本帖最后由 秦宇翔 于 2024-11-14 22:17 编辑
客户背景: 客户侧历史购买深信服AF、IPS、Atrust、MSS、SIP、STA、AC等产品,开展SOP价值呈现之前,售后支撑处于被动式救火状态(也就是客户有需求时,我们及时支撑,每季度做一次设备巡检),给客户的感知就是深信服服务响应快,能随叫随到。 客户现有的安全产品交付时(历史遗留问题),只按照单产品基线进行交付,在重保期间进行一次设备配置。刚接手时部分客户侧甚至没有整体拓扑,而其他安全设备之间也只是单产线配置,和深信服其他产品都没有进行联动,只存在于重保期间对单产品进行配置检查,打补丁,升级库。客户侧整体的安全效果到底怎么样?很少有人关注并真正帮助客户站在客户视角分析目前客户安全建设效果到底怎么样、有哪些潜在风险、需要怎样加强安全建设等。客户认为日常不出安全事故不被通报那么他们的安全就做的还可以,好多安全设备在客户现场并未充分利用起来,安全设备很久才登录一次,最新的安全威胁也没有在关注,客户不清楚怎么把安全设备充分利用起来。 已完成五家客户SOP开展,并取得了一定的成果。以下按照效果最好的前三家作为案例,进行整体叙述。
目录 1、案例事件 1.1某省局安全事件推动SOP安全效果体现。 1.2某省厅安全产品SOP联动MSS效果体现。 1.3某省厅基于SOP后对MSS的测试 2、如何利用SOP做安全检查 2.1安全标尺的五个关键问题 2.2五个问题划分多个小问题进行体检。 2.3根据西北区SOP安全效果价值交付方案体验表进行体检。 3、各个设备网络安全检查 3.1防火墙AF 3.2. aES配置 4、如何针对不同的客户进行SOP安全检查? 5、为什么要开展SOP检查、开展后感想
1、案例事件1.1某省局安全事件推动SOP安全效果体现。刚接手时,客户侧没有完整拓扑,深信服只有AC和EDS两种产品,只是各个厂家只有自己设备的拓扑。首先我们对拓扑进行了收集整理,绘制整体的完整拓扑,移交给客户,再这个过程中,我们把其他厂家的安全设备统一使用了深信服的标识。(私心比较重,主要还是有目的,让他一看拓扑,就第一时间想到我们深信服。感谢大佬提供的深信服图标库https://bbs.sangfor.com.cn/forum.phpmod=viewthread&tid=211331&highlight=) 某天下午七点,省局突然断网,断网第一时间电话联系我这边,进场进行排查,在锐捷交换机上发现大量ARP spoofing和DDOS泛洪。一层楼一层楼进行排查,发现12楼出现的问题,由于时间比较晚,客户上班的人较少,查找到该主机,主机安装Sniffer,分析报文发现该主机成为傀儡机,立即断网隔离,网络恢复。给客户出具报告说明后,客户才开始对网络安全重视起来。次日原厂同事李文波,配合上架测试WAF、SIP、NIPS、STA和aES。测试完成后,整体按照SOP进行整改,整体完善了SOP提出的五个关键问题。客户满意度很高,主动提及了表扬信,还在BBS社区中发表了建议。随后针对于局信息中心,客户主动提出能不能协助他们完善网络安全规章制度,后续出现网络安全问题的应急方案等,客户侧越来越信赖我们。 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=310979&page=1#/pid4255395
1.2某省厅安全产品SOP联动MSS效果体现。客户有AF、WAF、NIPS、aTrust、LAS、AC(全网行为管理)、产品。后续项目实施,新添加了STA、SIP、AC(上网审计)还有MSS服务。接手后,进行SOP检查发现,除了出口防火墙有策略之外,剩余安全产品策略较少,没发挥主要作用,黑白名单未自定义名称,NET策略也较乱,AC、aTrust和LAS几乎是空跑的状态。 经过商量后,首先我们联系MSS服务经理孙标(这里感谢孙标哥17803@新手549576 鼎力相助,一直和我们熬夜加班加点,光是报告我们就输出了将近200M,恢复客户满意度的时候,孙标哥也提出很多建议来帮助我们。),对厅资产进行TSS漏洞扫描,并输出结果,配合我们一线进行安服的报告整理,客户拿到我们报告文件后,第一时间反馈出我们服务要比其他厂家好,并且报告输出及为详细。我们主动提出给厅网络进行SOP网络安全检查工作,和文波同学一起对整体网络进行了SOP测试,把设备接入云图,协助客户绘制了最为明细的拓扑图,一项一项安全设备检查得出结论,并以百分制的形式进行材料输出。 看到安全效果评分后,客户知道自己的差距是多少,并且和其他厂家进行横向对比,多次提出我们服务要好很多。客户看到价值,最终完善了安全产品的最佳实践配置,联合MSS服务,完善了云+网的安全防护。随后我们主动提出aES测试,aES和现有安全设备进行联动并进行演示实验。通过与网络安全、身份管理和流量监控等设备的联动,实现了跨终端、网络、应用的多层次防护,客户看到了aES的价值,并且也完善了云网端安全体系的构建。
