网络安全威胁监测与处置防护工作汇报材料
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过资产管理系统对公网IP地址段进行IP、端 口的发现工作。
扫描发现的IP/端口与台账进行比对, 查漏补 缺
一、确定防护对象--公网系统下沉
大力推动公网系统下沉到企业内网
非业务运营、客户服务需要的网站系统一律不得暴露到互联网! 逐一沟通分析:联合市场、产品、客服、运维等部门对公
网业务运营、客户服务、维护管理网站和APP逐一清理。 建立责任田:落实内部网络安全维护责任部门和责任人、
漏洞攻击监测
CVE漏洞库
攻击规则库
病毒库
3 URL过滤
千万级URL分类库 关键字过滤
恶意Url库 应用识别库
病毒检测
2 病毒特征库 木马特征库 蠕虫特征库
应用管控
4 应用识别 P2P/IM 网游/炒股
二、防护能力调研(四)
WAF(硬件)介绍
部署方式:串行 功能介绍:
优点 部署简易,即插即用; 可承受较高的吞吐量; 防护范围大;
URL数
省内访问URL 业务运营 客户服务 运行维护
全国访 问URL
APP
VPN
系统 接口
合计
1 确定防护对象
目
2 研究防护产品
录
3 形成防护能力
二、防护能力调研(一)
护网面临的主要攻击方式
漏洞利 用
社会工 程学
WEB渗 透
综合提 权
不限制攻击目标和路径,以提权、攻 破控制系统、获取数据为最终目的!
维护管理:对进行限制的IP地址逐一核查无法下层原因 ,进一步研究下沉可行性。
APP下沉:通过APN网关实现APP公网出口只需经由1个公 网地址发布,终端APP和APN网关之间建立APN的加密传输 隧道,所有的应用由APN网关转发。终端用户不需要知道 APP的服务器信息,也不需要在防火墙上对他们进行单独 发布,只需确定APN网关地址即可。
Hale Waihona Puke Baidu
缺点 存在一定误杀 存在一定绕过几率 价格昂贵
WAF(软件)介绍
部署方式:Agent部署 功能介绍:
优点 安装使用便捷 管理方便 功能丰富
缺点 占用内存过多 只适合中小型网站
网络层检测
HTTP请求检测
HTTP响应检测
二、防护能力调研(五)
WAF(云化)介绍
接入方式: DNS牵引 功能介绍:
加快已有入云计划的业务系统的入云进度 ,将公网出口在云平台进行统一。涉及完 成xx个公网出口的减少。
通过调整物理链路的方式,将无法通过以 上方式统一的业务系统进行公网地址的统 一。涉及完成xx个公网出口的减少。
一、确定防护对象
XX公司当前公网URL/APP/VPN统计表
单位
当前URL 梳理
4月30日下 沉后剩余
数量
一、确定防护对象--清理公网资产
严把接入关,清查三无七边资产
建立公网系统台账 建立公网系统地址、端口和用途等台账,明确
资产/URL/端口的责任单位及责任人 收集网络设备上已发布路由的公网地址段 梳理防火墙等边界设备上的映射IP及端口情况 技术手段动态发现存活公网资产
通过漏扫设备,省市两级每月完成公网地址存 活探测,更新公网IP和端口信息。
网络安全威胁监测与处置工作情况汇报
风险
资产:颗粒归仓吗 脆弱性:天衣无缝吗 威胁:明察秋毫吗
--护网,我们当前主要是防守方 --防守,不对称作战,需知己知彼,需优良武器
1 确定防护对象
目
2 研究防护产品
录
3 形成防护能力
一、确定防护对象
全面清查,大力减少互联网暴露面
推动公网系统下沉至企业内网 2019年相对2018年减少xx个; 2018年相对2017年减少xx个; 2017年相对2016年减少xx个;
专业管理部门和责任人;明确系统供应厂商、合作厂商、 系统集成厂商、外部支撑厂商责任和责任人;责任单位和 责任人逐个签订责任承诺书,加大考核力度,对公网系统 存在的安全问题增强性考核。 提高公网资产防护要求和标准:通过分级保护管理办法 , 将所有公网系统定级为最高级,作为最高等级进行防 护, 倒逼各单位主动减少互联网暴露面。
