办公电脑访问互联网如何采用白名单控制？

‍‍

0x1 本周话题TOP4

话题1：各位大佬，请教一下，办公电脑访问互联网有采用白名单控制手段吗？效果如何？

A1:用白名单的比较少吧，一般都是黑名单。白名单太难管理了，很多页面是调用了其他网站的资源。

A2:有，效果看策略精细度，困难点是cname的变化和网站的天窗。

如果现在一刀切了的，那不建议开了，要开也是特例开。如果现在没管控，要收口，白名单做了会好很多。

A3:我们是担心一旦开了白名单口子，业务的需求会很多，到后面就无法管控。另外有些网站有上传下载功能，会造成数据泄露。

Q：黑名单无法穷尽，之前我们做过，历史top1000都覆盖不了需求。

A4:一是根据部门划分权限组；二是能配1~2个人专门抓链接，就好了，不然很痛苦。

我们有个过合规和安全流程，审完才能开，同时默认信任某代理的库，库里识别不了的全部断了，提流程才开通。

A5:买设备简单快捷，上网行为有网站类别，可以做一些类别限制，还有NGFW有一些域名和URL黑名单，可以阻止很多的恶意网站。交给专业厂家省事点。

A6:我们是建议有上网需求的单独配上网机，业务部门反馈使用两台电脑不方便。

A7:我们采取2道防线：一道上网行为，黑名单禁止访问证券交易，也是做本地监管要求的补充；第二道代理白名单 库里没有的都不让访问。之前经常会发生一些网银或者政府网站上不去，代理会发自签证书。

Q:这个库是咋确定的呢？

A8:代理内置的库，集团有个团队定期会联系厂家review。用代理做一下卸载，可以过代理附属安全策略，对接dlp不过也不是所有都卸载了，网银那些就做了风险接受。现在的有些产品也可以识别一些代理，或者封特定的协议或者端口之类的。

Q:对接dlp是指网络dlp?

A9:办公类的，基本就这最优解了。真正是业务的，而且高频的，特别是要做数字化的，那就立项花钱做。

Q:为了满足什么需求？

为了少做与工作无关的事

为了防止终端被黑被控

为了防泄密

其中安全产品自带的库对3会有帮助，对2基本没用，还是得摆正预期，避免你必要性说要解决这个问题，上了之后又解决不了。比如想解决2，基本就告别自由上网了。

3安全产品也没法解决，只要网站有上传下载功能就控制不了。对于做这块的还凑活，维护库、识别上传行为、dlp 光网站分类肯定不够，但现在已经卷到离职行为分析了，做这块的还是有成果的。

A10:终端dlp识别上传行为，我们测了好几款产品，只能识别部分网站的上传行为，没法做到全部识别。

A11:还得有大前提，比如IM类全禁，远程协助类全禁，它识别上传肯定还是基于post的类型来做，对websocket根本束手无策，那就要把websocket类直接全禁。

反正对于银行而言，便利性要求低，监管要求高，要搞绝了那就三网隔离吧，没什么方便不方便的，觉得要方便那就别要100%安全。

本周群里大佬讲个策略，听着像笑话，却规避了最复杂的各方利益平衡、历史经纬、一揽子解决方案问题：成立新公司，策略全是最严格的，把人往那边签。

dlp其实很成熟了，最怕的是不知道要保护什么数据，只要一个“数据别泄露”的结果，又不为争议点做决策。比如你定下：我就保护金融四级和三级数据，其它不管。那其实dlp不难做，甚至焦点根本不在上网行为这。

A12:目前数据分级还没有完全做，没法基于数据级别来限制。如果分级已经实现了，通过终端dlp对这些数据文件加密，也就不担心外传.

Q:怎么加密的，dlp加密？

A13:银行是可以做到这种事的：所有数据自主标密，流转的话根据密级定审批，然后抽查审计本地、流转的密级是否合理，审计范围从边界开始，消停了逐步扩大到内部.

