HVV期间的VPN安全策略;如何管理远程桌面软件 | FB甲方群话题讨论
2024-5-24 11:45:52 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 236期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

话题抢先看

1. 攻防演练期间,VPN 很容易成为突破口,应该如何防范?

2. 管理员在外网能不能远程访问服务器和单位自己的PC,应该采用什么样的方式远程?

3. 针对远程桌面软件如向日葵、Todesk等,大家是如何管理的?

4. 针对分支机构或VPN接入的办公终端,经常发现存在挖矿流量告警,这种需不需要处置?

话题:攻防演练期间,VPN 很容易成为突破口,应该如何防范?

A1:

可以把禁止通过VPN进去内网写到禁止项里面。

A2:

关注VPN本身是否有漏洞,及时修复,严重情况要停掉。

A3:

1. 清理一波僵尸帐号;
2. 多因素验证;
3. 能禁用的禁用;
4. 夜间停服务。

A4:

VPN本身的密码加强,禁止弱口令,进行一轮强制密码整改。VPN的使用,禁止非工作时间段连接VPN。VPN的升级,更换VPN为零信任,增加2FA验证。

A5:

双因素都不一定有效了其实,第一次绑定双因素你总得用邮箱告诉他怎么操作,攻击队拿到这封邮件反手自己绑定了,都是血与泪。

A6:

双因素只能解决用户层面的风险,不能解决设备本身系统、底层的风险。

A7:

从风险本质上来说,VPN跟零信任没有任何区别。

A8:

那还是多套了一层的,多一层相对还是更安全一点。

A9:

VPN最怕的是本身有漏洞,这种情况即使用户安全意识再好,都直接被搞了。似乎可以用一些所谓的零信任,对外部人员端口隐身。

A10:

1 .让厂家修复VPN设备漏洞;
2. 考虑使用多因素认证;
3. 增加VPN监控的阻断设备;
4. 取消特权管理员用户;
5. 临时改为零信任取代VPN。

A11:

如果考虑极端,对方使用0 Day,单一从VPN角度也没得防了。这个其实还是整体安全能力的对抗,比如在IT设施的各个层都有能力(纵深防御框架),多层安全能力的预警结合类似业务系统侧日志分析(UEBA等)进行威胁捕获。

A12:

让我想起某些厂商一堆防火墙的图,套几层,能降低风险,但是用户体验比较差。

A13:

规划好VPN所在的区域(如办公区、运维区),按人员角色分配其接入的VPN。

A14:

如果只是一般的安全措施,那么大家说的比较全面,无外乎MFA、账号整改、删除多余账号、弱口令整改 等,但其实核心问题在于VPN本身存在漏洞,做再多整改VPN的工作都于事无补,所以还是要在VPN前面加ACL访问控制,FW指向公司办公出口等,这样能让专门扫描VPN 0Day的红队找不到 ,必要时也可以隔离VPN下线。

Q:管理员在外网能不能远程访问服务器和单位自己的PC,应该采用什么样的方式远程? 

A15:

基本都是VPN或者零信任到堡垒机,然后去服务器。

A16:

杜绝,但是可以面对突发情况,可以走特殊形式访问,需要层层审批管控。

A17:

HVV期间原则上远程都关了的,特殊情况用VPN+堡垒机。

A18:

我记得之前有个在VPN之前套WAF的,这个路子好使的话,可以前面套几层WAF,什么Cloudflare 、Akamai都套上。

A19:

我们就是VPN的内网流量单独镜像给了NDR,没有搞太多控制。我好像在哪里见到过,VPN后面是硬件墙,VPN开放规则以后硬件墙也要开放IP规则。

A20:

我觉得传统VPN和传统网络的问题就是权限粒度不够细化。如果能做到千人千权,每个用户只能访问自己有权限访问的地址,并且有审计,其实还好。就算某个User的VPN被打穿了,进了内网也是寸步难行。而不是不设防的无人之境。

A21:

你这还不如套几层WAF,管理成本太高了。

A22:

权限粒度不够大多不是设备本身的问题,而是管理成本的问题。我知道的设备好像都是支持到端口级的粒度,但是这么多用户,业务资产IP这些时不时调整变动,人员岗位也会调整变动。

A23:

端口级别其实还不够细致。主要是现在大多数网络设备不支持云上的安全组。

Q:针对远程桌面软件如向日葵、Todesk等,大家是如何管理的?

