首页 > 其他分享 >【HW系列】事前准备(7):供应链安全

【HW系列】事前准备(7):供应链安全

时间:2024-07-28 15:30:54浏览次数:12  
标签:攻击 供应商 HW 事前 附属 供应链 外联 总部 分支

本章为该系列的第7篇,也是事前准备阶段的第7篇。柿子要挑软的捏,这是演练场景下,出现在攻击队口中最高频的词了。对攻击队来说,“曲线救国”往往有着出其不意的效果,供应链打击也是近几年常见的技战法,这一节让我们聊聊供应链安全。

一、网络外联区治理

首先从网络层面看一看我们与哪些第三方单位和分支附属机构有联通的策略,特别关注一下专线,要以最小权限原则进行开通,精确到源目IP和端口,清理any策略。可别忽视这些基础工作,很多安全事件往往就是出自这些看似不起眼的小事上。(别问我怎么知道的)
有条件的企业,可以在外联区串联IPS设备,并开启攻击阻断策略,及时封堵来自第三方的攻击流量,同时阻断我方向外部发起的攻击。
在《事前准备(2)之防护体系建设》一文中有提到流量监控覆盖度的工作,同样外联区域的流量一定要纳入到安全监控的范围内,并且对源ip来自外联区的告警提高威胁级别,重点监控。

二、分支附属机构联动

网络安全是重投入的,没有钱做不好网络安全,分公司、子公司、控股公司、参股公司和总部比,往往没有足够的预算,在安全防护能力上通常比不上总部。另外,演练过程中如果是通过分支附属机构打入到集团总部,组织方只会通报总部,分支附属机构在责任上感受不到压力,意识上容易掉以轻心,所以分支附属机构是攻击队实施供应链攻击的首选目标,也就是攻击队常说的柿子要挑软的捏。
在以攻击队身份参与过的项目中,2019年以后,再也没见过直怼主站的情况了,都是绕路打。现在的攻击队借助天眼查、企查查、爱企查、小蓝本等平台的功能,已经具备一键获取分公司、子公司、孙子公司信息的能力,对于规模庞大的企业来说,除了守好自己,还要“关照”一下分支附属机构。
谁主管谁负责,分支附属机构的网络安全责任一定是自己落实,启动会要邀请分支附属机构一同参加,形式上要重视,至少氛围得烘托到位了,会上一定要把工作要求下达到位,防止出现问题后,分支附属机构出现扯皮不认账的情况。
讲一个我亲身经历的案例,曾经参与一个客户集团总部的红蓝对抗项目,子公司因为安全漏洞丢了服务器权限,当时子公司丝毫没有惊慌失措,反而以此为把柄直接骂到集团总部去了,当时我一边帮总部打攻击,一边帮子公司做应急,后来这事不断升级,我们还被扣上了“国外网络安全间谍”的帽子,总部也被指责影响了正常业务,我当时真是小刀捅屁股--开了眼了。如果集团总部和子公司提前约定好责权,就不会出现后续这一系列的麻烦事。

另一项重要的工作就是建立协同联动机制。曾经在一家世界500强排名靠前的大型集团企业做防守筹备工作,其下属单位就有几十家,这么庞大的组织想要高效协同起来还是有困难的,当时在搞内部红蓝对抗的时候,一位子公司的小姐姐就跟我吐槽说红蓝期间都不知道自己要做什么,发现风险了也不知道怎么办,我当时作为裁判,能明显感觉到整个组织的混乱。

这一定不是个例,我相信很多大型企业也遇到过这样的问题,解决这个问题可以从两个方面入手:

建立接口人机制,总部和各分支附属机构明确统一对接的人员,建立工作沟通群,通过统一出口上传下达,这样就会井然有序很多。沟通群在演练结束后也可以一直保留,作为网络安全工作的长期联络渠道。
建立安全事件协同处置流程,并且在执行过程中保证所有事件按流程闭环处理,对于上报的事件如果总部都不重视闭环,更不要指望分支附属机构能重视。

三、供应商联动

演练期间各种商业软件曝出0day漏洞已经不再是什么稀奇事,需要提前与供应商建立约定,当有0day爆出时要及时配合处置。在演习前,梳理目前在合同期内的软件供应商,在演练前下达通知,提出工作要求,拿出甲方爸爸的气势,言辞可以犀利一些,目的是让供应商重视。
曾经在一运营商客户现场做红蓝项目,复盘会上客户领导直接指名点姓一家供应商,说如果再修不完漏洞,以后生意就别做了,当时我作为一个小乙方,在现场真是瑟瑟发抖。

现在都在讲安全左移,很多企业落实安全左移理念都是将安全要求加入到采购环节,可以在合同中要求供应商主动上报安全漏洞和安全事件,并且提供漏洞修复服务。虽然很多供应商根本不会主动联系客户承认自己的产品有问题,不过对于甲方来说,有了合同约束至少我们还占有一定主动权,再不济,如果供应商没有按照合同条款执行,我们还可以根据条款对供应商进行处罚。
当然,处罚不是目的,目标还是希望供应商为我们提供安全可靠的产品,在此也希望所有单位都能与供应商建立良好的合作关系,在这个不太好的大环境下,一同建立良好的营商环境。

