一位安全老兵的產品實施分享

發布日期:2020-06-29 19:45:25

——用心服務,讓客戶享受收獲的喜悅

        浸淫網絡安全一線技術服務行業十數載,心中有點點滴滴積累下來的經驗和體會,借著這篇文章分享給大家!網絡安全產品的技術支持工作一般分為售前、售后兩塊。售前的工作就像推銷種子,給農民介紹種子品種、特點、畝產量,種植要點;售后的工作則像是技術員,協助田間老農,一點一滴用心去呵護莊稼,直到秋后的豐收。

1.jpg

      網絡安全行業所涉及到的各個方面,大都有標準或規范,但在售后技術服務方面還沒有成文規范。導致不同的廠商/供應商給不同的客戶提供著標準不一的售后技術服務。

      售后技術服務又可以劃分為兩塊,其一是網絡安全產品技術服務,其二是網絡安全專業服務,比如安全風險評估、滲透測試、安全加固。在此淺談關于網絡安全產品的實施過程中的輸入要點,也就是網絡安全產品接入客戶的網絡業務環境中時,如何獲得更好的使用和防護效果?這在很大方面上要求售后工程師獲得更多的輸入依據。

2.jpg

很長一段時間內,售后項目尤其是信息安全項目的實施,策略配置來源一般來自兩個方面:一是客戶的需求描述,二是產品自帶廠家最優防護策略。這其中任何一個方面可能都是片面的,客戶的訴述可能偏重一種漏洞、一種業務或某一群體的防護,而產品的出廠默認防護可能缺乏對客戶、客戶業務資產以及客戶所在行業信息化特點的深入了解,進而容易產生較多誤報或漏報的情形。

3.jpg

       銥迅信息作為國內較早從事網絡信息安全行業的專業廠商,基于多年大量客戶及行業的項目交付及售后服務積累數據,總結出網絡安全產品的策略實施所依賴的基本信息輸入點如下:

       1.等級保護制度的遵循

       2.以產品功能為視角豐富客戶安全需求

       3.行業最佳安全防護實踐


    (一)等級保護制度

4.jpg

       等級保護是國內各行業建立整體信息安全體系的最重要的法律法規依據,網絡安全產品的實施首先應該遵從等級保護制度的技術保障要求。等級保護1.0到等級保護2.0,技術要求從“物理安全、網絡安全、主機安全、應用安全、數據安全”層面升級到現在的“安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心”層面,均明確指定了在不同防護等級下的應盡防護工作事宜,讓我們看一下常見網絡安全設備的策略實施目錄:

7.png

表-1  常見安全設備與等保2.0要求對照


       以上的對照表只是一個安全層面或安全類,還未深入到對應的詳細項。等級保護2.0為不同等級的信息系統詳細的定義了不同的防護要求,我們以等級保護2.0中的第三級信息系統的“安全區域邊界-訪問控制”要求配置為例進行說明:

8.png

表-2  等保2.0中第三級的“安全區域邊界-訪問控制”防護技術要求

10.jpg

     根據表-2的技術要求,以我們在實施防火墻的訪問控制策略時為例,應嚴格設置:

     a)  最后一條規則應設置為拒絕所有通信;

     b)  通過設備檢測和刪除存在沖突、多余等情況的訪問控制策略;

     c)  配置放行策略時,確保以“源地址/端口、目的地址/端口和協議”等條件的訪問策略,避免配置直接放行地址或地址段等粗狂型策略;

    d)  第二代防火墻應開啟會話認證機制來放行/拒絕通信;

    e)  第二代防火墻應開啟對進出網絡的數據流實現基于應用協議和應用內容的訪問控制;

    一旦脫離了等級保護制度要求的相關細節,就會導致客戶在做等級保護測評工作時失掉相應的權重分數,也可能失掉客戶對售后技術人員的信任。


(二)以產品功能為視角豐富客戶安全需求

       客戶安全需求往往是一組靜態的數據,比如根據行業規范、自身管理制度的要求、一份漏洞掃描報告、關閉3389端口等等,在滿足此基礎上,優秀的售后工程師也會深入了解客戶的業務系統及應用場景,分析出可能潛在的安全風險。依據之一,自身的安全經驗和經歷的浸染;依據之二,深入了解網絡安全產品的實用性功能或模塊,以具體示例來說明依據之二的價值。

    示例之一:WAF實現全面業務防護

11.jpg

        銥迅WAF在協議防護原理實現上,和其他品牌WAF實現不同,我們棄用傳統WAF使用“ip、url/host、dport”防護模式,而是單以“dport(目的端口號)”進行防護,采用對默認http/https應用的“80/8080/443”端口進行全部Web進行防護。在實際的客戶環境中,Web應用并非僅局限在80/8080/443端口之上。如果只依據客戶口述進行配置,極容易造成防護端口的疏漏,致使運行在非已知業務端口的Web應用不能納入到銥迅WAF的防護范圍之內。