A14:终端dlp可以全盘扫描办公终端上的文件，如果识别到敏感文件自动加密，但要基于数据分类分级标准。我们也比较担心，所以没用自动加密，采用手工加密。

A15:考虑敏感数据收下口，然后加dlp识别辅助，看工程能力了。另外加密终端会持续发生掉线，状态注销等问题，必须想好配置的支持人工服务，以及在是否存在脱网脱域情况下的应急处置。

话题2：咨询一个问题：大家日常自动化阻断的场景、策略都有哪些？白名单怎么维护？定期审视？

A1：频率高的，多次命中规则库的，ip封禁5分钟，解封后还进行，ip封禁一周。

有公网国外ip 攻击的，直接自动阻断；公网国内的，频率高的阻断一周；内网的，不采取措施。目前互联网没有添加白名单ip，误封的就优化规则。

攻击的ip过一遍情报，有问题的就封。

Q：有问题具体是？根据哪些标签呢？没有误封过外部合作方的IP吗？

A2：这个要分业务场景。那些扫描、恶意的情报反而只能辅助，真正有效的是属性ip。比如你是toC的本地连接没有有效的ip配置未修复，情报就应该是基站或住宅或动态，你toB的，情报就应该是IDC或者company，对云主机可以让对方提前报备开通，国家、城市也能辅助，运营商也有用。

综合这些，打一个特例场景的比方作为例子：

Q：结合各个安全设备，最后ip自动封禁，那直接上ips不行吗？

A3：IPS只能封堵一些异常流量，大部分是在网络层，应用层的有限，比如应用层就需要用WAF，所以一般有态势感知系统可以关联和联动各个安全系统（防火墙，IPS，WAF，流量检测，抗D等）的日志，再通过相应规则实现自动封禁。

A4：理论上，IPS是可行的。就像察打一体无人机，发现了就可以摧毁。但实际上，对于入侵行为的发现和认定，是比较复杂的。究其根本，是因我们的这些边界防护策略并非是完全的白名单机制，也就是说安全需求是模糊的。因此，像IDS、IPS等入侵检测类的设备，都做的是常规的黑名单策略。黑名单策略产生的告警，既然不是根据实际的业务需求而来，就会存在较大的误报可能。

Q：大家有调防火墙进行封禁的吗？感觉调防火墙封禁效率比较低。

A5：我们调用的防火墙，防火墙那个黑名单饮用机制，不过有五分钟延迟好像。

A7：防火墙是封禁长久黑名单的ip，我们是确定了安全设备上检测到多次封禁的ip在手工加到防火墙上。安全设备上只设置自动封禁攻击ip几分钟。

A7：5分钟太久了吧，我现在从触发封禁规则到封禁完成2-3分钟，感觉时间都太久。并且还有个问题，如果用代理池大量扫描，封禁IP多了，效率就更低了。

A8：秒播IP确实不好防，遇到挂cdn或者使用云服务商ip进行攻击的情况，封ip地址还会极大可能的造成正常用户无法访问。不过可以做cdn白名单，cdn白名单不自动封禁。

Q：利用cdn回连的时候截http X-Forward-For头部呢？这种取第几个xff头，第一个？

A9：全取，并拼接，第一个的话会看不见源。之前听有个哥们说：有一次攻击者在攻击报文中伪造了大量XFF，IP封禁自动识别XFF进行封禁，导致大量误封。

如果攻击者就是真实ip，确实可以这么做。xff都是君子协议，不必须遵守，是很容易伪造的。

A10：把XFF这个词换掉，让cdn造一个独立的。这个是你和cdn之间的约定，第三方不会知道的，除非有人故意透露。

A11:一般红队都是会增加很多伪造的头，甚至加内网的xff，换掉意义不大，在请求包里面的都可以伪造。攻击者使用正常用户访问，抓个包出来一看就知道了，使用端对端加密的话，会增加抓包难度。

