武胜| 大通| 巴青| 滁州| 鲅鱼圈| 长治县| 大方| 平谷| ca888 2manbetx官方网站 嘉善| 万博manbetx体育 香河| 科尔沁右翼前旗| 丰宁| weide1946 福建| 九寨沟| 喀什| 亚洲城vip登录 丰润| 丹徒| 乐天堂fun88 定兴| 万博app dafa888bet 离石| opebet怎么样 商丘| 应县| 东安| 孝昌| 88bf娱乐 冠亚娱乐 木里| 离石| 武夷山| bwin必赢 昂昂溪| 泊头| 兴平| 玛纳斯| 沈阳| 丹棱| ca88 阳春| 怀仁| manbetx体育 万博体育app手机投注 淮安| 武当山| 贡山| 东至| 湛江| 冠亚娱乐 南江| 万博下载 绩溪| 刚察| fun88手机版 乃东| 大奖888 优德w88会员登录 城步| 泗县| 双桥| 沙湾| wanbet 察哈尔右翼前旗| 凯里| 伟德1946 ag亚游平台下载 晴隆| 云集镇| 崂山| 博管理 富裕| 九龙坡| 霞浦| 冠亚br88 opebet体育 潞城| 聂拉木| 志丹| 霍城| 万博体育 wanbetx万博官网 海晏| 景谷| 马关| 洛隆| 红安| 旌德| 连云区| 烈山| 宣恩| 烟台| 霍邱| manbetx体育 景谷| 石狮| 昂昂溪| 塔河| 肇州| 砀山| 衡南| 汕尾| bwin88官网 杭锦旗| 万博app闪退 巴彦淖尔| 亚洲城电脑客户端网址 辛集| 炎陵| 宜阳| bbin专用浏览器手机版 弥勒| 酉阳| 陈巴尔虎旗| dafa888 秀山| 连云港| bwin体育 下花园| 施秉| 黄岩| 新巴尔虎左旗| BR88 大发娱乐888代理 通山| 万博体育地址 永清| 德昌| 鲁甸| 施秉| uedbet官网 井陉| 平度| 台东| 亚洲城网页 澄海| betway 南阳| 狗万manbet 长宁| BR88app.COM官网 台南市| 朔州| 马龙| 辽源| 必威体育 无为| 冷水江| 沁源| opebet官网 双城| 固阳| dafa888.casino 光泽| 曲靖| 苍南| 绥宁| 阿鲁科尔沁旗| 莒县| manbetx bwin888 蒲城| 铜山| ag平台苹果版下载 江城| 莱州| w88 张家界| 杜尔伯特| manbetx 枣强| dafabet888娱乐场 宁波| 库车| 固镇| 长岭| 托克托| 沁水| opebet 偏关| betway88 狗万博app 大奖娱乐 容城| 湄潭| 札达| 金阳| 武都| manbetx官网 瑞金| 云浮| manbetx体育 锡林浩特| 济宁| 万博app 下载 镇平| manbetx客户端 dafa888 狗万博 平山| 苏尼特左旗| 珲春| 大奖888 dafa8888lb 辉县| 洪泽| 华安| 马山| 呼兰| 3344222.com 彭水| 冠亚br88 瓮安| 万博app 下载 大奖网站 陵川| 大安| uedbet官网体育 manbet官网 武鸣| 万博app2.0 武冈| 府谷| 宁津| 宜章| 广东| dafa888娱乐 左权| dafa888 阿鲁科尔沁旗| 沿滩| 北仑| 扶绥| 改则| 广平| 大奖888 万博体育app 万博manbetx官网 bwin888 bwin必赢 vipdafa888asia 包头| 冠亚br88 平原| 隆化| 东平| 昌江| 泰顺| 喀什| ca88 新巴尔虎左旗| 辉南| 铜陵县| 门头沟| 达日| ww优德88 扎赉特旗| dafa888黄金版娱乐场 3344666.com 三水| fun88手机版 三河| 湘东| 城固| 峨山| 含山| 珲春| 寰宇浏览器官方版下载 中宁| br88冠亚 opebet 察哈尔右翼前旗| 石楼| 鄢陵| 商水| betway 阿拉善左旗| 大发快3一分钟 围场| 冠亚娱乐 博管理 下载大发娱客户端 冠亚彩票 梅里斯| 开原| wanbetx万博体育 冠亚娱乐 手机版大发888下载 新万博体育登录网址 中牟| 勉县| 万博manbetx官网 宽甸| manbetx 紫云|