12.jpg

      如何解決呢?最佳方案是結合客戶已有的出口防火墻或路由設備,以防火墻所映射的對外Web應用端口作為WAF防護端口的輸入,這樣就可以保證達到全部Web應用的防護需求。

13.png

圖-1  WAF防護端口輸入示意圖


   示例之二:業務系統弱密碼檢測與防護

14.jpg

       非加密通信的業務系統最怕其通信過程被監聽,諸如賬號/口令、個人隱私信息、關鍵業務數據等被泄露而產生巨大安全風險。雖然開發者和使用者的安全意識在增加,現今絕大多數的業務系統,都強制其用戶/管理員使用強壯密碼,但還是有一小部分業務未及時更新或被忽視,仍遭受因使用弱密碼而被攻擊的風險。產品研發團隊本著對Web應用安全管理和技術風險的分析,特在設備上集成了弱密碼檢測功能,以幫助客戶業務維護人員能及時發現或杜絕此類風險問題。

15.png

圖-2    銥迅WAF“弱密碼檢測”功能菜單

       具體實現細節表現為:

       a)  內置常見的用戶名和密碼字段組合,對于普通用戶來講,只需添加相應的登錄URL即可,無須額外配置;

       b)  內置常見的弱密碼字典,并支持用戶導入自定義的弱密碼字典;

       c)  設定“密碼安全等級”和“密碼最短長度”達標基線要求,對未能滿足此兩項要求的用戶登錄行為,管理員可設置為“提醒+繼續登錄”和“提醒+禁止登錄”兩種模式,從而從技術上提升了信息系統用戶的網絡安全意識。

16.gif

    示例之三:重保重防

         在客戶整個信息系統安全保障工作中,適逢國家重大會議/活動、法定節假日等重保重防期間,網絡安全保障工作形式格外嚴峻。從攻擊上看,國外黑客攻擊行為越發猖獗,其攻擊目標幾乎全部集中在政府、教育和典型企業的Web應用系統等?;诖?,網絡安全產品尤其是Web應用防火墻更應該發揮其無與倫比的防護能力。


         銥迅信息率先在Web應用防火墻上實現了業界獨有的重保重防機制,從網絡攻擊發起的全路徑上(掃描、數據交互、滲透、提權)和事件處置等環節予以提升安全技術防護:

18.png

圖-3 銥迅WAF“重保重防”功能菜單

19.png

圖-4 銥迅WAF“一鍵斷網”功能菜單

20.png

圖-5 微信綁定銥迅WAF后功能菜單

        a)  最大化提升識別惡意掃描的靈敏度(圖-3);

        b)  全面限制全部業務系統的所有數據的上傳(圖-3);

        c)  啟動攻擊反制開關:自動將攻擊者加入到WAF黑名單中,實施懲罰,禁止其對任意站點的訪問(圖-3);

        d) 手機號/微信號進行WAF設備綁定,即可開啟“一鍵斷網”、“一鍵提升網站防護等級”和“設備故障通知”等實用功能,快捷幫助用戶完成管理所需。

21.gif

(三)行業最佳防護實踐

       同一行業的客戶有著近乎相似的網絡環境、業務特點,乃至用著近乎相同的二進制代碼和同樣品牌硬件設備。從網絡安全層面來講,一個行業客戶所遇到的安全需求、安全漏洞與隱患、誤報等情況,在很大的概率下會是同行業所面臨的共同問題。衡量網絡安全產品層級的兩大指標:漏報和誤報往往會在行業客戶中得到更好的解決。

22.jpg

         銥迅信息自成立之初,以“讓網絡更安全”為理念,聚力服務于國內教育、衛生、政府等行業。以本文作者服務最多的教育行業為例說明,誤報多集中在OA、財務、國資、清華在線等系統,可以理解為業務涉及的正常操作和惡意攻擊數據產生了重疊,安全設備應設置相關策略,以確保滿足最小化防控原則。

23.gif

     以某系統業務代碼為例,來說明關于漏報問題。腳本示例片段說明:

25.png

          網絡安全專業產品伴隨著行業客戶不斷技術支持和服務過程中,誤報和漏報不斷降低標志著產品更加行業貼切性和成熟化。

          綜上所述,安全產品的實施 = “等級保護制度技術要求” + “豐富后的客戶安全需求” + “行業最佳防護實踐”,三者缺一不可。

27.jpg

南京銥迅信息技術股份有限公司

logo11.jpg

南京銥迅信息技術股份有限公司(簡稱:銥迅信息,英文簡稱:YXLink)是一家專業從事網絡安全產品研發與安全服務的高科技公司,高新技術企業,股票代碼:832623??偛课挥诮K省南京市中國軟件谷,在全國超過20個省市設立分支機構。