大规模便携机安全管控实践指南

28/10/2019

GTI广州科宸 (点击此处观看原文和视频)

 

Weixin Top banner

 
 
 
 
 
 
 
   

022 

移动知识型工作者便携机安全管控“实践指南” 

技术经理:Tony Ding;区域经理:Rock Long

 

026

 

尊敬的新、老朋友们,

大家好

GTI 安全团队有幸参与并实施了跨地域、高复杂性、大规模数量的便携机笔记本安全管控项目的落地,从客户身上学到不少先进的方法论、框架设计以及具体的产品选型;后期我们的安全顾问将项目的成功经验进行抽象、归纳、分类、整理,分享出这篇指南贡献给大家,希望对大家日常的笔记本安全管控工作带来帮助,避免 “踩坑” 和 “少走弯路” 。


契机,2019年4月份,微软正式启动了 Windows 7 支持到期的系统通知。在支持终止后,微软将不再为该操作系统提供免费的安全更新和技术支持。

 

001 

通知内容是 Windows 7 即将在2020年1月14日终止支持。微软还警告Win7系统架构已经过于老旧,不再先进,安全性得不到保证,并且会增加额外成本花费。正如同此前的Windows XP一样,会遇到日益严重的网络安全威胁。微软希望Win7用户尽快升级到Win10,获得持续不断的功能更新和安全技术支持。

明年1月14日后,微软就不再提供 Window 7 安全修复补丁了,不升级的个人用户可能面临各种恶意软件入侵的风险

也许大家认为这仅仅是一件笔记本升级操作系统的事情,没有必要浪费笔墨,企业内部 IT HelpDesk 部门就能很好的完成。但是站在一家世界200强企业的 CISO、CSO、CIO 和全球安全团队角度来审视这并不件小事情,而是一个针对知识型工作者的便携机笔记本实施安全管控的系统工程项目,其中颇有不少门道值得细细推敲。

 

一、项目“实施组”的定制化组合

 

项目的成功离不开公司高层的重视和支持,资源的组织、协同投入是最终获得卓越的安全成效首要条件。组织或公司的安全实施资源可以大致归类为三类,可对标入座。

 

  • 实施组 1 - Implementation Group 1

    拥有约10名员工的企业可以自行归类为 IG1


    IG1 组织是中小型企业,拥有有限的IT和网络安全专业知识,致力于保护IT资产和人员。这些组织的主要关注点是保持业务运营因为它们对停机时间的容忍度有限。他们试图保护的数据的敏感性很低,主要围绕员工和财务信息。但是,可能会有一些中小型组织负责保护敏感数据,因此会落入更高级别的组织。IG1 应该可以通过有限的网络安全知识来实施,旨在阻止一般的非目标攻击。通常使用到 SMB 级别的硬件或软件配合使用


  • 实施组 2 - Implementation Group 2
    提供服务的区域性组织可将其自身归类为 IG2

    IG2 组织雇佣负责管理和保护 IT 基础架构的人员。这些组织根据工作职能和使命支持多个具有不同风险态势的部门。IG2 组织通常存储和处理敏感的客户、公司信息,并可以承担短暂的服务中断。如果发生违规行为,避免一个主要问题失去公众信心的发生。IG2 需要应对增加的操作复杂性,同时将依赖于企业级技术和专业知识来正确安装和配置


  • 实施组 3 - Implementation Group 3
    拥有数千名员工的大型公司可能会被标记为 IG3


    IG3 组织聘请了专门研究网络安全不同方面的安全专家例如:风险管理,渗透测试,应用程序安全)。IG3 系统和数据包含受法规和合规性约束的敏感信息或功能监督。IG3 组织必须解决服务的可用性以及敏感数据的机密性和完整性。成功的攻击可能对公共福利造成重大损害,IG3 必须减少来自复杂对手的目标攻击,并减少零日攻击的影响


虽然上述方法论提供了安全项目通用实施指南,但这不应取代组织了解其自身组织风险状况的需要。组织仍应根据其资源,使命目标和风险,适当和合理的深入分析,量身定制出具体实施组组合

结论:在预算尽可能充足的情况,建议全方位考虑 IG1、IG2、IG3的组合。

 

002 

 

 二、十二点建议指南

 

具体项目实战总结出,如何更好的定制化组合 IG1、IG2、IG3 变为成功的关键,从而实现平衡资源限制和有效降低风险。

GTI 安全团队愿意祝您组织一臂之力,如有雷同的需求可与我们联系,我们的安全咨询顾问与您一起坐下来一项一项进行对标和梳理。谢谢

 
建议一:硬件资产清单

 

003

 
建议二:软件资产清单
 

004

 

建议三:系统补丁清单

 

005

 
建议四:特权帐号清单

 

006

 

建议五:安全配置镜像或模板

 

007

 

建议六:日志的维护监控分析

 

008

 

建议七:邮件和浏览器的保护

 

009

 

建议八:恶意软件的防御

 

010

 

建议九:数据保护

 

011

 

建议十:基于需要知道的受控访问

 

012

 

建议十一:无线访问控制

 

013

 

建议十二:帐号监控和控制

 

014

 

三、关于项目实施成功的七个原则


读到这里,感谢您花费了不少时间,希望上述12个分类建议、45项安全控制项能够与您日常所遇到的便携机安全管控工作产生共鸣。接下来,大家一定非常关心具体应该选用什么产品、安全配置该如何落地、到底需要多少人力资源、如何避免掉进雷区等干货问题。

“雷区” 说起来容易,没有具体碰过恐怕不是那么容易的感受到,故此总结出需要坚持的原则,是很有必要。

 

具体产品的选用、安全配置等细节这里不做详细说明了,每个用户的场景不太一样,需要根据具体情况进行 PoC 和定制。有兴趣的话,大家可以与我们联系,谢谢!