切实解决乡镇医疗人才短板

2019-01-17 16:28 来源:风讯网

  切实解决乡镇医疗人才短板

  dafa888.com  32岁的桃园人甘明坤从事租赁车工作,表示将出10辆租赁车,11月23日在台北车站协助40岁以下,户籍在台中、高雄、台南市民返乡投票,已有16人报名。  台铁产工表示,台当局“交通部”与台铁局务必使用真正解决人力问题的方法,而不是使用召回退休司机员或禁止休假这种旁门左道的方式,在人力尚未补足之前,应该“有多少人就开多少车”。

  谢金河进一步表示,台股当冲交易占市场交易比重逐渐上升,2017年集中巿场的当冲交易达兆元,占整体成交金额%,比融资余额兆多出7成;而OTC柜买市场全年成交量兆,当冲交易占27%,昨日比重又上升,“台股10月大猎杀,当冲交易竟然占了将近4成。  他推论,司机员决定将他认为可能是造成动力突然消失原因的ATP系统关闭,而调度员也知道司机关掉了ATP,甚至认同这个方式,可以暂时解决动力突然消失的问题。

    网友则纷纷表示“就让他们带着这些借口走入历史吧!”“只要有错都是国民党的错,千错万错都是前朝所造成的”“不止赖给前朝,干脆赖给清朝算了”“空心蔡都睡2年多了出事就怪旧当局干脆直接下台比较快”。  根据实价登录资料,中正三路沿线店租落差极大,有店家以每平米89元(新台币,下同)承租,也有每平米超过933元案例,以独栋店面月租金为例,从4万到19万元不等。

    中央广播电视总台国广记者:日前,新党举办庆祝台湾光复73周年纪念活动,表示“台独”抹不掉历史,并警告民进党当局谁同意美国的台海军演,谁就是台湾的罪人,请问发言人对此有何评论?  马晓光:1945年台湾光复回归祖国,这是包括台湾同胞在内的全体中华儿女共同抗战赢得的胜利成果。(中国台湾网娟子)[责任编辑:郭碧娟]

根据台铁信息提到,事发的路段弯道曲线半径为300米,一般列车的速限是65公里、普悠玛与太鲁阁号则是75公里。

  但是所有人都没有意识到这个系统被关闭之后,列车的速度与安全就全靠着司机员自己必须注意到车速。

  光是普悠玛观光专列“洄澜之心”已陆续被旅客退票2000张,就连花莲各家民宿饭店也出现退房潮,订房率从8成降到5成以下。    [责任编辑:张露露]

    杨男主张林女心念不正、言行不符常人,他指称媳妇是“魔女”并非公然辱骂。

    据台湾《联合报》报道,台铁普悠玛列车翻覆,蓝绿候选人纷纷取消竞选行程,但是,许多现任县市首长候选人仍然进行“市政行程”,行程满档。他呼吁蔡英文当局不要一意孤行,违背两岸一家亲的历史事实,为了民进党一党之利,而牺牲全台湾2300万人的福祉。

  [责任编辑:尹赛楠]

  tb通宝娱乐官网娱乐真正的大体检是交由“行政院”调查小组,预计三个月后会有报告出炉。

  光是普悠玛观光专列“洄澜之心”已陆续被旅客退票2000张,就连花莲各家民宿饭店也出现退房潮,订房率从8成降到5成以下。  河南省《关于促进两岸经济文化交流合作的实施意见》的主要内容包括:  一、在积极推动豫台经贸合作交流方面有33条具体措施。

  乐天堂fun88 bet365正版网址 bv1946

  切实解决乡镇医疗人才短板

 
责编:

董祎铖:建立企业安全应急响应“急救箱”

2019-01-17 75393人围观 ,发现 1 个不明物体 企业安全

前言

攻防对抗是企业安全治理工作中的常态。一方面,安全团队在实际攻击场景中不断提升技术水平和对抗能力;另一方面,红蓝对抗、攻防演练可以有效检验安全工作成果,验证安全机制有效性,找出差距。

本文根据近期经历的攻防演练情况,梳理技术要点,总结经验教训,作为未来网络安全重要保障工作的参考。

一、攻防对抗

攻防对抗

首先,攻防双方主要从三个方面进行对抗:信息对抗、技术对抗、运营对抗。这一观点引用自赵彦老师《互联网企业安全高级指南》。

信息对抗的基础是数据,尤其是防守方的数据,因为攻防对抗的“战场”在防守方的数据中心。网络架构、主机地址、服务接口等静态资产数据形成攻击面,流量日志、主机日志、应用日志等动态运行数据支撑风险控制,等等。海量的数据经过解读形成信息,信息归纳验证形成知识,分析推理形成情报,而情报是决策和行动的依据。攻防双方对数据的获取和提炼的过程,是信息对抗的过程。防守方在对抗中天然处于劣势:技术资源少,主要体现在人员编制远少于攻击者;黑客技术积累少,主要体现在对漏洞和木马的研究不足,这不是企业安全工作的重心。因此,“地利”优势几乎可以算是防守方唯一可见的优势,如果不能充分利用,则将处于全面被动。

