背景是这样的,客户公司有很多系统,大概都是十多年前开发的,已经换了3-4波运维厂商了,因为管理的问题,源代码无处寻觅。导致有一些安全漏洞问题无法通过改代码来补,只能通过加waf策略这些外部措施来进行防护。客户问我:对这类系统的安全防护,运维层面可以做什么?应该从等保来看吗?除了等保还能看什么标准,或者是有什么最佳实践?通过对客户公司现状的了解,我认识到有以下几个限制:- 首先成本不能高,如果成本高人家不如再开发一个系统好了;
- 其次运维措施得能落地,客户那边没有的设备,尽量不要提,比如SIEM、SOC啥的;
- 最后就是客户那边有的设备,尽量用好用对,目前就只能加waf;
- 当然,也不能给领导们和底下的兄弟太大的工作负担,收益小的得剔除,只做收益高的防护动作。
为了让客户满意,我努力的想了又想,改了又改,既然无法“治本”(修改源代码),那就必须“强标”(强化外部防护和监控)并“固本”(提升系统自身健壮性)。用不变的纵深防御体系理论(Defense-in-Depth)让客户看到价值。外层减少攻击面 → 中层阻断常见攻击 → 内层保住数据与权限我们首先可以把所有老旧系统都用独立的VLAN,与办公网和互联网严格隔离,这个本来就是普遍遵循的基础安全规范,也符合等保2.0对“区域边界防护”的硬性要求。通过询问,客户这边已达标。然后就是仅开放业务必须的端口,尤其要关掉3389,22之类的高危端口(大家应该有所了解,全职攻击者会使用扫描工具全天候地扫描互联网上所有开放了22和3389端口的IP地址吧?)如果必须开放一些管理端口如服务器的SSH/RDP,那就指定跳板机IP或仅限办公IP访问。当然,如果有网络层的防火墙,看看是否支持IPS,把厂商预设规则加上去。看上去很简单,用好waf就行,因为比较强的waf确实能拦住大多数的常见web攻击。如何用好waf也是一门小小的学问,这里就不赘述,后续有时间专门讲讲。因为没办法从源码改漏洞,只能强化主机自身了。我们可以把主机补丁及时更新,账号权限最小化,并且对主机进程和文件进行监控。嗯,这些除了费点人工成本,其他成本不大,毕竟操作系统就有自带的工具(如 Linux 的 ps/top、Windows 的任务管理器),每周检查 “异常进程”(如不明.exe、占用资源过高的进程)
这里的目标很简单,就算我的系统被攻破了,我的数据也不会被泄露和篡改。怎么做呢?首先我们要把重要点的数据备份,可以备份到异地。然后我们要把重要点的数据加密。| 1. 传输加密:已用 HTTPS/SFTP 的基础上,确认加密协议版本(禁用 SSLv3、TLS1.0,用 TLS1.2+);2. 存储加密:若系统数据库支持(如 MySQL 的 TDE、SQL Server 的透明加密),启用基础存储加密;若不支持,用操作系统 “文件加密” 功能(如 Windows 的 EFS、Linux 的 ecryptfs)加密数据文件 |
除了这些纵深防御,定期的安全自查和审计也是必不可少的,这些都能够提前发现一些异常,减少真发生安全事件后的损失。就这么多吧,我也懒得再想更好的方法了(毕竟没有即时的正反馈)。有灵感或者经验更丰富了再聊。我最近在研究网络安全运营平台(SOC)相关技术,写个人学术研究论文用,欢迎以下朋友加入我的交流群:
- 正在使用某款平台的运维/安全同仁
- 有开发过相关功能的工程师
- 想了解 SOC 架构/场景的研究者
🧩 请加我微信:catfishfighting(备注:SOC,不备注我就默认拉安全大群了)
📋 然后邀请大家填写一份SOC功能小问卷,调研完成后我会第一时间在群内分享分析结果。
一起学习,一起进步 🙌
或者直接点链接:https://www.wjx.cn/vm/rKrDnqL.aspx#
还没有评论,来说两句吧...