息、资源给Exe或Dll添加签名、图标、版本属性信息、图片、对话框等资源文件,使文件看起来更加合法,以规避启发式查杀以360为例,常规我们编译出来的文件经常爆QVM202,但是当我们添加资源文件后,我们即可绕过QVM202
* 动态生成
* 动态生成加密key
* 动态编译生成文件
* ……
0x02 Dynamic Behavioral Evasion (动态行为规避)
一、检测机制
* Sandbox:沙箱运行观察判断行为是否恶意
* 子进程/线程创建:例如监控Cmd.exe、Powershell.exe
* 敏感高危操作:修改注册表、添加用户、添加系统服务、添加计划任务、提权、获取凭证、截图等等….
* 敏感目录读写:注册表、自启动目录
* 进程链检测:监控父子进程间关系判断是否异常,例如word.exe—powershell.exe
* 代码注入检测:例如远程线程注入、DLL注入等等
* 网络通信:监控网络流量,分析可能的C2流量
* API调用:Hook 常见 Windows API
二、规避技巧
* Anti sandbox:反沙箱
* 使用质数运算延迟执行
* 检测系统开机时间是否大于某个设定值
* 检测物理内存是否大于4G
* 检测CPU核心数是否大于4
* 检测文件名是否修改
* 检测磁盘大小是否大于100G
* 判断是否有参数代入
* Anti VM:反虚拟机
* 检测进程名
* 检测注册表
* 检测磁盘中文件
* Unhook:从磁盘加载ntdll
* 通过读取磁盘上ntdll.dll的.text节,覆盖内存当中的ntdll.dll的.text节,达到脱钩的效果
* Syscall:Direct syscall、Indirect syscall
* PE in Memory:内存加载
* 利用 Inline-Execute-PE 在内存中加载运行PE文件
* 利用 BOF.NET 在内存中执行.NET程序集文件
* 进程断链:断掉父子进程链
* 利用模拟运行断链
* 利用WMIC断链
* 利用Com断链
0x03 Memory Scanners Evasion (内存扫描规避)
一、检测机制
* 内存扫描:扫描内存查找注入的恶意代码,并检测进程内存空间中的可疑API调用
* 检测项:进程信息、shellcode特征、堆栈、内存映像
二、规避技巧
* 睡眠混淆:hook sleep函数,实现内存加密和解密
* 总结:堆栈欺骗+内存加密配合使用实战效果极佳,参考Cobalt Strike 4.7的SleepMask
0x04 Network traffic Evasion(网络流量规避)
一、检测机制
* 威胁情报:IP、域名
* 流量特征:固定通信流量特征
二、规避技巧
* 使用HTTPS
* 云函数
* 域前置
* 更改C2、webshell等工具通信流量
0x05 总结
抛出沙龙上,交流提出的两个问题。
* 以后杀软的发展趋势会着重在哪些地方?
* 以后对抗难点会在哪些地方?
逃逸技术是和反病毒技术的长期对抗。欢迎各位师傅和笔者沟通交流!
`
除了 VPN,还有什么安全方式在外网访问公司资源?
https://www.v2ex.com/t/1003747
`
公司内有个内容管理平台,有些编辑同事想在公司外使用,目前的方式是先连 OpenVPN 。
但是多数的编辑同事都不是技术,使用 OpenVPN 对于他们来说有点麻烦,有什么办法可以提供类似于 OpenVPN 的安全性但又更简单使用方法吗?
内容管理平台本身有登录,也已经放在 WAF 后面了,期望的效果是类似于 VPN 一样,未连 VPN 的用户连内容管理平台登录页都发现不了。
==
openvpn 不已经几乎最简单了吗,双击连接然后访问网页就行了。webvpn 、vnc 之类的反而麻烦了呀
==
zero trust
==
HTTPS 双向认证,客户端必须装指定的客户端证书才能打开内容管理平台登录页,这种可以保证没有客户端证书的情况下触发不了业务漏洞。
==
这个我也能理解你的痛点,唯一办法,升级,让上一级的人要求。安全应该是红线
==
你应该想想你做的系统的目的到底是什么?是为了安全还是为了提高效率?如果是为了安全,它必须是一个行政命令才能推的动。如果是为了提高效率,你想在保证安全的情况下实现这个目标,应该对平台本身的安全性下功夫并且寻求安全部门的建议,根据他们的建议去做安全性的改进
==
Best practice: 迁移到 SaaS 平台,开启 MFA ,开放公网访问
==
不要自己做决定,要和上面沟通好。
我这边有一个开发,自己搞了一个 frp 穿透,在家里用。差点被开掉。
==
最大的问题不是用什么技术方案,而是让管理层认可安全的重要性。
==
专门登录上来回复一下。
看到楼上都在为 VPN 打抱不平,其实 OP 的问题我也遇到过……
你说安装个 VPN 真的很难吗?不难,拿到配置后下一步下一步就好了;
你说安装个 VPN 很容易吗?不容易,“那你能帮帮我吗”。