技术对抗是攻防技术储备和运用的对抗。通过安全隔离划分整体防护格局,通过基础设施提供安全运行环境,通过纵深防御在攻击路径上预设“埋点”、在多个维度对攻击方进行打击。这里做一个比喻:安全隔离就像道路规划,安全基础设施就像铺路,纵深防御就像路上的关卡。安全承载业务,就像道路承载运输。技术对抗是依赖信息对抗的,应覆盖自身的攻击面、协议栈、技术栈。如果信息和情报不准确或体量过大,无疑将给技术对抗带来负担。

运营对抗是对事件和风险的闭环处置。攻防对抗是动态的过程。一方面,闭环处置过程依赖信息对抗和技术对抗。事件的输入来源于数据分析结果:告警和情报。事件的处置需要纵深防御中的各种技术手段。另一方面,举一反三、持续优化对整体安全意义重大。从整个数据中心的角度,不能在一个风险的问题上跌倒两次。安全运营已经有很多成熟的方法论,所以落地是关键。根据企业自身条件,制定工作机制,让整个流程真正运转起来,在实践中得到不断检验和优化,是安全运营工作的重点。

二、事前准备

攻击面收敛

在事前的技术准备上,攻击面收敛是首要考虑的。攻击的入口不能像大海一样辽阔,而是要“自古华山一条道”。让攻击方在防守方设计好的区域内活动,才能变被动为主动。尤其是攻击方在难以直接拿下核心系统的情况下,往往选择“旁敲侧击”,从关注度低的系统着手。

梳理攻击面有这些方法:

首先是子域名。可以从域名服务商记录、威胁情报DNS解析记录等方面获取历史存量的子域名。当然也可以通过字典直接猜解。这方面相关的技术文章比较多。我们在实际操作的过程中,发现了一些子域名在由分支机构使用和管理,甚至一些业务直接外包托管、其安全性基本未得到关注。

其次是C段。企业数据中心拥有的公网地址一般是连续的,也就是说核心系统相邻的公网地址一般也是同一企业的系统。扫描C段和遍历子域名都是攻击方常用的收集信息方法。

接下来是一些外部信息。比如主站上的友情链接,比如从搜索引擎发现的业务系统,再比如在github上发现的源码。

另外还有扫描、流量分析、台账导入等方式,这些都是长期安全建设的手段。在重保来临的情况下,还是从子域名、C段这些攻击手段出发,容易获得好效果。

攻击面收敛

梳理清楚攻击面都有哪些,就要着手清理了。主要有以下几方面:

一是针对未知资产,能够获得运行管理权限的,纳入统一安全管理,并组织开展风险评估。无法获得运行管理权限的,要分清边界和职责。

二是进行必要的关停,主要是对无人使用的系统进行下线处理,对于不对外开放使用的系统停止对外服务。

三是进行风险控制,主要是对存在风险的系统进行临时下线。实在不能下线的系统,要严格隔离。有些系统前台虽然分开,但是后台共用中间件资源。对于这种“铁索连环”模式的系统群,也许仅有一个系统存在风险,但是将威胁其他系统的安全性,只能是为一个大系统整体隔离。

重要保障时期是一个特殊的时期。对于安全部门来说,这是一个时机。因为在这个时间段和特殊的背景下,安全需求将压倒一切。许多平时难以推进的项目或策略,都可以借此机会完成。所以从某种意义上说,安全工作是由威胁推进的。威胁的严重程度决定了安全工作的意义和必要性。威胁的有效发现和稳妥处置,决定了安全工作的价值

安全隔离

安全隔离是一项基础而重要的工作。当实质入侵已经发生时,隔离措施可以防止攻击扩散,将失陷损失控制在有限范围内。更重要的是,在日常隔离措施完备的情况下,这一过程是被动触发的,没有时间延迟;即使日常隔离措施不完备,防守方也可以比较容易进行调整和补充。可以说,安全隔离是企业安全的生命线。

边界隔离是基础。主要有网络边界和物理边界。网络边界是指攻击者从外部通过网络进行访问和攻击,物理边界是指攻击者通过社会工程学等方式,直接使用内网终端或主机发起攻击。对于网络边界控制和物理安全建设,绝大部分企业都能很好地完成。

