0x1本周话题
话题:各位大佬,不知道大家有没有为了防范员工被钓鱼,用上网行为管理控制互联网白名单的经历,我们启用后,为了避免员工意见太多,基本是允许了所有类型的上网,包括了企微、QQ等。理论上这样会避免终端外联到恶意域名上,但是不知道这样做还有什么大的漏洞被绕过么?
A1:没用,不能避免外联到恶意域名上。
Q:木马上线可能是通过CDN前置,你看到的域名解析可能是*.microsoft.com 这种它能成功上线么?
A2:我们准备启用白名单策略,首批白名单挑选上网行为系统记录访问量排名前xx的网站或IP,在此基础上再由各部门补充反馈,启用后后期增删改运营工作量可能会比较大。为了减少后期运营量,可以把访问网站需求大的特定岗位进行例外,对这些岗位不做限制,但需加强这些岗位的安全意识教育。
A3:按top N,很可能CDN前置就已经绕过了。
A4:DF看SNI呀。
A5:这种措施对使用域前置或云函数的钓鱼网站可能会失效。
A6:还不如按照岗位隔了网络呢,这策略一下,员工不得拿AK突突突了安全。
A7:对,这个还要综合各个单位的情况,我们人少,不到200人,具备这个条件。
A8:那看来要防好,还得压缩这个白名单,另外在外挂个安全DNS。
A9:之前给一个400人左右的公司做了一些,主要是用零信任接网,按照员工岗位分配不同的vlan,vlan之间有ACL和通用网关。这样防止中招以后的横向。然后DNS全公司就一个通用点,禁止出向53, 这样从dns日志里能摸到很多信息。出流量走对应Nat, 也容易看到马的流量。关于如何识别马这个事情,就看具体情形了。一定是抓大放小的, 安全有时候别把自己当上帝,容易被上帝制裁。
A10:对现阶段的银狐管用,对CDN域前置/DOH上线的攻击队没啥作用。
A11:根本是,“上网行为”就不是防攻击队的 攻击队做事不需要http协议,不需要建立TCP连接,并不受内容管控,icmp、dns、甚至是ssh私人ip都不受上网行为管控,这个“内容白名单”可以防已知的网站,除此之外是只防君子的虚假的安全感,一切的策略不能在上网行为上对抗。
A12:利用云EDR/主机安全/IT管理进行C2控制的,比如https://saas.360.cn/ 这种,白名单也管不好。
A13:即便使用了域名且进入了内容的领域,大家也谈了很多,回连网站也往往在“白名单”内。
A14:1.最初我在安信证券将上网黑名单改成白名单的时候,阻力也很大,主要就是运维觉得以后变更会很频繁,但改成白名单后,基本没有新增需求了。2.虽然还会有一些绕过的方法,但确实提高了基基础水位,作用还是很大的。
A15:如果对抗对象不是针对性攻击,那么安全DNS、有安全规则的上网行为都有用 但现在问这个问题,想必不是这个背景。你们那个单位,要影响用户体验,干脆就一步到位,调研下同业,推三网隔离 这样,先把屋顶掀了。然后回归平时,你再提供个白名单上网方案开窗户,也没人反对了,从来都是由俭入奢易,由松到严难。