随着勒索病毒、钓鱼攻击、供应链攻击等新攻击手法日渐猖獗,越来越多的网络威胁从办公网长驱直入,防范网络威胁的主战场从流量转移到终端,办公网安全逐渐引起更多企业的重视,但在实践中,却有种戴着镣铐跳舞之感——要轻量,要运行顺畅,要高效、彻底处置,更要基于有限的人力和预算,尽可能多地覆盖安全场景。
华北利星行机械是美国知名制造企业卡特彼勒的代理商企业,分支机构多,办公终端多,自成立以来一直非常重视网络安全建设,在办公网安全上持续投入和运营。2023年2月23日,华北利星行机械的系统架构师Jason在微步终端安全产品OneSEC发布会上就办公网安全实践进行了如下分享。Jason表示,纵观办公网安全之路,遇到的坑主要分为这几大类:
第一,人的问题。如果员工的安全意识不到位,一封钓鱼邮件,一个带病毒的高速下载器,一个灰色软件都有可能引发更深层的安全问题,同时没经过培训的员工往往难以充分认识到网络威胁的危害,在处置时会不知道如何配合,或者干脆不想配合。第二,分支机构多、员工多,但安全团队人手少,精力不足。在远程办公、混合办公的大环境下,统一管控的难度变得更大,安全人员对一些分支机构的防护鞭长莫及,但网络威胁却可以顺着薄弱点摸进总部,攻守之势极其不对等。第三,网络威胁更新换代太快。新的病毒和攻击手法层出不穷,只依靠杀毒软件难以防住,一些威胁甚至可以长期驻留在办公网内,溯源和清理起来都比较难,长此以往,办公网安全难免千疮百孔,根本补不过来。
使用工具自动化无感解决一部分防护、管控和准入的问题,比如补丁的定期自动更新、常见病毒木马的防护、风险软件的管控等等,减少对员工时间的占用,从源头解决基础威胁的防护。这部分的建设比较常规,在准入方面,华北利星行机械部署了网络准入控制和VPN,同时会依靠人工让策略不断精细化。在基础防护上,则尽可能采用轻量、精准的杀毒软件、WAF、防火墙,此外还使用了补丁工具。面对分支机构多、防护战线长的问题,SaaS化的安全产品会是更好的选择,华北利星行机械在选型高级防护和检测响应产品时也有所考量。在疫情期间,远程办公、混合办公为办公网安全带来了新挑战,而SaaS化互联网安全接入服务OneDNS,就在这时进入了Jason的视线。“在办公区,我们的终端安全指数能达到80分、90分,但是一旦远程办公,因为没有防火墙、流量检测之类的安全产品配合,可能电脑等终端的安全指数只有40分或者50分。我们评估了很多安全产品,在这一方面或多或少都不满足我们的需求, 而OneDNS具备微步的威胁情报能力,所以能有效缓解居家办公的终端安全问题。比如针对钓鱼链接,OneDNS直接就拦截了,而传统的安全产品就很难解决。”Jason介绍。面对更新换代的网络威胁,华北利星行机械则选择主动拥抱新技术和新产品,从实践中提升安全团队应对新威胁的能力,终端侧的安全也是必需的一环。“在面对一些新型威胁的时候,传统杀软检测不出来,OneDNS能拦截通信,但恶意样本始终在终端里面,需要进一步清除处置,所以我们考虑上EDR方案。正好我们了解到微步在孵化一个具备EDR模块的终端安全产品OneSEC,OneDNS可作为一个模块集成到OneSEC里,所以我们对OneSEC比较有期待,在选型和对比了其他同类产品后,最终选择了OneSEC。”Jason介绍道。OneSEC各模块之间并没有强行绑定,在已有杀软的前提下,华北利星行机械选择了EDR模块跟已有的OneDNS配合,不但能拦截攻击,还可以通过EDR去定位,找到威胁源头,然后通过OneSEC的云端控制台去统一下发处置策略。“这一点我们感到非常方便,即使安全人员不在失陷终端面前,我们也能够在云端下发预防、处置策略,极大地减轻了远程办公期间安全人员的压力。”目前,华北利星行机械在网关侧部署了互联网安全接入服务OneDNS,在流量侧部署了同属微步旗下的威胁感知平台TDP,在终端侧采用OneSEC的EDR模块,在办公区还部署了蜜罐。这样,安全团队就能多管齐下针对新型高级威胁进行防护、检测和响应。在任意一个场景检测到新型高级威胁时,都可以和其他几个场景进行交叉验证,进而协同微步,快速处置响应。
OneDNS和OneSEC都是基于SaaS的安全产品。虽然微软、Palo Alto Networks等国外头部厂商早已有较成熟的SaaS形态的XDR安全产品,但国内企业对安全SaaS的接受度仍有不小的提升空间。为什么华北利星行机械如此看好SaaS?“最直观的好处是SaaS产品开箱即用,缩减部署时间,降低了使用和维护成本。”Jason说,“同时我们对SaaS 有更开放的心态,SaaS的安全性考量比企业自身更完备,从安全策略来看,好的SaaS化产品也比本地产品更为可靠。”但Jason也表示,SaaS的选型同样重要。“要选择一家SaaS上有长期规划的企业,保证在SaaS布局上更系统,产品的一些设计上也更云化,比如隔离机制做得更好,数据安全性规划更完善等。此外,用SaaS产品其实最终还是在采购服务,对厂商本身的服务能力要充分评估,服务能力包括产品的迭代速度、对客户的问题的关注关心、对安全事件更快的响应、定期的主动回访、产品落地使用的一些建议等等。”Jason特别提到了OneDNS作为DNS解析产品的稳定性,表示使用三年时间,没有感知到任何故障。
“首先办公安全的建设是日积月累出来的,要有一定的完美主义情结,看到了不该出现的灰色软件,就要及时处理,尽快完善控制策略,否则问题会越来越多。其次,要保证安全团队的专业性,积极从实践中了解新威胁,新技术方向,在实践中提高应对新威胁的能力。最后,要积极拥抱新技术、新产品,在安全建设中引入云化的安全能力,选择具备持续成长能力的产品。”