A24:

不鼓励使用,也不强制禁止,毕竟算是个灾备方案。

A25:

我这边是默认禁,有流程申请的人会单独开。

A26:

严禁向日葵,漏洞太多,Todesk严格限制,紧急情况下管理员远程VPN进来开白名单临时放行。

A27:

服务器上是严禁向日葵、Todesk这类远程软件的,必须VPN+堡垒机,碰到晚上紧急联调这种情况允许临时开终端。

A28:

定期扫描,发现有没有这些服务端口,然后定位处理。

A29:

除了话题说的这几个常用工具还有最常用的Xshell ,其实核心问题不在于运维工具本身,运维工具可以通过本公司的运维库申请下载,主要是在用运维工具之前 ,要给运维的服务器做身份的认证,只有认证通过了才可以用运维工具运维主机。

A30:

1. 建立流程及权限审核,强制必须增加开通有效时间(且最长限制如一个月或一个季度(或者规定类型厂商远程协助一天,临时远程一天等),强制流程闭环审计);
2. 终端软件管理默认禁止(且指定安全版本或者企业版本可强管控),按审核流程开通,绑定mac地址等;
3. 建立好权限回收机制及闭环流程。

Q:针对分支机构或VPN接入的办公终端,经常发现存在挖矿流量告警,这种需不需要处置?

A31:

需要,还要控制一下访问对象(资源门户)的权限,最好是能精确控权。

A32:

需要,因为有相当大的概率是RCE漏洞或者弱口令进去的,即使说病毒没有产生后续损失或者对性能啥的影响不大,这个进去的路径可能被其他人利用。

A33:

肯定要处理的,不然可能从分支传攻击流量过来,然后也涉及了分支机构的安全管理问题,这超出了VPN安全这个命题了。

A34:

宁可错杀不能放过一个,之前确实有人电脑一直发现有挖矿流量告警,排查了以后是迅雷触发的。

A35:

这种会被监管机构通报的,属于立查立改。

A36:

这种肯定是需要的,一般通过钓鱼让终端/移动PC中毒说明本机已经不受控了,而且能中挖矿说明本身就是一个不好的信号了,说明攻击者只要愿意好可以套取用户的VPN和业务系统的账号密码。一般来说只要病毒修改下网卡,就可以伪装钓鱼网站从新定向,然后套取用户密码。

本周话题总结

本期话题讨论了VPN及远程访问安全相关话题。对于攻防演练期间的VPN安全,大家普遍认为可根据情况适当禁止VPN使用,并加强VPN自身漏洞的排查;对于管理员在外网能否远程访问服务器和单位自己的PC,除了套上WAF,也需要重视审批和管控,特殊情况可通过VPN+堡垒机;针对远程桌面软件的管理,认为最好默认禁止,特殊情况需审核流程单独开通;对于分支机构或VPN接入的办公终端经常发现的挖矿流量告警,讨论一致认为需要对其进行处理,最好能够精确控权。

近期群内答疑解惑

Q:大家对核心数据、重要数据这块是怎么去理解的,一般公司内部会自己去归类自己属于这二类数据的范畴吗?如果公司归类的话,是依据相关文件吗,主要涉及哪些文件?还是监管下发的通知去填报?还有就是有什么办法去规避公司归到核心数据、重要数据的范畴?

A1:

这个都是监管制定的目录,监管确认你有你就有,和关键信息基础设施一样吧。

A2:

核心和重要数据识别的条件最下面有一条:经有关部门和行业主管部门评估确定。

A3:

主要由工信部制定重要数据核心数据识别、防护标准,制定行业重要数据、核心数据具体目录,参考《数据安全管理办法》第七条。

Q:制定漏洞修复流程的时候,上报环节应该是识别漏洞后、修复方案制定前。还是在漏洞修复后啊?

A1:

当然前置,漏洞都对应风险等级,风险等级对应流程。

A2:

修复方案制定后吧,我最近也在搞这个,但是制定漏洞修复方案要和业务沟通。

A3:

修复方案制定前,你直接修了,业务挂了、蓝屏了、影响用户使用了等都是问题,发现漏洞,制定修复方案 然后领导着急其他部门业务部门一起开会,哪些要修复哪些不修复 ,哪些可以用其他手段抑制,哪些留到下一个版本上线在修复,很多事都要考虑的,你要直接修了,离走人也不远了。

A4:

这个上报指的是上报的工信部。

A5:

上报工信部前,你们自己要对齐再上报。

Q:有400T数据通过2台服务器之间万兆网卡直连方式拷贝到本地服务器,有什么方式检测恶意文件、木马病毒吗?其中有一台服务器有EDR,但是实时扫描能扛得住这么大数据量吗?

A1:

开扫描。EDR除了数据慢点,其他的没啥问题。

A2:

单独这台机设置定时扫描,每隔多久阈值重复扫描。处理改成记录,先不要自动处理。

甲方群最新动态

上期话题回顾:

如何应对专线攻击;总部与分支机构的安全责任划分

活动回顾:

碰撞AI安全的火花,探索企业安全建设新路径 | FreeBuf企业安全俱乐部广州站

近期热点资讯

超火爆的Fluent Bit曝关键漏洞,影响几乎所有云服务商

可绕过身份验证,GitHub企业服务器曝满分漏洞

英特尔AI模型压缩器现满分漏洞,可导致任意代码执行

Grandoreiro木马重浮水面,全球1500多家组织遭殃

《互联网政务应用安全管理规定》发布

FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

1637910517_61a087f564a8754ee18be.png!small

【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。


文章来源: https://www.freebuf.com/articles/neopoints/401782.html
如有侵权请联系:admin#unsafe.sh