1、 數據帶來的思考 網絡安全之怪現象 網絡安全精細化治理 數據帶來的思考 網絡安全之怪現象 網絡安全精細化治理專項預算專職人員安全技術支撐單位資源投入管理體系企業法人代表是第一安全責任人技術體系法律法規網絡安全法計算機網絡安全保護網絡安全流程規范管理體系網絡信息安全領導小組網絡信息安全技術負責人框架框架技術技術平臺平臺設備設備刻舟求劍目的是為了滿足合規要求不關心網絡安全實際效果亡羊補牢精力都放在事后應急處置事前事中不愿意投入資源本末倒置盲目追求新技術新平臺注重邊界輕視內網安全 數據帶來的思考 網絡安全之怪現象 網絡安全精細化治理 企業40%的攻擊源自社會工程 網絡資產弱口令占比高達20%30%的
2、漏洞是由配置錯誤導致數據來源:ACSC、NCSC、CISA、FBIMicrosoft Exchange:CVE-2020-0688、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065Microsoft Office:CVE-2017-11882、CVE-2019-0604Microsoft Windows:CVE-2020-0787、CVE-2020-1472Citrix ADC gateway:CVE-2019-19781Atlassian Confluence:CVE-2019-3396、CVE-2019-11580、CV
3、E-2021-26084Pulse Secure:CVE-2019-11510、CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、CVE-2021-22900F5 Big-ip:CVE-2020-5902Accellion FTA:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104Telerik Ui For A Ajax:CVE-2019-18935Vmware Vcenter Server:CVE-2021-21985Debian Drupal Core Multiple:CVE-2
4、018-7600Fortinet Fortios:CVE-2018-13379、CVE-2020-12812和CVE-2019-5591MobileIron Monitor And Reporting Database:CVE-2020-15505數據來源:麻省理工282541343632413127366620112012201320142015201620172018201920202021Zero-days caught in the wild數據來源:Claroty3312913654496378021H 20192H 20191H 20202H 20201H 2021 2H 2021
5、ICS/OT vulnerabilities 數據帶來的思考 網絡安全之怪現象 網絡安全精細化治理典型案例一:典型案例二:軟件版本陳舊配置錯誤普遍弱口令無人管資產管理混亂軟件版本保持更新識別配置對象,針對性管理,建立檢測機制和方法從管理制度和績效對弱口令問題進行高壓管理資產梳理、監測,資產上線變更管理,測試環境與辦公系統治理軟件版本陳舊配置錯誤普遍資產管理混亂弱口令無人管共性問題共性問題測試環境與辦公系統治理:測試環境與辦公系統治理:1.1.禁止直接暴露公網禁止直接暴露公網2.2.環境分類網絡隔離環境分類網絡隔離3.3.必要的掃描監測必要的掃描監測4.4.防范橫向移動,建立白名防范橫向移動,建
6、立白名單訪問機制單訪問機制解決設備賬號體系管理混亂問題:共享賬號、僵尸賬號、弱口令賬號、臨時賬號解決認證方式不統一的問題:身份須與每一個人對應起來賬號管理賬號管理認證管理認證管理解決訪問權限管理失控的問題:最小化原則、權限可控可審核權限管理權限管理解決業務操作層面不透明的問題:明確流程規范、明確責任關系、可溯源過程管理過程管理關鍵是解決運維人員“偷懶”的問題!典型案例一:默認用戶權限安裝問題典型案例二:默認路徑安裝問題安裝用戶權限最小化安裝用戶權限最小化應用嚴禁默認安裝目錄應用嚴禁默認安裝目錄修改必要配置文件修改必要配置文件RASPRASP技術技術欺騙技術欺騙技術典型案例一:篡改邊端數據上行云端典型案例二:遍布OT環境的勒索病毒和挖礦木馬多元環境風險點1.1.使用使用ISA-62443ISA-62443標準構建標準構建OTOT安全的生安全的生命周期模型命周期模型2.2.邊端與云端上下行數據須鑒權邊端與云端上下行數據須鑒權3.3.利用利用PLCPLC模擬軟件構建模擬軟件構建SCADASCADA蜜罐蜜罐4.IT/OT4.IT/OT網絡分級,層級之間上防火墻網絡分級,層級之間上防火墻5.5.為為IDS/IPSIDS/IPS創建工控協議規則創建工控協議規則