安全域隔离是“规定动作”。首先要进行安全域的划分,一般以业务类型、业务重要性和风险评估等为依据。常见的划分方式,将员工办公和生产分开,并且在办公和生产区域内部,分别将不同的业务划分为不同的安全域,尤其是生产区内部要将测试环境划分出来。然后是安全域隔离,不同安全域之间应建立基于二层的网络隔离,根据最小化原则配置跨安全域访问策略。而且,跨域访问应通过安全、可审计的途径。

协议栈和技术栈隔离是“加分项”。基于网络协议,最易实现也是最彻底的方式是基于链路级的隔离。然后根据业务的需求,不断细化隔离策略,过度到端口级和应用级。最终,实现协议栈的收敛,基于“零信任”模型,将全部的交互统一为服务级调用,并进行鉴权。对于具体的业务,将系统权限和应用权限分离,解析目录与可写目录分离,阻断攻击的连续动作。

纵深防御

针对具体的攻击,基于纵深防御模型部署安全手段。我们思考纵深防御的过程其实就是思考攻击路径,并拓展到对整个数据中心网络的覆盖,一般包括业务流、数据流、协议栈、技术栈等等维度。丰富技术手段,从防御、阻断、降级、欺骗等方面形成多维防御和技术异构,不断优化防御策略细粒度,在保障业务平稳运行的同时完成有效防护。具体到应用场景,一般就是终端安全、应用安全、网络安全和主机安全等方面。其中,终端安全作为用户入口,应用安全作为业务入口,是防御的重中之重。这两部分的内容也最为复杂。终端方面,需要做到整齐划一、不留死角,补丁、防病毒及时更新,安全策略灵活可管、“令行禁止”。应用安全种类繁多,整体上以web服务为主,一般需要用到waf。Waf设备使用的难点在于与业务的兼容性,既需要保障防护策略强度,又要避免影响业务,一般要通过大量的适配调整具体规则。邮件安全作为社会工程学的主要目标,也越来越受到重视。除了传统的垃圾邮件和病毒网关,账户安全风险控制急需有效的技术手段,以应对暴力破解、撞库等威胁。

安全意识教育

在应用系统普遍严防死守的情况下,社会工程学受到攻击者的青睐。企业员工数量庞大、安全意识参差不齐,社会工程学攻击往往能起到效果,成为防御体系的突破口。对用户进行安全意识教育、提示风险,是防止社会工程学攻击的有效手段。主要有邮件、终端和网络三方面:

邮件安全使用。请不要轻易查看来自陌生人的邮件,不要轻易点击邮件中的链接,不要轻易下载或运行来源不明的附件,不要轻信邮件中明显不合理的要求(如要求反馈个人信息、通信录等敏感信息)。对于无法判断安全性的邮件,请先通过电话等其他渠道确认后再进行处理。

终端安全使用。请不要将个人终端交由非单位人员使用,不要使用来源不明的优盘、光盘或其他存储介质。在使用来自外部的文件之前,请先进行杀毒处理。请不要接收桌面技术支持工程师以外的人员维修终端设备。当人员离开终端时,请注意锁屏。

网络安全使用。在单位以外的场所使用笔记本电脑时,请不要轻易接入安全性不确定的网络(如咖啡厅公共无线网络)。在单位内使用个人终端时,请不要私自搭建wifi。不要将非统一配发的终端接入内部网络。

三、监测响应

流程

进入演练期间,也就进入安全运营和事件处置工作状态。首先面临的就是持续监测工作。持续监测、态势感知,其本质在于从海量数据中分析出有效信息,再进一步提炼成可以决策的情报。在这个过程中,有两个相对立的需求:数据量的提升和告警量的下降。一方面,需要监测范围覆盖全部攻击路径甚至全部业务,就需要采集尽量多的数据。另一方面,安全资源不足导致对事件的处置能力有限,误报过高必然导致对安全资源的严重消耗,影响对实质风险的及时处置。

以上两方面都是“刚需”,需要寻找平衡点。首先要提升情报质量,严格控制无效告警,突出重点告警;甚至可以说,宁可要漏报,也不要误报,因为漏报还有安全隔离措施、安全基础设施和异构的防护体系可以补救,而误报将资源消耗殆尽后,安全运营将无法运转。其次,要有效整合处置技术力量,效能最大化。另外,还要在整个过程注意控制对业务运行的影响,争取业务零影响、用户零感知。

攻击方式

在具体的攻击方式中,暴力破解和web攻击占比较高,可以看出员工和web应用是攻击者偏爱的入口。病毒木马、DDOS攻击、CC攻击与平时基本持平。Web威胁虽然复杂,但是安全解决方案也相对成熟。暴力破解等账户安全问题反而缺乏有效的风险控制手段。比如,每天都存在海量暴力破解记录,绝大部分都不会成功。因此,一般针对暴力破解行为的监测告警意义不大。实际场景中,需要能够在海量失败记录中,发现暴力破解成功记录。这也就是前文提到的严格控制无效告警。

