运营商省级机构的网络安全实战攻与防

由于业务迭代较快，部分运营商省级机构的安全建设往往滞后信息化建设，安全工作经常以应对两部委考核为目标。经过多年的安全建设，虽然多数运营商省级机构的主要安全防护手段已经逐步齐备，但是在面对有组织、特别是有国家背景的网络安全攻击时，依然会暴露出安全建设与运维过程中存在的一些不足之处。

通过网络安全实战中暴露了一些不足

1、风险识别覆盖不够

• 资产管理不当：非核心系统，尤其是老旧、未经允许私自上线系统的资产“四无”（无管理、无使用、无防护、无必要）情况，在部分省/专业公司依然还存在。

• 系统带病上线：因业务系统迭代快，存在上线准备工作不足的情况，甚至有系统未经许可私自上线的可能性，这必将导致业务系统带病上线，成为安全体系中的显性短板。

• 敏感信息泄露：在第三方共享平台依然能够发现部分省/专业公司的敏感信息，为攻击方提供了便捷突破口。

• 互联网暴露面较大：部分省/专业公司暴露在互联网的资产达到几十、甚至上百个，扩大了互联网攻击面。

2、安全防护存在缺失

• 人员安全意识薄弱：部分省/专业公司安全意识培训不够深入，安全意识存在短板，无论是内部人员还是第三方厂商人员，容易遭到水坑攻击、钓鱼攻击、鱼叉攻击等社工攻击，成为攻击者突破的对象。

• 供应链防护不足：部分省/专业公司网络安全防护工作没有全面覆盖从供应商、制造商、分销商、零售商直到最终用户整个供应链，违背安全防护“木桶原理”。

• 网络隔离粗放：部分省/专业公司内网平坦化、纵深防御薄弱，一旦互联网边界被突破，即可全网漫游；并有部分省/专业公司虽然网络区域划分合理，但各网络区域之间及本单位与集团之间仅依赖于传统防火墙隔离，且隔离策略粗放；

• 终端安全管理薄弱：部分省/专业公司依然存在内部员工、外部运维、供应链厂商为工作方便私自将不合规终端接入网络、私自打通内网与互联网通道的情况，使得网络边界成了难以抵御攻击的“马奇诺防线”。

• 已知漏洞难以修复：部分省/专业公司的网络设备、中间件、数据库、老版本操作系统因版本过低、或影响业务等原因依然存在未加固漏洞，对进入省/专业公司内网的攻击行为缺少有效防护。

• 集权系统防护脆弱：部分省/专业公司防护资源主要集中在互联网系统、核心系统，而VPN、邮箱、域控服务器、杀毒系统、单点登录系统、云管平台、大数据平台防护薄弱，已经成为攻击的重要目标。

3、安全检测能力不足

• APT攻击隐蔽性强，难以发现：部分省/专业公司只部署的基础特征检测的传统手段，APT的检测、响应、溯源能力存在不足。

4、安全响应效率不高

• 响应效率需要优化：部分省/专业公司虽然有了标准的SOP，但因人工交互多、跨系统平台多、人员能力达不到要求等问题，导致响应速度慢，处置流程复杂、恢复周期长。

• 追踪溯源困难：在响应处置过程中，由于日志记录缺失、入侵痕迹被清除等原因，部分省/专业公司即便完成安全事件处置，也很难对攻击方进行高效追踪溯源。

面对网络安全实战应关注六个关键点

针对运营商省级机构在面对有组织、特别是有国家背景的网络安全攻击时暴露的一些不足之处，除了建立有效的安全防护体系外，还应该重点关注以下六个关键点。

1、防止被踩点

攻击者首先会通过各种渠道收集目标单位的信息，收集的情报越详细，攻击则会越隐蔽、越快速。省/专业公司首先应避免系统带病上线；其次应尽量理清本单位资产情况，清理泄露在公共信息平台敏感信息，加强全员（尤其是未参与信息化建设人员、第三方厂商人员）安全意识教育；同时应重点加强供应链的安全防范。

2、收缩暴露面

攻击者往往不会正面攻击防护较好的系统，而是找一些可能连省/专业公司自己都不知道的薄弱环节下手。这就要求省/专业公司应充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息，从攻击路径梳理、互联网攻击面收敛、外部接入网络梳理、隐蔽入口梳理等方面开展互联网暴露面的收敛工作。

3、开展纵深防御

在前期工作基础上，省/专业公司暴露在互联网上的资产必然会成为攻击者的首要目标。一旦一个点突破后，攻击者会迅速进行横向突破，争取控制更多的主机。所以省/专业公司应建立纵深防御体系，从互联网端防护、内外部访问控制、主机层防护、重点集权系统、各类终端、无线网络、外部接入网络防护等方面考虑。通过层层防护，尽量拖慢攻击者扩大战果的时间，将损失降至最小。

4、守住关键目标

核心目标系统是攻击者的重点攻击目标，也应重点防护。上述所有工作都做完后，省/专业公司还应重点梳理目标系统及其相关系统的业务流和数据流、目标系统开放的服务及API接口、目标系统与其相关系统之间的数据传输方式和加密手段等。同时还对重点目标系统进行交叉渗透测试，对目标系统的进出流量、中间件日志进行安全监控和分析，充分检验靶标系统的安全性。

5、监控要全覆盖

任何攻击都会留下痕迹。攻击者会尽量隐藏痕迹、防止被发现，而省/专业公司应尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防护单位检测、响应、溯源最有力的武器，基于多年实战经验，有效的安全监控体系需在重点在全流量威胁监控、主机威胁安全监控、安全日志监控、情报预警监控几方面开展。

6、高效协同响应

借助全流量威胁监控和自动编排技术，辅以人工的分析研判，省/专业公司能够针对网络高级威胁的及时检测、响应、溯源，实现从以往出现安全事件的个案应急响应到实时全流量检测、实时自动响应处置、实时人工分析的持续响应的转变。

声明：本文来自奇安信安全服务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。