四、小结

供应链安全,本质上就是在链上的安全,链就是连接,有网络层的连接,也有沟通渠道的连接,技术上收敛网络策略,沟通上与分支机构、附属机构、供应商建立联动机制,在重保期间可以应对大部分风险场景。
如果这篇文章你只能记住一件事的话,那请记住:守好外联区域,建立联动机制。

原创 十九线菜鸟学安全

标签:攻击,供应商,HW,事前,附属,供应链,外联,总部,分支
From: https://www.cnblogs.com/o-O-oO/p/18328268

相关文章

  • 【HW系列】事前准备(9):工作推进
    本章为该系列的第9篇,也是事前准备阶段的第9篇。前8篇介绍了这么多准备工作,这些繁杂的任务怎么保证有序推进呢?这一篇来聊聊这个话题。一、工作清单前期准备工作繁杂量大,梳理一份工作清单是非常有必要的。事前可以结合眼下最紧急的事项拆解任务,同时向团队内不同工作领域的人征集......
  • 【HW系列】事前准备(10):事前阶段小结
    本章为该系列的第10篇,也是事前准备阶段的第10篇,通过本章做个小结,来结束事前准备阶段的介绍,从下一篇开始,将正式进入事中迎战阶段。有幸观摩过一场线下沙龙,在讨论过程中,我发现不同性质的企业,安全的建设方案完全不一样。当时在讨论邮件安全的议题,一位互联网公司的小伙直接打趣金融行......
  • 【HW系列】事前准备(3):人员筹备
    本章为该系列的第3篇,也是事前准备阶段的第3篇。防护体系不是只有安全设备,人员也是防护体系中的重要因素,特别是强对抗场景下,需要提前准备好保障的人员,保障有人进行7*24小时监控,出现突发事件有能力协助处置。如果自己的人力资源不足,可以在预算范围内采购安全公司的驻场值守服务,本篇......
  • 【HW系列】事前准备(4):工作环境准备
    本章为该系列的第4篇,也是事前准备阶段的第4篇。这一篇让我们聊聊演习期间工作环境的准备,有点像后勤工作,不起眼但很重要,少了哪一项演习都无法正常开展。一、申请小黑屋演习过程中联动调查事件需要频繁沟通,如果能有个专用的小黑屋把防守队员集中到一起是最好的,可以大大提升工作效......
  • 【HW系列】事前准备(1):演练组织
    有幸多次参与过网络攻防对抗,有国家级、省市级的演习,有客户组织的模拟攻防、也有公司内部的红蓝对抗,打过攻击也参与过防守,现在回顾一下,其实有很多经验值得好好总结,因此萌生了站在防守视角把“红蓝/演练”写成系列文章的想法,来聊聊防守方那些事。本章为该系列的第1篇,也是事前准备阶......
  • 【HW系列】事前准备(2):防护体系建设
    本章为该系列的第2篇,也是事前准备阶段的第2篇,这一篇让我们聊聊如何在演练前增强我们的防护体系。一、流量监控体系历次对抗演练的主角莫过于各类流量监控设备了,如ips/ids、waf、nta等,关于流量监控类的设备,在精力有限的情况下,重点关注两个点就够了,一是流量监控覆盖度,二是规则的......
  • 【HW系列】事前准备(5):互联网风险收敛
    本章为该系列的第5篇,也是事前准备阶段的第5篇。前4篇重点讲的是组织方面的准备工作,从这一篇开始,让我们正式进入安全技术防控的部分,这一篇来聊聊如何进行互联网风险收敛。一、互联网系统下线系统下线是最直接有效的方法,也是防守方常用的手段,所以演习前会看到很多来自官方的业务......
  • selenium.webdriver.Firefox 与 FirefoxOptions().add_argument('--headless') 不返回
    我注意到Firefox中的无头选项会在后台运行Firefox,而不会附加任何窗口,而且我还没有找到一种方法可以在后台运行Firefox,同时仍保留Firefox窗口的hwnd能够使用。我开始使用pyvda来获取AppViewFirefox,但是pyvda.get_apps_by_z_order没有返回任......
  • HW行动在即,邮件系统该怎么防守?
    1.什么是HW行动?HW行动是一项由公安部牵头,旨在评估企事业单位网络安全防护能力的活动,是国家应对网络安全问题所做的重要布局之一。具体实践中,公安部组织攻防红、蓝两队(红队为攻击队,主要由“国家队”和厂商的渗透技术人员组成;蓝队为防守队,一般是随机抽取一些单位参与),通过模拟......
  • 微软 Windows 是供应链不知情的受害者吗,蓝屏死机事件告诉了我们什么?
    刚刚过去的这事件震撼了技术格局,凸显了现代数字基础设施之间至关重要的相互依赖性。全球数字危机:安全更新导致蓝屏死机尽管微软Windows也参与其中,但有必要澄清的是,微软公司的操作系统并不是该问题的直接责任。该事件源于第三方更新CrowdStrike,导致操作系统崩溃,让我们再次......