鸣 谢
VSRC感谢业界小伙伴——mcvoodoo投稿精品原创类文章。VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送,我们已为您准备好了丰富的奖品!(活动最终解释权归VSRC所有)
14
MARCH
白色情人节快乐!
Google提出了BeyondCorp,这个项目有几个本质上的改变,一是完全摒弃了原有基于网络的信任模型。二是采用了零信任,也即是采用端到端的全链路验证。因此,Google现在可以把内网的边界全部撤掉,因为他有足够的安全感知能力。下图是Google的验证方法:
看完Google的方法,我就一直在思考,有哪些可借鉴,并且可操作的方法。经过一段时间的调研和实践,我们在内网上实践了自己的方法。
一
现状及问题
先说说我们现状,公司内网有大量应用,访问控制上的手段是网络边界、SSO账号密码和短信验证码认证。现行的规则比较简单,如果是内网访问,则只需要账号密码即可。如果远程访问,则需要短信验证码。这些年也发生了不少安全问题,包括员工账号被撞库、钓鱼、木马,甚至内外勾结把密码给到别人的情况。因此,对员工账号的安全管理,也到了一个需要改革的阶段了。
先举例说几个当前阶段的问题:
1、木马
员工被邮件钓鱼,且被种下木马,木马对内部系统发起暴力口令破解,引起部分系统异常。由于是内部系统,并未对异常登录进行锁定或验证码。而且,由于发起攻击的是内部IP,属于可信范围,也不做短信验证。
2、访客
在办公场所里有很多外部用户,比如客户、外包、面试人员等访客。访客使用的是一个guest网络,但由于某些时候工作需要,会有一些安全意识差的员工,给这些访客一个内部网络的账号,或者直接接入有线网络。当然这可以通过准入来解决,但由于业务原因,我们的办公点分布在全国有几百个,有的小办公点根本谈不上准入。因此就发生了访客利用办公网络发起对内部应用的攻击。同样由于是内部IP,也是可信范围内。
3、远程办公
这倒不是一个风险,而是一个体验上的问题。员工在家远程办公,长期使用同一物理位置、同一台电脑和晚上周末加班时间。但由于规则限制,员工必须使用短信验证码来登陆,表面来看似乎提高了安全性,但实际上是属于体验的一种损害。更关键的是,增加了系统威胁检测的噪音,每天收到大量的安全报警,真正的威胁就会被淹没。
二
设计方案
因此,我们决定扔掉这些过时的静态规则方法,使用更智能的办法来进行员工账户管理,这个方案要对用户少打扰或免打扰,能够优化用户的体验,且对安全有更好的保障能力。Google的方法里有一些我们可借鉴的地方,也有一些对我们来说不现实的地方。
所以整个方案大概的意思,我们使用机器学习来评估每次登陆的风险,对高风险进行二次挑战。如何评估登陆风险呢,使用了4个维度:网络、位置、设备、时间,这些是我们最容易拿到的数据。通过这些数据学习用户的典型行为,离散度越大则风险评分越高。简单的例子来说,如果IP判定来自于信任度低的IP(比如匿名代理或云服务器),则风险就高,再比如IP来自该用户从未出现过的城市,也风险偏高。因此,是一个简单机器学习的风险评分机制。
和以前相比,这个方案会随着学习时间更加智能化,能够解决钓鱼攻击、访客攻击、移动设备被盗、黑客、僵尸木马、账户被盗,且优化用户体验。
三
风险防御
因此这个方案上,针对各类风险的评分大致情况如下:
1、木马
例如之前的木马攻击,在员工电脑上种下木马,反复尝试应用访问。假设木马在工作时间、工作地点攻击,因此在时间和位置上不会处触发检测。但木马使用了一个隐藏的浏览器,且浏览器分辨率是300*200,这是典型的小窗口性质的木马,因此触发规则。另外,由于木马启动后,行为和正常用户的偏离过大,因此也触发了这一规则。这时候则评分过低,推出双因素认证挑战,木马无法提交,因此攻击被阻止,并引发系统报警。
其实这也是一个零信任的概念,即使你在防火墙内的IP,也会被检查。
2、恶意访客
访客获得内部WIFI密码,然后尝试使用员工账号访问应用。这时的判断是,有一台新的设备进入,需要对其进行双因素验证。而在这个环节上,不需要判断用户行为的基线偏离,因为还没通过验证。
3、远程办公用户
由于远程办公的网络信誉、地理位置、设备指纹等相关验证要素评分正常,因此直接允许,无需短信验证。
对于其他风险,则在各维度上均有指标判断:
因此我们搞了一个工作台,用于提供风险评分的判断,但这个工作台只有管理员可以看到。
四
注意事项
我写起来比较简单,但实际上这些风险判断因子都需要有大量基础工作支撑。
比如设备指纹,需要把每个设备的指纹和资产库对照,并且埋点。我们直接取了业务风控的设备指纹数据,这么做的好处是,保持内外指纹的一致性,这样可以比对内外勾结。另外,业务风控也取了一些其他字段,例如wifi信息等,这些数据可以用来做新的判断维度。
再比如IP,代理IP和云服务器IP之类的,都需要有工具实时收集。
另外,目前我们还是一些比较基础的规则,加上对行为的机器学习。这些规则需要保密,不能公开,一旦公开就会有人试图绕过。所以更长远的来看,还需要更多的维度去做判断。
五
参考文档
参考文档:
跟着Google学基础架构安全
。
。
精彩原创文章投稿有惊喜!
欢迎投稿!VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将为您准备的丰富奖金税后1000元现金或等值礼品,上不封顶!如若是安全文章连载,奖金更加丰厚,税后10000元或等值礼品,上不封顶!可点击“阅读原文”了解规则。(最终奖励以文章质量为准。活动最终解释权归VSRC所有)
我们聆听您宝贵建议不知道,大家都喜欢阅读哪些类型的信息安全文章?
不知道,大家都希望我们更新关于哪些主题的干货?
现在起,只要您有任何想法或建议,欢迎直接回复本留言!
精彩留言互动的热心用户,将有机会获得VSRC赠送的精美奖品一份!
同时,我们也会根据大家反馈的建议,选取热门话题,进行原创发布!
点击阅读原文进入 为了挣到10000块,他在VSRC投了一篇稿!