1.3某省厅基于SOP后对MSS的测试上述已经完成了两家SOP,针对于只有我们自己产品进行分析,取得了一定的成果。随后某厅听说我们SOP测试后,主动邀请我们去单位进行SOP安全效果交付。 客户侧安全设备齐全,但是安全效果很差。态势感知流量不全,配套甚至没有部署探针,拓扑并不完善。于是我们作为客户侧临时驻场,叫厂家梳理网络架构,我们来绘制详细的拓扑,让他们登录设备,我们来进行测试对接。按照SOP引导出安全效果五个问题,给出安全效果评分、差距和整改建议。随后客户提出有没有什么办法能把门户网站检测并实现防护。我们提出了云网端的解决方案,云MSS进行测试,网部署AF、IPS、WAF进行整体防护,端aES进行测试。同时对整体进行漏扫和防护,对被挂黑链事件进行分析溯源并输出完整报告,和客户每项进行解释说明。客户侧刚开始很不理解,为什么设备上架后仍然还有漏洞。解释后,才慢慢明白网络安全的重要性。随后主动提出要给我们写表扬信。客户也看到了价值,并且我们协助客户完成了整体的应急响应制度的建立,完善了安全管理机制。
2、如何利用SOP做安全检查2.1安全标尺的五个关键问题A. 能不能及时发现/少出/不出安全事件 B. 出事儿后我能不能第一时间知道 C. 我能不能更快的处理好安全事件 D. 我能不能快速溯源清楚并规避 E. 当前的热点事件有哪些,我会中招吗,如何不中招?
2.2五个问题划分多个小问题进行体检。A.能不能及时发现/少出/不出安全事件 基于云网端指定百分制体检方案,云进行亿级威胁情报库实时云查能力,查看是否配置。网安全设备是否按照最佳实践实施,配置是否合理、生效。EDR/aES是否按照最佳实践配置,客户侧是否清楚完整的知道设备主要功能。 B.出事儿后我能不能第一时间知道 客户安全设备是否绑定云图,是否有告警机制,重要资产是否有MSS服务,内部是否有安全应急响应机制,是否有人查看设备告警。 C.我能不能更快的处理好安全事件 多个设备是否配置了联动响应,微信或AF智能运营是否启用,是否有安全运维团队,是否有高可利用性漏洞。 D. 我能不能快速溯源清楚并规避 安全设备日志是否开启,日志是否完全,STA镜像流量是否完全,https解密是否配置。 E. 当前的热点事件有哪些,我会中招吗,如何不中招? AF、SIP是否有热点事件防护,aES是否全终端安装。 2.3根据西北区SOP安全效果价值交付方案体验表进行体检。 | | | | | | | | | 供云端亿级威胁情报库实时云查能力,支持对未知的DNS、IP、URL流量实时上云检测,100毫秒内实现云端亿级已知威胁实时拦截,未知威胁5分钟全网情报同步即时拦截;
并提供按年服务的本地设备网络杀毒功能与更新服务,联动云端海量威胁情报、AI智能引擎检测能力,未知文件MD5值实时云查。
适用于AF无法联网情况。如可联网请选用“云鉴订阅软件”(包含本地杀毒SAVE引擎开通和引擎更新、云端新型威胁检测、云端威胁情报同步) | | | 常见的安全防护规则库(IPS、僵尸网络、应用识别) | | 包括WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力。 | | | | | | 上网安全防护(僵尸网咯、漏洞攻击防护、文件检测、联动封锁) | | 服务器防护(web 应用防护、漏洞攻击防护、文件检测、僵尸网络、联动封锁) | | | 应用控制策略按最小开放原则
开启地域访问控制策略(不访问国外场景) | | |
| 双向地址转换少用,内网访问域名场景通过内网 DNS \AF的 DNS 透明代理\DNS -mapping | |
| | | | | 常见的安全防护规则库(IPS、僵尸网络、应用识别) | | 包括WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库定期更新,保持设备具备检测防御最新威胁的能力。 | | | 实施漏洞分析、WEB 应用防护,专门用于服务器业务防护,数据中心场景强烈推荐 | | | | | | 上网安全防护(僵尸网咯、漏洞攻击防护、文件检测、联动封锁) | | 服务器防护(web 应用防护、漏洞攻击防护、文件检测、僵尸网络、联动封锁) | | | 应用控制策略按最小开放原则
