首页 > 其他分享 >【HW系列】事前准备(6):办公网风险收敛

【HW系列】事前准备(6):办公网风险收敛

时间:2024-07-28 15:32:01浏览次数:17  
标签:风险 打印机 账号 wifi 上网 事前 HW 办公网 办公

本章为该系列的第6篇,也是事前准备阶段的第6篇。除了直接面对互联网的系统,另一个容易受到攻击的就是办公环境了,这一节让我们聊聊办公环境的风险收敛。

一、上网机风险治理

对于有条件的企业,办公网络最好关闭互联网访问的权限,比如金融、能源的企业,办公网络都是与互联网隔离的,员工的上网需求通常会设置上网机来解决,针对上网机的加固,可以考虑从以下几方面开展工作:

搭建隔离的上网区。设置一个专门的网段用于上网,有条件的单位可使用上网沙箱来解决上网需求,安全性更高;
理清现状。看看我们都有哪些上网机,可以结合上网机申请工单进行梳理,也可结合上网区终端IP的数据进行梳理;
权限收敛。有了上网机清单后,可以评估是否有保留的必要,可以借此机会下线一批上网机;
为上网机穿上铠甲。防病毒、EDR、DLP等终端安全安全产品,结合自身的实际情况进行安装,保证安全监控能力100%覆盖上网机;
文件清理。删除终端上的敏感文件,有条件的可以对系统进行重装,并格式化硬盘;
打安全补丁。特别是Windows机器,要把补丁更新到最新,对于微软已经不维护的windows版本,尽量升级windows版本,升级不了的一定要记录下清单,演习期间要对上述清单中的机器进行重点监控;

病毒查杀。除了开启实时防护外,演习前和演习中,提高全盘查杀的频率。

当然大部分企业无法做到办公网隔离,针对上网机的风险更多的还是要靠终端安全来抗,比如部署EDR、防病毒等产品,上述工作要点也可酌情参考。

二、共享服务器风险治理

针对资料共享的办公场景,配置文件共享服务器是简单好用的解决方案,但是文件共享服务器自身也成为了被攻击的对象,可能会给办公网络带来漏洞和资料泄露的风险。
在治理方面,和上文上网机管控类似,首先要梳理一份共享服务器清单,针对清单中的文件共享能下线的下线,不能下线的做好安全加固和监控。有条件的企业,可以考虑使用文件交换系统来替代文件共享服务器。

三、打印机风险治理

曾经跟着大佬去给客户做渗透测试,看着他对着打印机一顿操作,也真是让我开了眼,原来打印机也有安全风险,可以作为攻击队刷分的一个途径。

针对打印机主要有以下风险:

未授权访问。很多打印机的http服务和打印服务是未授权访问的,或者使用的是默认账密,只要网络通,就能使用其服务。

安全漏洞。一些打印机自身就有安全漏洞,如果在域环境下,还有可能通过打印机的票据接管域控。
准入绕过。打印机接入内网通常是通过绑定ip和mac实现的,如果有机会近源到内部,通过管理后台未授权获取打印机的ip和mac,给自己的电脑配置上,拔下网线怼在自己电脑上,就可以绕过准入进入内网。

针对打印机安全风险,我们可以将其固件升级到最新版本,为管理后台设置强密码,加固方面能做的只有这么多。其风险治理更多的是依靠事中监控,可以在态势感知上配置专有规则,将源ip来自打印机的告警提高威胁级别重点关注,如果发现打印机开始触发各种安全告警,八成是有异常,需要启动应急响应。

四、账号密码风险治理

和小伙伴闲聊的时候,听到一个观点:“攻击队很容易就能获得账号密码。”今天先抛开获取账号密码到底容不容易这个话题,站在防守方角度看看我们如何保障账号安全。

攻击方通过获取账号密码突破业务系统的真实案例确实很多,对防守方来说,针对账号风险进行专项治理是很有必要的,在账号风险收敛方面,提供以下工作思路供参考:

现状梳理。梳理现有的账号体系,是否有域账号、是否有统一身份认证、哪些系统是用户自管理账号……还是那句话,要了解现状才能针对性地开展风险治理工作。

默认密码清理。企业内如有通用的默认密码,一定要清理掉,还要注意源头治理,在各类账号开通的时候就要避免通用口令的出现。

消灭弱口令。结合目前的账户体系,针对性地进行弱口令检查,重点针对域账号和集权系统组织专项的治理工作,发现风险及时通知到人,即查即改。

僵尸账号清理。半年甚至更久时间都没登录过的账户需要“特别照顾”一下,看看这些账号是不是需要禁用。域控上可以查看最后一次登录时间,集权系统的后台一般也能查看账号登录时间,可以把登录日志导出,找出僵尸账号清单,逐一跟进清理。