区分业务运营和客户服务,区分省内访问和全国访问。
一、确定防护对象--统一公网出口
全力收口,全面汇聚公网出口流量,出口由xx个缩减到xx个,为全网集约化防护创造条件。
对于同时具备公网和DCN网,且直接上联 到公网的相关业务系统,统一改为通过 DCN出口发布公网地址。涉及完成xx个公 网出口的减少。
特点 云WAF无需部署硬件、无需本地维护更新,全网资源共享;(本地云WAF除外) 通过修改域名的CNAME别名方式完成DNS流量牵引; 牵引后的流量将通过云WAF进行防护和处置;
缺点 存在轻易被绕过的风险:可通过强制解析域名,或者直接通过IP地址访问,可以绕过云Waf。 可靠性低:云Waf处理一次请求,需经过DNS解析、请求调度、流量过滤等环节,一个环节出现问题,会导致网站无法访问 保密性低:所有的数据会记录到云端,这相当于数据被别人保管
对未达到双因子认证等安全要求的VPN进行关闭、整合和改 造的手段进行减少。
采取技术手段将部分APP进行下沉。 要求xx个市州分公司网站合并到省中心相关网站或直接下
沉到DCN,确保xx个市州分公司无公网网站。
一、确定防护对象--公网访问控制
采取技术手段管细公网资产访问控制
接口控制:严格执行公网接口IP、端口开放的审批制度 ,接口通过接入访问控制进行限制,只允许对端地址端 口访问。
二、防护能力调研(三)
IDS/IPS产品介绍
接入方式:IDS旁挂;IPS串行。 能力说明:IDS有监测能力,无阻断能力,IPS两者具备;
IDS和IPS主要针对网络层攻击,无法监测或阻断应用层攻击。 备 注:部分IDS、IPS厂家已实现部分针对WEB攻击的检测防御能力。
入侵检测与防御
1 协议攻击防御
细分公网资产类型 真正可访问的公网URL xx个,其中
运行维护xx个、VPN xx个,APP xx 个、接口xx个。 湖南14个市州分公司无公网网站 统一互联网出口 X月初完成互联网出口统一,公网出 口由2017的xx个缩减到xx个。
互联网暴露面压降情况
类型 业务运营 客户服务 运行维护
VPN APP 接口
自动化工具扫描和渗透
SQL 注入防 护
文件上传
任意命令执行
文件包含 逻辑漏洞
缓存/堆栈溢出 代码执行
跨站脚本
远程拒绝服务
社工
路径穿越
二、防护能力调研(二)
根据业界主流产 品的主要功能进 行归纳整理,可 能存在差异。 本表仅供参考!
图示 可发现、可同 步自动阻断 可发现、不可
阻断 不可发现、不
可阻断
扫描发现的IP/端口与台账进行比对, 查漏补 缺
一、确定防护对象--公网系统下沉
大力推动公网系统下沉到企业内网
非业务运营、客户服务需要的网站系统一律不得暴露到互联网! 逐一沟通分析:联合市场、产品、客服、运维等部门对公
网业务运营、客户服务、维护管理网站和APP逐一清理。 建立责任田:落实内部网络安全维护责任部门和责任人、
漏洞攻击监测
CVE漏洞库
攻击规则库
病毒库
3 URL过滤
千万级URL分类库 关键字过滤
恶意Url库 应用识别库
病毒检测
2 病毒特征库 木马特征库 蠕虫特征库
应用管控
4 应用识别 P2P/IM 网游/炒股
二、防护能力调研(四)
WAF(硬件)介绍
部署方式:串行 功能介绍:
优点 部署简易,即插即用; 可承受较高的吞吐量; 防护范围大;
URL数
省内访问URL 业务运营 客户服务 运行维护
全国访 问URL
APP
VPN
系统 接口
合计
1 确定防护对象
目
2 研究防护产品
录
3 形成防护能力
二、防护能力调研(一)
护网面临的主要攻击方式
漏洞利 用
社会工 程学
WEB渗 透
综合提 权
不限制攻击目标和路径,以提权、攻 破控制系统、获取数据为最终目的!