1. 镜像标准化

选用一个稳定适宜的 Win 10 版本,梳理和标准化知识性工作者所需要的非敏感性应用软件清单(数量建议控制在 30 以内),软件资产清单监测和维护工具、补丁升级管理工具、标准化的浏览器这 3 类基本软件必须实施,也就是大家俗称的 “Golden Image”。可以是按照地域、笔记本机型来制作出不同的黄金镜像。

  • 标准化

  • 数量成千上万

  • 跨地域

  • 不同机型

  • 企业合规、正版的软件清单

  • 必要的自动化管理工具

  • 标准化的浏览器


2. 帐号管理

 

本地管理员帐号必须收回用户仅用专用或辅助帐号,所有访问企业资源的工作场景必须要加入域控接受被管理。

  • 建立不同安全级别的帐号(辅助管理)

  • 域管理员帐号帐号需要受到严格保护


3. 高级端点保护


基于特征签名匹配的端点保护技术已经逐渐落后,建议部署采用“轻量级” EDR 终端检测与响应系统、基于大数据分析的新技术平台。其特点是:CPU/MEM/HDD 占用率很低、没有传统意义上的扫描、甚至可以脱离网络进行防御、用户的使用体验很好;能够阻止漏洞攻击利用技术;更为重要的是其提供了一个大数据的“云服务”,全网实时搜集端点上的日志、安全事件、威胁情报进行关联分析,是防御已知/未知威胁、恶意软件的新平台。

  • 轻量级
  • 离线状态也能防御
  • 防御未知威胁、恶意软件
  • 基于用户行为、日志分析的 SaaS 平台
  • 协同防御


4. 敏感信息防护


梳理、分类出敏感型应用和数据清单和镜像,通过软件定义边界、双因素认证、设备合规性检测准入、数字安全工作空间的技术将他们 “包裹” 并 “虚拟化” 出来集中存放在数据中心,应用和数据不落地。 同时实施零信任网络安全模型和七元组关联的安全管控策略,达到敏感型数据 “看得见”、“摸不着”、“带不走” 的效果。有条件的话,建议搭建出多层纵深分层防御架构和 Tie 2 防火墙 DMZ 区域
  • 敏感型应用和数据清单和镜像

  • 软件定义边界

  • 双因素认证

  • 设备合规性检测准入

  • 数字安全工作空间

  • 零信任网络安全模型

  • 实施四层纵深分层的防御架构

  • Tie 2 防火墙 DMZ 区域

  • 设备、人、桌面、网络、应用、资源系统、数据七元素关联匹配

 

5. 上网

提供安全标准化、合规的浏览器和邮件客户端。所有网络通信一律经过代理进行通信,无论是在内部还是外部、还是在出差、还是在任何地方,所有流量的URL、域名解析请求都需要进行安全检测。有条件的话,所有通信都实施 “中间人” 解密和所有邮件的附件进行沙箱分析。实施必要的无线访问控制,长期脱域场景可以通过VPN来缓解。

  • 浏览器和邮件客户端标准化

  • 所有通信经过代理

  • URL、域名解析请求必须检测

  • “中间人” 解密

  • 沙箱分析

  • 无线访问控制

 

6. 设备意外丢失


为了防止笔记本设备意外丢失,加密 Windows 操作系统所有卷上、USB 驱动器卷存储的所有数据可以更好地保护计算机中的数据。

  • 基于系统级别加密


7. 自动化部署


由于笔记本的数量庞大、而且分散不同的地域、个人数据的复杂性,需要采用定制化脚本编程来解决。同时实施卓越的项目管理,以及有效的培训保障项目成功的落地。

  • 定制化脚本编程
  • 备份个人数据
  • 格式化和覆盖黄金镜像
  • 导入个人数据
  • 卓越的项目管理
  • 现场支持
  • 有效的培训

 

027

 

 

 

Cotract us


 

 

 

 

DingYi

技术经理
GTI 中国
电话:+86(21) 6375 8369
邮箱:ding.yi@gti.com.hk

 

RockLong

咨询顾问
GTI 中国
电话:+86(21) 6375 8369
邮箱:rock.long@gti.com.hk

 

 

摆脱以往的备份模式,数据实验室备份下来的数据完全可以使用,数据实验室打造了一个封闭隔离的环境,与生产环境是完全隔离的两套环境,用户可以随时访问到隔离环境的业务,可在数据实验室的备份环境中做系统打补丁、培训、开发等,来充分使用备份资源,使用完成后可以快速回收及释放资源
可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。
可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。