自管账号收敛。尽量减少自管账号的情况,依托前期对账号体系的现状梳理,找到自管账号的系统,推动对接域控或者统一身份认证,集中管理后,针对一些高风险场景可开启多因素认证的方式,进一步增强账号安全等级。
异常登录告警。在态势感知平台上制定专门的告警规则,当发现账户有异地登录的情况则触发告警,同时还可以给当事人发送风险提醒,比如短信提醒、微信机器人提醒等。

五、办公wifi风险治理

办公wifi,是近源攻击重点关注的对象,根据历史上在客户现场做红蓝对抗的经验,打wifi基本上是攻击队的必选项,通过wifi可以方便的进入内网,能免去熬人的边界突破。

针对wifi的加固,可以从以下几个方面入手:

能关就关了,对于那些有几十层办公楼财大气粗的单位,1楼通常也不是办公区,可以考虑只关闭低楼层的wifi,这样不会大范围影响办公,攻击队也无法连接wifi。

演习前最好改一次wifi连接密码,并且设置为强密码。
有些提供wifi功能的网络设备,portal自身就有认证绕过和RCE漏洞,在曾经做过的红蓝对抗项目中,有过多次通过wifi portal漏洞突破内网的案例,有些portal甚至还有0day。及时对wifi服务器进行固件和系统升级,部署主机防护产品,防止因为portal的漏洞被攻击者利用。

六、远程办公风险治理

如果可以,演习期间就把vpn关了吧,不怕账号被盗,也不怕vpn服务器有漏洞。
对于无法关闭vpn的,可以对vpn账号进行风险治理,首先要梳理我们有哪些vpn账号,对于能清理的就清理掉,针对在用用户,统一进行一次密码重制。
对于有条件和预算的企业,推荐使用零信任架构替代vpn,零信任在安全防护和服务器自身的安全性上,使用过之后我个人觉得比vpn更安全。

七、安保

给大家讲一个真实案例。为了突破目标企业物理隔离的网络环境,某攻击队派出一个长相甜美的小姑娘去踩点,发现该企业有班车接送上下班,然后就混上了车,进到了办公区,拿出准备好的树莓派插到了内部网络里做跳板机,就这样顺利打进了内网。当时防守方直接一脸懵逼,物理隔离的环境怎么蹦出来这么多告警。
所以,演习前别忘了和保卫人员宣贯工作要求,如果可以的话,最好把保卫部门一同纳进演习工作组中,让其有参与感,守住所有进入单位的入口,该上锁的上锁,对形迹可疑的人员要特别警惕,在内部红蓝期间,我们真遇到过带着网线和电脑到处溜达的攻击队人员,他们真是看见网口就插。

八、安全意识宣贯

人是纵深防御体系里最薄弱的环节,根据历史数据,每次钓鱼演练和红蓝对抗都有人中招,所以在演习前搞一次安全意识培训还是很有必要的,培训结束后再联动安全意识考试和钓鱼邮件演练,效果会更好。
关于钓鱼邮件演练可以采购安全公司的服务,有能力的企业也可以自己搭建钓鱼平台,推荐使用Gophish+Postfix。

九、小结

办公安全可从上网机、文件共享、打印机、账号安全、办公wifi、远程办公、安保、安全意识等领域开展风险收敛工作,这些工作要点都是基于历史红蓝和演习中遇到的实际问题整理汇总的,虽然轻描淡写的几句话,但每一项工作拿出来都是大工程,有一些体系化整改的事项甚至需要作为长期任务去推进,仅靠临战阶段磨枪很难有效解决实际问题,做防守方的朋友们应该都能感同身受。
演习也是一个看见自己好机会,通过备战发现自身不足,也为后续的安全工作指引方向,很多功夫应该下在平时,而不是演习前。
以上仅供抛砖引玉,防守单位可根据自身的情况,制定符合自己的办公安全工作方案,如果这篇文章你只能记住一件事的话,那请记住:技术上封堵风险,意识上全员皆兵。

原创 十九线菜鸟学安全

标签:风险,打印机,账号,wifi,上网,事前,HW,办公网,办公
From: https://www.cnblogs.com/o-O-oO/p/18328262

