征文|杨文斌:终端安全之线段理论

资讯 作者:安在 2021-04-01 17:31:25 阅读:603

戳链接了解本期征文详情




终端安全之线段理论   
文 | 杨文斌



杨文斌


12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。





线段理论


线段在数学角度直观的定义:直线上两个点和它们之间的部分叫做线段,其中两个点叫做线段的端点。线段最主要的是两个端点,画线段第一步,首先是将两个小黑点完美的画出,然后用工具连接小黑点,线段绘制完成。


在互联网迅速发展的今天,越来越多的终端设备通过各种方式接入互联网中,每个功能实现的终端设备如同线段中的两个端点,终端之间通过各种形式实现了信息互通,互联互通的路径可能是直接的、间接的、绕弯的,连接方式是比线段高级的,针对这点专门搜索了线段的严格定义,连接线段两个端点之间的线是不弯曲的。终端安全就像给线段画端点,不能草草了事,必须认真对待,如果端点画的不好,形不成线段,有可能让人觉得是直线或射线。终端安全是整个安全体系中最重要的一个环节,终端是功能实现或数据落地最重要的载体,终端安全搞不好,整套安全防护体系好比空中楼阁,没有地基可言。


终端管理分类


对于一个企业来说,涉及的终端是多种多样的,根据使用场景及公司内外网环境划分,主要有办公终端、运维终端、移动终端、物联网终端。


办公终端:分为互联网终端和内网终端,通常公司会根据工作需要开通可以直接访问互联网权限的办公终端。内网终端分两种,一种是只能访问公司内部办公支撑系统的终端,另一种是工作内容需要严格管控的终端,例如研发人员办公终端,避免公司重要数据资产泄露风险。


运维终端:用来对内部网络环境中的网络安全设备及服务器、主机等进行配置管理、故障排查、日常巡检等相关工作的终端。此类终端的安全级别要求是最高的,在用户分配操作权限时应建立严格的审批管理流程及账号信息监管制度。


移动终端:随着移动互联网的发展,移动终端已发展成为支撑日常工作的重要工具,移动终端更多的定义是在非公司办公网络环境下使用的通讯工具,通常简称BYOD。



终端安全防护


终端作为数据的载体,在以数据为中心,数据安全全面治理的大形势下,终端安全是最基础最有效的防护策略。做好终端安全防护是首要任务,针对以上四种不同的终端分类,将分别给出具有针对性的安全应对措施。


一、办公终端


做安全第一步必须是资产梳理,正所谓知己知彼,知己是首要工作。对公司信息资产家底不了解,资产信息管理混乱,安全工作是很难落于实处的。在不了解公司资产现状的情况下搞安全就像无头苍蝇,东一榔头西一棒槌,最后必然演变成救火冲锋队,应急响应效率低下。


1、作为最基本的办公支撑工具,应首先对终端的MAC、IP、主机名、使用者等基本维度信息统一备案管理,形成台账,同时针对公司办公终端的增量和存量问题建立动态跟踪流程。有条件的可以建立线上自动化管控机制,借助终端的IPMAC绑定信息与CMDB平台或人资管控平台建立关联关系。目标是尽量确保对办公终端的全覆盖管控,为终端安全实施打好基础。


2、登录永远是最基础的防护入口,建立完善的符合密码要求的密码策略,如密码长度、强度、失败次数等,提高密码被爆破和解密难度。有了密码规则还需要规避默认用户、设立屏保时间、培养锁屏意识等对应的安全习惯。


3、除了登录大门,更多的攻击行为使用的是终端系统或浏览器漏洞,应建立微软或浏览器漏洞管理运营机制,特别关注微软每月高危漏洞补丁更新和各种浏览器严重漏洞,如果是互联网终端可以借助技术手段监控内部员工终端系统是否开启自动更新功能,对于内网终端,可以通过建立WSUS补丁服务器,实现漏洞补丁的更新工作,补丁管理工作已成为终端安全中非常重要的环节。


4、高危端口和异常进程监控,特别关注3389、445等可作为数据传输通道的高危端口,禁用文件共享功能,建立公司范围内终端端口和进程常态化扫描机制,形成闭环管控流程。可通过安装安全软件的方式实现自动化风险识别和快速响应。


5、建立办公终端数据管控机制,做好数据存储备份加密,使用DLP或用户行为管理工具辅助数据泄露隐患监控。办公终端严控私自外联自建无线网络,预防WIFI热点仿冒窃取敏感信息。加强社工安全意识培训。



二、运维终端


运维终端是通往内网整个信息系统的屏障,运维终端的安全性直接决定了公司资产的安全性,甚至可以决定公司的生死存亡。


1、授权管理,首要任务是对运维终端的访问权限控制,运用最小化权限原则,独立划分运维终端区域,在运维终端区域与互联网或内网信息系统之间建立严格的访问管控策略,最好是形成以NGFW、IPS为首的纵深防御防护区。同时授权工作应结合高效严格的审批流程开展。


2、账号管理,做好运维终端的用户密钥管理,建立完善的账号分发和回收机制,避免账号共享或直接暴漏的问题出现。


3、运维终端作为特殊的办公终端,需满足办公终端对应的安全防护要求。



三、移动终端


移动终端是当下最大的网红,疫情导致远程办公成为必然,移动终端的接入及数据的安全管控成为最急需解决的问题。

1、BYOD已成为企业办公更为普遍和必要的组成部分,应充分借鉴零信任模型关于终端管控建设思路,通过终端设备唯一标识及证书签名等技术手段,实现有效管控。定期开展移动终端安全性评估,结合评估结果动态调整接入策略,严格控制移动终端对公司内部信息的访问权限。

2、定期开展终端完整性检测,排查终端是否存在恶意程序植入、后门或任何未经授权代码等安全隐患,移动终端中应用程序的使用加大了风险引入的概率,应做好终端内程序安全性管控和监测。全面做好硬件层、系统层、应用层安全防护。



四、物联网终端


物联网是物物互联的网络,物联网终端被认定为物联网的神经末梢,用来实现对物理世界的信息采集、识别、控制,同时将信息传输到服务端,接受决策指令。物联网安全是物联网整体安全的关键环节。


1、物联网终端普遍安全能力较低,硬件长时间无人值守易被破坏,固件认证鉴权不严格易非法访问,应用程序管控不严格易引入恶意程序,数据监管不到位导致泄露篡改。

2、为解决管控问题,应对终端进行分级分类,建立差异化且有针对性的管理机制,同时需要建立终端安全风险评测,有效评判终端上线前及运行过程中所处的风险级别。

3、针对授权和安全能力问题,建立集安全认证、数据加密、安全存储为一体的物联网终端安全保障体系,建立物联网安全管理平台实现对物联网终端事前预警、事中监测、事后监控,构建端到端安全可信体系架构,使得网络具备自身免疫安全防御能力,形成主动免疫机制。



最后


终端是互联网末端最重要的资产,是组成互联网世界的最基础元素。不同的公司应根据自身的业务场景,建立最适合自身安全发展的终端安全体系,强化人的因素,加强终端安全意识培训并定期开展安全演练,为终端管理及持续安全运营提供保障。重点从终端资产管理、身份认证、访问控制、监控审计方面开展安全能力建设,在全面了解自身终端资产及安全风险点的前提下,融合大数据分析、AI人工智能等先进技术,建立终端联防联控安全屏障,形成符合公司安全现状的智能一体化终端安全防护体系。




三~四月主题:《终端安全


征文|肖文棣:终端安全的企业实践

原文阅读查看往期征文合集
   ▼加入诸子云



齐心抗疫 与你同在 



你怎么这么好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接