四、实际场景

暴力破解结果

在这种高度定制的细分场景中,企业安全不得不进入自己“造轮子”的过程。

账户维度分析,想要判断暴力破解成功,需要满足以下条件:一是既存在暴力破解成功记录,又存在暴力破解失败记录;二是暴力破解应使用了多个不同密码,否则可能是邮件客户端密码配置错误;三是登录成功的IP存在登录失败记录,否则可能是用户正常使用邮箱的同时,攻击者也在进行暴力破解,但二者没有关系;最终可以准确判断该账户被暴力破解成功。

源IP维度分析,首先该IP登录失败频率超过预定的阈值,说明一定不是用户正常使用行为;其次该IP存在登录成功记录;两个条件结合,说明该IP暴力破解成功。

0day入侵

对于一般的web攻击场景中攻击者使用的漏洞,防守方通常能够在日常的安全运营中及时修复。而对于未知漏洞,在没有情报支撑的情况下,防守方往往措手不及。未知漏洞入侵事件一般包括如下四个过程:

一是发现可疑行为。比如上传了可疑文件(webshell),有“菜刀”连接行为等;再比如主机突然开始挖矿。事情不会无缘无故发生,从结果可以判断该系统受到攻击并失陷。

二是立即执行隔离措施。一方面防止攻击扩散、攻击者进一步向内网渗透,需要将该系统进行链路层隔离;另一方面阻止攻击者持续控制当前主机或者窃取数据,可以考虑将业务临时下线。

三是进行攻击溯源。处理未知漏洞攻击的主要困难在于缺乏信息支撑,既不知道如何攻进来,也不知道如何防御。通过溯源可以解决攻击信息的问题。定位可疑行为出现的时间点(文件写入时间或者首次挖矿时间等),对该时间点附近的流量进行回放。回放到某一条时,同样的可疑行为再次出现,即可确认攻击载荷(payload)。也许不能第一时间解析这个攻击载荷(如反序列化攻击),但还是可以通过时间关联性准确定位。

四是制定临时解决方案。尽管无法找到通用的临时解决方案或者官方补丁,通过资产管理措施和应用层防护措施也可以解决防护问题。首先,基于前文提到的“地利”优势,防守方对自身站点的目录结构应有全面准确的掌握,了解哪些路径和页面是正常业务访问所需要的;其次,基于在终端和主机安全方面常见的“黑白名单”策略,将攻击载荷所在路径加入黑名单,并将其中正常路径和页面加入白名单。

这种方式的优点在于:一是可以较快制定并完成临时解决方案;二是基本不影响业务;三是不基于规则而是基于路径,相当于降维防御,在攻击者所处层面的下层进行阻断;而攻击者由于无法触及下层,很难研究绕行方案。

攻击链

在这一过程中,我们可以看到,未知漏洞虽然威力巨大,但仅仅是攻击链中的一个阶段。攻击者不可能在攻击链的每一个阶段都使用未知武器,总有一些阶段是可以被监测到的。这时,信息不对称的形势已悄然扭转。防守方尽管损失了一些业务,但是换来了攻击相关的情报,并可借此进行反击。攻击方一击不中,没有了突然性,后续将难以形成有效威胁。

五、总结

急救箱

防守方“空间换情报”的过程虽然可以扭转局势,但这是基于持续监测、纵深防御、安全运营等体系建设的积累。这一过程使整个安全防护体系具有弹性,可以承受预设场景意外的威胁。具体来说,需要有以下几方面的技术储备:

一是覆盖全攻击链的持续监测,通过事后审计的方式,发现未知攻击,并通过溯源和攻击回放定位攻击载荷。

二是灵活的协议栈阻断措施,可以快速止血。

三是扎实的台账和资产管理,能够充分发挥“地利优势”,基于“黑白名单”制定临时解决方案。

四是丰富的技术栈防御手段,能够将临时解决方案落地,并且保障业务安全稳定运行。

作者简介:董祎铖 资深网络安全工程师,就职于中国人民银行金融信息中心信息安全部,CISP,银行科技发展奖获得者。负责开展互联网安全防护体系建设和安全运营工作,专注于渗透测试、WEB安全、PKI/CA领域。

*本文来源:微信公众号“仙人掌情报站”(sec-cactus),转载请注明来自FreeBuf.COM

发表评论

已有 1 条评论

取消
Loading...
css.php