根本问题不在 VPN ,而是客户端需要额外配置这一个动作,即使客户端是技术人员,也有那种不会不学不想的人。
如果换掉 VPN 用另外一个产品也需要客户端做配置的话,没什么意义,他们仍然不愿意。
幸好 OP 遇到了我,不然你就遇不到我了。
假设你的业务是 BS 架构
关键字:nginx + auth + vouch + OIDC
nginx auth 模块先验证浏览器的 IP ,如果在白名单,直接请求到你的 web
如果不在白名单,auth 模块请求 vouch ,转给 OIDC 协议的产品;
OIDC 可以用 okta ,auth0 ,站内有个老哥做了 logto 也很不错,认证方式支持邮箱验证码、用户名密码、短信验证码等等。建议用邮箱验证码,心智负担小;
OIDC 认证完之后给浏览器发 token ,浏览器再到 nginx 验证 token 后放行,到业务界面,原来怎么登录还怎么登录;
如果你的 nginx 是付费版本的,可以不用 vouch ,免费版本的 nginx 无法对接 OIDC 所以才需要 vouch
客户端访问就变成了:
浏览器访问业务网站 –> 业务最外层的 nginx –> nginx auth –> vouch –> OIDC 登录验证 –> 验证通过 –> 业务登录页面
整个过程客户端只会看到浏览器多跳了几个网站,多输入一次验证码,我觉得推动起来没啥难度。
如果实际的业务也是你负责的,你可以做点改动,OIDC 验证完之后到业务那里就不用登录了,不过这是后话,不想改可以不改
==
除了楼上老哥说的 vouch ,oauth2-proxy 也可以实现相同功能
==
其实前面有不少朋友都提到了“零信任”甚至“oauth2-proxy”,但只是提及个名词就作罢,实质上核心都是“访问控制”。
传统的 VPN 打通了局域网与内网,但如果 ACL (访问控制列表)没做好,一旦工作人员的设备被侵入,公司内网将面临危机,对于入侵者而言就是一览无余。
「零信任」的核心理念就是八个字:“永不信任、持续验证”。在业界,厂商的简单实现通常就是做好“访问控制”。
站在应用角度,主要分为以下两种应用场景:
– Web 代理应用:“编辑想在公司外访问内容管理平台”,如果「内容管理平台」是一个 Web 应用,那么只需在 Web 应用前面的网关加上“认证”机制。当公网上访问 URL 时,未登录用户无访问权限,将被重定向到登录页面;登录后才能访问「内容管理平台」。这解决了「零信任」中的一种场景。
– 隧道应用:这种场景是将应用隐藏在公司防火墙后面,不对外暴露服务。通常的解决方式是安装厂商提供的客户端(适用于 Windows 、Mac 、Linux 、Android 、iOS ),用户登录后,设备只会和“被授权”的内网应用建立隧道连接。这样,只有授权的人才能知道内网应用的存在并访问到。因为这需要建立隧道才能访问,没有登录的人自然无法发现「内容管理平台」,即使登录了没有权限也是一样,这也是「零信任」能解决的另一种场景。
综上所述,对于暴露在公网的 Web 应用,我们应只允许“授权用户”访问,并通过网关为当前会话连接赋予“身份”;对于不想暴露在公网的应用,就像传统 VPN 一样,使用隧道技术,只允许与“授权应用”建立连接,当然要比传统的 VPN 做得更好。
类似 oauth2-proxy 、authelia 这样的开源组件,都是不错的解决方案,但不一定能提供最佳体验。例如,如果有一个 docs 应用隐藏在 authelia 的网关之后,未登录的用户会被重定向到 authelia 的登录页面,但由于 authelia 目前仅支持账号密码、LDAP 方式登录,并不支持主流的 OAuth2.0 、OIDC ,因此在公司层面可能难以推广,这毕竟只是一个开源项目。
当然还有很多其他方面值得注意,但先就这样吧。
==
不论是啥方案,注意合规,不要自己做决定,这种涉及到重大风险的,请示领导
`
深信服SDP零信任工作空间
https://www.yun88.com/product/4812.html
`
学习了解一下类似安全产品应该如何介绍,图怎么画会比较好看,以及厂商想到的一些管控方式和思路,也算是拓展知识面了。
数据可信:工作空间文件隔离与加密
数据可信:工作空间网络隔离
数据可信:沙箱外设隔离
数据可信:工作空间运行程序管控
数据可信:工作空间文件导入导出控制和审计
数据可信:工作空间之剪切板隔离与审计
数据可信:工作空间屏幕水印、截屏/录屏限制
身份可信:多种认证方式实现流量身份化
环境可信:多维度终端环境检测
环境可信:终端应用进程检测
环境可信:联动EDR,增强终端环境感知能力(可选)
权限可信:静态权限管理+动态访问控制
权限可信:异常访问灰度处置
业务可信:安全发布,隐藏业务暴露面
业务可信:安全发布,隐藏业务暴露面 – 第三代SPA
业务可信:访问行为全面审计
业务可信:联动SIP,异常威胁实时检测(可选)
`