维护管理:对进行限制的IP地址逐一核查无法下层原因 ,进一步研究下沉可行性。
APP下沉:通过APN网关实现APP公网出口只需经由1个公 网地址发布,终端APP和APN网关之间建立APN的加密传输 隧道,所有的应用由APN网关转发。终端用户不需要知道 APP的服务器信息,也不需要在防火墙上对他们进行单独 发布,只需确定APN网关地址即可。
Hale Waihona Puke Baidu
缺点 存在一定误杀 存在一定绕过几率 价格昂贵
WAF(软件)介绍
部署方式:Agent部署 功能介绍:
优点 安装使用便捷 管理方便 功能丰富
缺点 占用内存过多 只适合中小型网站
网络层检测
HTTP请求检测
HTTP响应检测
二、防护能力调研(五)
WAF(云化)介绍
接入方式: DNS牵引 功能介绍:
加快已有入云计划的业务系统的入云进度 ,将公网出口在云平台进行统一。涉及完 成xx个公网出口的减少。
通过调整物理链路的方式,将无法通过以 上方式统一的业务系统进行公网地址的统 一。涉及完成xx个公网出口的减少。
一、确定防护对象
XX公司当前公网URL/APP/VPN统计表
单位
当前URL 梳理
4月30日下 沉后剩余
数量
一、确定防护对象--清理公网资产
严把接入关,清查三无七边资产
建立公网系统台账 建立公网系统地址、端口和用途等台账,明确
资产/URL/端口的责任单位及责任人 收集网络设备上已发布路由的公网地址段 梳理防火墙等边界设备上的映射IP及端口情况 技术手段动态发现存活公网资产
通过漏扫设备,省市两级每月完成公网地址存 活探测,更新公网IP和端口信息。
网络安全威胁监测与处置工作情况汇报
风险
资产:颗粒归仓吗 脆弱性:天衣无缝吗 威胁:明察秋毫吗
--护网,我们当前主要是防守方 --防守,不对称作战,需知己知彼,需优良武器
1 确定防护对象
目
2 研究防护产品
录
3 形成防护能力
一、确定防护对象
全面清查,大力减少互联网暴露面
推动公网系统下沉至企业内网 2019年相对2018年减少xx个; 2018年相对2017年减少xx个; 2017年相对2016年减少xx个;
专业管理部门和责任人;明确系统供应厂商、合作厂商、 系统集成厂商、外部支撑厂商责任和责任人;责任单位和 责任人逐个签订责任承诺书,加大考核力度,对公网系统 存在的安全问题增强性考核。 提高公网资产防护要求和标准:通过分级保护管理办法 , 将所有公网系统定级为最高级,作为最高等级进行防 护, 倒逼各单位主动减少互联网暴露面。
区分业务运营和客户服务,区分省内访问和全国访问。
一、确定防护对象--统一公网出口
全力收口,全面汇聚公网出口流量,出口由xx个缩减到xx个,为全网集约化防护创造条件。
对于同时具备公网和DCN网,且直接上联 到公网的相关业务系统,统一改为通过 DCN出口发布公网地址。涉及完成xx个公 网出口的减少。
特点 云WAF无需部署硬件、无需本地维护更新,全网资源共享;(本地云WAF除外) 通过修改域名的CNAME别名方式完成DNS流量牵引; 牵引后的流量将通过云WAF进行防护和处置;
缺点 存在轻易被绕过的风险:可通过强制解析域名,或者直接通过IP地址访问,可以绕过云Waf。 可靠性低:云Waf处理一次请求,需经过DNS解析、请求调度、流量过滤等环节,一个环节出现问题,会导致网站无法访问 保密性低:所有的数据会记录到云端,这相当于数据被别人保管
对未达到双因子认证等安全要求的VPN进行关闭、整合和改 造的手段进行减少。
采取技术手段将部分APP进行下沉。 要求xx个市州分公司网站合并到省中心相关网站或直接下
沉到DCN,确保xx个市州分公司无公网网站。
一、确定防护对象--公网访问控制
采取技术手段管细公网资产访问控制
接口控制:严格执行公网接口IP、端口开放的审批制度 ,接口通过接入访问控制进行限制,只允许对端地址端 口访问。
二、防护能力调研(三)
IDS/IPS产品介绍
接入方式:IDS旁挂;IPS串行。 能力说明:IDS有监测能力,无阻断能力,IPS两者具备;
IDS和IPS主要针对网络层攻击,无法监测或阻断应用层攻击。 备 注:部分IDS、IPS厂家已实现部分针对WEB攻击的检测防御能力。
入侵检测与防御
1 协议攻击防御
细分公网资产类型 真正可访问的公网URL xx个,其中
运行维护xx个、VPN xx个,APP xx 个、接口xx个。 湖南14个市州分公司无公网网站 统一互联网出口 X月初完成互联网出口统一,公网出 口由2017的xx个缩减到xx个。
互联网暴露面压降情况
类型 业务运营 客户服务 运行维护
VPN APP 接口
自动化工具扫描和渗透
SQL 注入防 护
文件上传
任意命令执行
文件包含 逻辑漏洞
缓存/堆栈溢出 代码执行
跨站脚本
远程拒绝服务
社工
路径穿越
二、防护能力调研(二)
根据业界主流产 品的主要功能进 行归纳整理,可 能存在差异。 本表仅供参考!
图示 可发现、可同 步自动阻断 可发现、不可
阻断 不可发现、不
可阻断