内网每年都要被渗透,19年我记得一位同事将无密码的Redis端口映射至公网,导致被渗透种马。20年是Jenkins漏洞,导致被种马挖矿。21年被通过guest wifi种马。22年被种勒索病毒,入侵原因还不知道。
再度加强安全意识与安全管理策略与构建包含DS/IPS的防火墙刻不容缓。
安全加强路径:
- 所有服务器、服务的密码统一修改更强密码,更换默认端口;
- 通过Phsense+snort+suricata构建网络监控平台;
- 通过hfish/tpot构建蜜罐,增加入侵检测报警机制;
一、防火墙架设
经过调研,计划选用pfSense+Snort构建具备IDS/IPS的内网防火墙。
https://www.pfsense.org/ https://www.snort.org/ https://suricata.io/
2.1 工具简介
phsense:开源的防火墙
snort:开源的IPS入侵防御系统
suricata:网络威胁检测引擎
二、蜜罐架设
经过调研主流蜜罐为主流蜜罐T-Pot/Hfish。
https://github.com/telekom-security/tpotce https://github.com/hacklcx/HFish
2.1产品集成型蜜罐
将内部产品所使用的默认端口修改为其它端口,然后使用默认端口用来埋设HFish蜜罐,实现产品业务侵入即钉钉通知,便于实时阻断并收集必要证据通知网安刑警。运维方面集成至产品Docker环境中,便于统一部署引诱。
2.2子网全局蜜罐
在子网初始IP段架设T-POT ALL IN蜜罐,实现全方位诱导黑客入侵。
三、运维开发人员安全规范
①及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。
②尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。
③不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。
④企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。
⑤数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
⑥敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。
⑦尽量关闭不必要的文件共享。
⑧提高安全运维人员职业素养,定期进行木马病毒查杀。