A12：先让负载均衡强制插一个XFF，即使攻击者伪造，都得插到这个XFF之前，因此读最后一个XFF就是真实攻击源IP。

A13：但不能读最后一个攻击者给自己插一个，就实现了隐蔽自己让你误封。

A14：不要用标准的xff字段，能避免很多干扰。比如就改成“seghsekuge”。

A15：smtp邮件路由过程中加头部的时候也会有这个问题，对策就是所有新头部都加在最上面。

话题3：大家收到漏洞是不是都立即评估和通报，还是会分级通报？

A1:漏洞修复，之前和一些大佬讨论过，通用的时间应该是：严重1天（24小时内），高危3天，中危7天，低危15天。

A2:面对业务不可停，检修管理比较严格和规范，不让随便动服务器本地连接没有有效的ip配置未修复，怎么办？对漏洞修复后，系统的兼容性和运行稳定没有保障。

A3:一般收到漏洞都会立刻响应，遏制止血，防止扩散；再根据漏洞影响面和漏洞级别综合来定修复时间。

当然根据公司所属行业不同，修复时效可以调整，比如可以将线上生产环境的应用漏洞和上线前测试环境的修复时间分开。上线前按照通用时间来；线上的设置成严重，高危1天，中危2天，低危3天，也行。

Q:修复时限还要有个大的切分吧，是否面向互联网？只根据评级就定修复时间，而且这么紧，研发和运维很难接受。大家漏洞评估，会结合安全防护措施给漏洞降级吗？

A4:我理解为cve那种，类似log4j2漏洞。那么这种，可以按照当前入侵检测方案来，例如已经有检测规则防护7-15天内。无检测规则防护1-7天，先通报技术运维部门快速梳理影响的资产有多少，然后针对资产所属部门，拉群协助处理。会结合防护措施，以及内外网应用的情况去做一定程度延时，但是需要审批或者安全部门评估。外网线上应用修复时效优先级高，内网线上优先级次之，上线前（测试及预发布环境）最后。外网线上>内网线上>上线前（测试及预发布环境）。

A5:这种的情况，或许可以安全部门及相关风险合规部门，业务部门介入一起评审一下。评审方向（系统是否有入侵检测机制（是否在waf防护范围，是否有hids监控，是否核心应用，日活量等），是否有健全的回退机制（假如升级修复后，一旦影响业务连续性是否可以快速回退），漏洞不修复可能带来的风险是否在风险可接受范围等），上诉内容如果可以确定，那么再走流程或邮件让领导审批即可。

话题4：我有个疑惑，MTTD应该从哪个时间作为起点，是第一个入口的时间？还是有驻留权限的时间？还是造成影响的时间？

打个比方，一个用户的密码被爆破成功了且没发现，过了一周后的9：00开始登录邮箱，同时被发现，9：01开始拖邮件，9：05遏制，MTTR很清晰4分钟，MTTD取7天还是1分钟还是哪个呢？

A1:这是两个事件了吧，一起是爆破，一起是入侵。如果由入侵事件回溯到确实是一周前的爆破成功，说明爆破的监测模型需要优化，这个就不应该用MTTD和MTTR来度量。另外这个MTTR是不是应该是5分钟，9:00发现，9:05分处置。

Q：问题就是“受到安全事件影响”的定义，哪个才算安全事件？

1.系统有弱密码能登录，但登录后什么也没干

2.登录后找到漏洞上传了后门木马，没造成业务影响

3.偷了数据或者篡改了东西或者停了服务

A2：从被登陆就开始算了吧，你的安全防护措施已经失效了。

A3：我觉得是指态势感知类的运营平台发现的安全事件，相关的安全事件也可以做关联，对于该安全事件（一个或多个安全风险）做处置，而且都是安全事件，处在攻击的不同阶段。

A4：看来大家很一致，不需要造成结果，从第一步就开始。主要国家出了规定，“网络安全事件”的定义被锁定在了造成后果的范围内。咱们这个定义比它更宽泛，还是聚焦安全威胁响应的。

0x2 本周精粹

0x3 2022年第9周运营数据

金融业企业安全建设实践群 | 第137期

本周群里共有 99 位群友参与讨论，群发言率为22.35%，群发言消息数为 555 条，人均发言数为 5.60条。

企业安全建设实践群 | 第62期

本周群里共有 39 位群友参与讨论，群发言率为8.42%，群发言消息数为 137 条，人均发言数为 3.51 条。