开启地域访问控制策略(不访问国外场景) | | |
| 双向地址转换少用,内网访问域名场景通过内网 DNS \AF的 DNS 透明代理\DNS -mapping | |
| | | | | | | 包括安全检测特征识别库、系统更新、文件智能分析模型库、安全知识库、IOC威胁情报库、热点事件、白名单库等。 | | | 通过云端情报来实时检测分析,解决客户本地IP/域名/URL情报有限的问题 | | | 支持通过syslog、WMI、JDBC、webservice等主流接入方式,对第三方网络设备、安全设备、操作系统、中间件等日志信息进行解析,解析后的日志可在平台存储和检索 | | | 用户可免费导入所有支持的第三方应用,但可使用的应用数量,由购买的应用授权数量决定,应用授权收费2万/个,不限时间;每个应用不限实例数量,如客户购买使用华三防火墙的联动响应能力后,可与多个华三防火墙联动,仅占用一个应用授权。 | | | | | | | 将提供的资产信息录入 SIP,SIP 资产自动发现功能 | | 镜像完整性确认,风险告知
STA 选择高级模式
SIP的网络流量日志/http日志的方向记录完全 | | | 网站攻击检测/漏洞利用检测/访问记录分析(STA 安全策略+正常访问记录) | | | | | 联动深信服及三方设备进行自动安全事件自动处置(剧本处置) | | |
| | |
| | | | | | | 【高级版相比基础版新增功能】
周密预防:轻补丁漏洞免疫
全面防护:无文件攻击防护、RDP二次认证、可信进程防护、关键目录加固
灵敏检测:网端联动杀毒(SIP、AC、AF、XDR)
快速响应:域名隔离、进程阻断、网端深度联动(与SIP、AC、AF、XDR)、全网威胁定位
简便运维:屏幕水印、应用管控
【全量版相比高级版新增功能】
深度检测:终端行为数据采集、(单品)高级威胁行为检测(IOA)、(单品)攻击进程链可视化展示
(单品)威胁狩猎、内存马检测等
个人高级版对标服务器旗舰版
个人全量对标服务器全量版 | | | | | | | | | | | | | | | | | | | | | | |
|
3、各个设备网络安全检查3.1防火墙AF3.1.1云图对接,微信推送告警、微信一键处置、风险报表。 3.1.2安全防护效果的配置检查 针对用户上网防护的配置,针对于漏洞攻击防护、僵尸网络、save智能检测引擎和新型病毒查杀的内容安全。 3.1.2.1进入防火墙,[策略]-[安全防护策略]-[新增]-[业务防护策略开启业务防护策略。 3.1.2.2进入防火墙,[策略]-[安全防护策略]-[新增]-[用户防护策略开启用户防护策略。 3.1.2.3 地域防护策略检查,主要用于拒绝或允许某国家或某地区IP流量访问AF保护的内网区域;内网区域主动访问外网不受影响。 3.1.2.4 web应用防护策略检查,主要针对客户内网的WEB服务器设计的防攻击策略,可以防止命令注入、SQL注入、XSS攻击等各种针对WEB应用的攻击行为,以及针对WEB服务器进行防泄密设置 【策略】-【安全策略】-【安全防护策略】里面新增【业务防护策略】,在【防御】-【增强功能】-【WEB应用防护】选择【对应模版】,查看是否设置对应策略动作。 3.1.2.5 云威胁情报网关防护策略检查,是否配置引流策略,是否配置僵尸网络并拦截。(需要授权!!!当前AF仅8.0.85R版本且打了智能引流补丁包或8.0.90及以上版本支持云威胁情报网关功能测试,8.0.85版本或8.0.85R未打智能引流补丁包版本不支持云威胁情报网关功能测试。) 3.1.2.6 云蜜罐主要作用布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力(需要云蜜罐授权!!!) 。 3.1.2.7 对接MSS/XDR、EDR,对接MSS/XDR、EDR,实现云网端安全防护,告警消减,并且实现联动处置。点击[下一代安全防护体系]-[云网联动]-[云网接入设置]-[云图]图标,填写企业ID和账号,点击[立即接入]接入。 3.2. aES配置3.2.1网端是否有联动配置,对接AF防火墙、SIP态势感知、MSS 3.2.3 EDR策略检查 3.2.3.1 是否开启终端资产信息登记开启终端防护中心密码保护 3.2.3.3 终端行为与日志信息采集是否进行采集设置 3.2.3.4 是否针对客户终端情况去开启资源优化模式并开启定时扫描任务 3.2.3.5 是否开启文件实时防护、勒索防护、漏洞防护、文件实时防护 3.2.3.6勒索病毒防护策略 3.2.3.7漏洞防护策略 4、如何针对不同的客户进行SOP安全检查?