相关文章

  • 【HW系列】事前准备(7):供应链安全
    本章为该系列的第7篇,也是事前准备阶段的第7篇。柿子要挑软的捏,这是演练场景下,出现在攻击队口中最高频的词了。对攻击队来说,“曲线救国”往往有着出其不意的效果,供应链打击也是近几年常见的技战法,这一节让我们聊聊供应链安全。一、网络外联区治理首先从网络层面看一看我们与哪些......
  • 【HW系列】事前准备(9):工作推进
    本章为该系列的第9篇,也是事前准备阶段的第9篇。前8篇介绍了这么多准备工作,这些繁杂的任务怎么保证有序推进呢?这一篇来聊聊这个话题。一、工作清单前期准备工作繁杂量大,梳理一份工作清单是非常有必要的。事前可以结合眼下最紧急的事项拆解任务,同时向团队内不同工作领域的人征集......
  • 【HW系列】事前准备(10):事前阶段小结
    本章为该系列的第10篇,也是事前准备阶段的第10篇,通过本章做个小结,来结束事前准备阶段的介绍,从下一篇开始,将正式进入事中迎战阶段。有幸观摩过一场线下沙龙,在讨论过程中,我发现不同性质的企业,安全的建设方案完全不一样。当时在讨论邮件安全的议题,一位互联网公司的小伙直接打趣金融行......
  • 【HW系列】事前准备(3):人员筹备
    本章为该系列的第3篇,也是事前准备阶段的第3篇。防护体系不是只有安全设备,人员也是防护体系中的重要因素,特别是强对抗场景下,需要提前准备好保障的人员,保障有人进行7*24小时监控,出现突发事件有能力协助处置。如果自己的人力资源不足,可以在预算范围内采购安全公司的驻场值守服务,本篇......
  • 【HW系列】事前准备(4):工作环境准备
    本章为该系列的第4篇,也是事前准备阶段的第4篇。这一篇让我们聊聊演习期间工作环境的准备,有点像后勤工作,不起眼但很重要,少了哪一项演习都无法正常开展。一、申请小黑屋演习过程中联动调查事件需要频繁沟通,如果能有个专用的小黑屋把防守队员集中到一起是最好的,可以大大提升工作效......
  • 【HW系列】事前准备(1):演练组织
    有幸多次参与过网络攻防对抗,有国家级、省市级的演习,有客户组织的模拟攻防、也有公司内部的红蓝对抗,打过攻击也参与过防守,现在回顾一下,其实有很多经验值得好好总结,因此萌生了站在防守视角把“红蓝/演练”写成系列文章的想法,来聊聊防守方那些事。本章为该系列的第1篇,也是事前准备阶......
  • 【HW系列】事前准备(2):防护体系建设
    本章为该系列的第2篇,也是事前准备阶段的第2篇,这一篇让我们聊聊如何在演练前增强我们的防护体系。一、流量监控体系历次对抗演练的主角莫过于各类流量监控设备了,如ips/ids、waf、nta等,关于流量监控类的设备,在精力有限的情况下,重点关注两个点就够了,一是流量监控覆盖度,二是规则的......
  • 【HW系列】事前准备(5):互联网风险收敛
    本章为该系列的第5篇,也是事前准备阶段的第5篇。前4篇重点讲的是组织方面的准备工作,从这一篇开始,让我们正式进入安全技术防控的部分,这一篇来聊聊如何进行互联网风险收敛。一、互联网系统下线系统下线是最直接有效的方法,也是防守方常用的手段,所以演习前会看到很多来自官方的业务......
  • selenium.webdriver.Firefox 与 FirefoxOptions().add_argument('--headless') 不返回
    我注意到Firefox中的无头选项会在后台运行Firefox,而不会附加任何窗口,而且我还没有找到一种方法可以在后台运行Firefox,同时仍保留Firefox窗口的hwnd能够使用。我开始使用pyvda来获取AppViewFirefox,但是pyvda.get_apps_by_z_order没有返回任......
  • HW行动在即,邮件系统该怎么防守?
    1.什么是HW行动?HW行动是一项由公安部牵头,旨在评估企事业单位网络安全防护能力的活动,是国家应对网络安全问题所做的重要布局之一。具体实践中,公安部组织攻防红、蓝两队(红队为攻击队,主要由“国家队”和厂商的渗透技术人员组成;蓝队为防守队,一般是随机抽取一些单位参与),通过模拟......