首先明确完整网络拓扑,收集客户重要资产,查看设备的规则库是否为最新,各个服务到期时间等。 梳理完整的网络拓扑可以使我们更加完善了解客户现存网络架构,收集客户的重要资产,梳理客户各个网络环境(比如:终端是否过于老旧且是否为桌面云环境等)。越了解客户资产,后期越发现客户现存环境中缺少什么,我们后期去给客户讲解网络安全建设体系的时候,会更有说服力。 随后预约客户,给客户明确要讲这次是基于安全效果进行体检,引导客户从黑客攻击整体流程来进行预防和部署。 根据SOP检查得出相应结论,前期文章所提到的五个问题(能不能少出或不出安全事件、出事了能不能第一时间知道、能不能快速处理好安全事件、能不能溯源清楚并规避、能不能防住热点攻击),随后同步客户,为什么得出这个结论,原因是设备部署不合理?配置不合理?客户没有完善的安全运营机制?没有对应的设备?没有对应的功能模块?没有专业的运维团队?设备过保规则库无法及时更新等问题。 然后和客户商量并得出客户整体安全建设对比好的安全效果有哪些差距的结论,和客户完成修复目标的工作。配置优化、协助客户完成相应制度流程规范、完善架构优化、推动云网端安全防护体系,并进行测试。 随后完成修复和优化工作后,我们和之前进行对比,告诉客户我们有哪些好的功能还没用起来、哪些在用功能能进一步优化提高运维效率和安全效果,这样就完成了初次的SOP体检工作。 本次五家客户,我们都获得了一些好评,甚至在做本次工作之前,还在修复客户的满意度。客户对我们的转变是很彻底的,再也不仅仅是我们有事来的确实快,没事基本见不到人的印象,后续多次进行回访,客户明显是愿意和我们打交道。
5、为什么要开展SOP检查、开展后感想刚开始也很不能理解,为什么要开展SOP安全检查工作,我觉得很麻烦,又没有什么必要,他用着得了呗。SOP初期测试的时候,一直再糊弄,反正我完成了!(●ˇ∀ˇ●)。直到有一次某个客户—— 客户门户网站由于底层代码有后门导致被挂了黑链,我们上了我们的WAF、aES,(还想上一台AF受到了某运营商某通云那边的阻力,设备死活不让放机房,)整体防护效果没达到预期。我们去给客户讲,客户那边说:“我请你们过来,就是为了解决这个问题,我上了你们这么多设备,你还要告诉我,你们不能完全防护住?”这时,我发现客户并不知道什么是安全效果,他也不知道安全效果有什么缺陷,单纯认为,我们采购了安全产品设备,部署进去,万能了!我不管你是深信服还是其他厂家,我有这个东西,一个应付检查,一个不出问题就行。然后我给他也解释不通,说啥都没用。 于是我主动给他们那边做了SOP检查,输出了一堆材料,给他们系统输出漏扫、溯源追踪、渗透报告。先针对于问题进行说明,你们系统有多少漏洞,我们设备做了多少作用,我一天要拦截将近17w次的攻击。然后SOP检查出他们设备能力、配置、日常运维机制哪些不合理,给出建议。然后生成一个百分制的评分,知道客户和安全效果的差距。 询问客户想完成到什么程度,对于安全效果的期望,年底报告是否需要一个详近输出材料。慢慢整改,上线MSS,(这里感谢下廖佳艺同学w74323,很负责,客户很认可,说后面MSS尽量不换人@新手962556 )态势感知联动,慢慢建立云网端安全体系架构。客户也慢慢知道我们再为他们实现业务上的成果,这还是非常有收获的。 然后我们去给其他单位做SOP检查时,越来越顺利,越来越清晰,对于云网端安全体系建设我们自己也有了更深层次的体会。给客户吹牛逼的时候也更流畅了(之前其实说不出所以然来),后期有客户相似案例专门主动找到我们去做SOP检查工作。
针对于客户云网端安全体系建设,大家还有什么其他建议,或者试点有什么其他问题都可以留言,我们一起可以学习!
拓扑这个事情! 我的visio一打开就是这样(文章最后会放置visio安装包)。 新建崭新的visio。 下载好前期文章深信服的visio图标,点击更多形状-我的形状-组织我的形状。 将之前下载好的模板导入该文件夹下 然后就可以绘制拓扑了 Visio安装包 通过百度网盘分享的文件:Visio 2021 链接:https://pan.baidu.com/s/1skOsFKcY-r2tg0KFW0Ikkw 提取码:drig --来自百度网盘超级会员V6的分享 先进入Setup按照自己需求下载32/64安装包,然后进入Crack进行工具解码 Crack这个激活工具会被EDR删掉,记得先把EDR卸载了! 随后点击上面其他,最下面选择Fix_Banner点击开始
就完成安装了。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
