

数安智库 | 如何确保数据完整性（下篇）

数智安全行动计划

2022-08-05

作

者

简

介

韩亚康：DSI数安智库专家，专注于Web漏洞挖掘、攻防技术研究、红蓝对抗演练、数据安全领域。曾任职奇安信科技集团股份有限公司安全研究员，现任用友集团渗透攻防团队负责人，Freebuf核心原创作者，已获取多个CVE编号。连续多年参与国家级护网，积累了大量红蓝对抗经验。

与上篇互为补充，基于上篇给出的安全架构，对各组件进行了详细的描述，给出了实践建议，并提供了针对数据完整性攻击的防御场景。

数据完整性防护安全架构组件

1.1 资产管理

资产管理功能允许发现和可视化企业的网络以及当前接入网络内的所有设备。该组件还联动企业中的其他组件，提供诸如监视、备份和系统漏洞扫描等。该组件提供了需要保护的资产的基本信息。

对于资产管理功能，可使用两种产品组合实现：网络空间资产测绘系统+数据防泄漏系统（DLP）。前者是为其网络上的系统、设备和用户提供清单功能，并且可以将这些信息与其他功能结合使用。DLP 则提供数据资产清单，使组织能够识别潜在的敏感数据。

1.2 漏洞管理

漏洞管理功能允许扫描和管理整个企业的漏洞，并记录了现有漏洞和可能已解决的漏洞。此功能产生的信息会被传输到策略执行功能，该功能旨在修复发现的漏洞或隔离系统设备，直到它们被修复。

对于漏洞管理功能，可使用漏洞扫描器和管理工具，对工具的要求是可以扫描各种主机的已知漏洞并报告结果。此外，该工具还要管理和分配这些漏洞的风险级别，使企业的安全团队能够有效地管理整个企业的漏洞。

1.3 策略执行

策略执行功能通过各种策略机制来维护企业的安全。策略执行的能力来源于资产管理和漏洞管理功能提供的日志信息，通常在安全团队的帮助下，以确保企业系统的安全和合规。策略执行包括诸如推送软件更新、修补漏洞或隔离不安全网络或设备等机制，但策略执行工具的功能因产品而异。

对于策略执行功能，可使用统一策略管理平台，但是具体功能因具体产品而异。对产品的要求是可以识别网络上的系统或设备，并对这些系统或设备执行状态检查。检查是否启用了某些服务、是否安装了反恶意软件或是否存在某些病毒文件，并能够禁用对不安全系统/设备的网络访问。

1.4 完整性监控

完整性监控功能用来测试、分析和衡量企业内文件和系统组件上发生的攻击。从事前保护资产，为整个企业的文件和系统建立完整性基线，以便与日常操作进行比较。在攻击事件发生期间和事件发生后，完整性监控的价值变得十分有意义。可以设置告警以通知安全团队在检测到文件或系统发生异常更改时采取行动，比如在异常时间，或者是异常操作（如：通常不会更改这些资产的用户突然进行了更改）。此外，完整性监控组件产生的信息可用于企业进行事后恢复，因为该组件记录了有关发生了什么变化、何时开始发生变化的信息。

对于完整性监控，可使用两种工具实现：文件完整性监控工具+目录服务保护工具，前者为企业内的完整性活动建立基线。此基线用于在发生攻击时检测企业内部的变化并发出警报，并在必要时帮助恢复。后者也可提供完整性监控，但更重要的是要对活动目录更改进行精细回滚，为针对企业帐户配置的任何攻击提供基准。

1.5 日志记录

日志记录是必备的一个组件，日志信息来源于多个组件，通过完整性监控组件生成的日志，有助于为企业的日常活动建立基线。通过漏洞扫描和资产管理组件生成的日志，为策略执行提供了关键信息，因为维护最新系统需要有关企业中存在哪些系统及其状态的信息。

对于日志记录，可使用日志工具实现，对工具的要求是支持从企业中的各种来源收集日志，例如漏洞管理、备份、访问控制、资产管理、完整性监控，以及 Windows 事件日志和系统日志。旨在为整个企业的活动提供基线。并且还要求此工具具备分析和告警能力，可以在发生攻击时使用。

1.6 备份

备份功能可以备份组织的业务数据和来自其他组件的数据，例如日志数据和完整性信息。备份一般作为恢复的一部分。但是，必须在事件发生之前进行备份才能有用，恢复过程需要事件发生前的备份以充分恢复系统。

备份的配置需要与企业的节奏保持一致。例如，如果企业每天每小时执行数千个事务，那么每天仅执行一次备份将无法为企业提供足够的服务。这种类型的配置可能会导致大量数据丢失。如何配置备份取决于组织的风险承受能力和实际业务情况。

对于备份，推荐使用两种开源工具：FileZilla 和 Duplicati。FileZilla 是一个基于用户的文件传输协议 (FTP) 服务器，具有通过传输层安全 (TLS) 强制 FTP 的选项。它允许控制单个用户/组存储文件的位置，使用的主要目的是作为Duplicati生成的备份的容器。Duplicati 是一个基于客户端的备份系统，配置在各个主机上以备份到提供的 FTP 服务器。它在将备份发送到FTP服务器之前打包和加密备份。

1.7 安全存储

安全存储组件用来存储企业最关键的文件及数据。其中包括备份数据、配置文件、日志、映像文件和其他对系统操作和组织业务至关重要的文件及数据。需要采取额外措施来提高这些文件的安全性，使它们在存储阶段不会受到攻击或损坏。

对于安全存储，可使用数据存储工具（如：透明硬盘），对工具的要求是可以在固件级别防止任何数据删除和修改，能提供对用户友好的图形用户界面。在此架构中，主要用于存储备份以防止对备份造成任何损坏，组织也可以自行决定使用它们来存储其他关键文件。

1.8 通信网络防护

通信网络防护功能是为了保护网络免受内外部通信威胁。对内，应该先发制人地防止横向移动，例如，防止恶意软件或恶意行为者试图在网络中的系统上进行传播。对外，还应该防止试图访问网络的外部威胁。

对于通信网络防护，根据企业预算情况，可使用零信任解决方案或采用其他提供精细化访问控制的技术工具，目的是让所有企业通信都通过该工具访问。

1.9 访问控制（黑名单）

黑名单可以控制企业内允许的通信和应用程序。这可能包括将企业系统和设备上安装的软件限制为预定义列表或明确禁止软件。此外，还应该限制与网站、服务器或外部参与者的网络通信，以及基于协议或端口使用的限制。其中一些功能被防火墙覆盖，但进一步的控制可以根据企业的需要采取更复杂的策略。

对于黑名单，可使用防火墙或其他具备访问控制功能的系统，使企业能够通过代理将 Web 流量列入黑名单。

防御能力测试场景

本部分基于具体威胁场景对该安全架构的防御能力进行了测试，效果如下，并为企业给出了可参考的预防建议。

场景一：新员工

一名新员工加入企业并将计算机设备连接到网络。然而，这台设备的补丁不是最新的，对企业构成了安全风险。

此完整性保护架构的防御能力能够识别计算机设备及其不符合企业维护策略的情况。提供了针对此用例的多层防御。

资产管理功能提供有关新连接设备的日志和信息，包括操作系统、MAC地址、IP 地址和登录日期。
日志记录功能生成日志，以便在发生事件时收集和用于与基线进行比较。
策略执行功能提供了基于设备状态授予或拒绝网络访问的能力——本质上，这在设备被允许使用网络之前验证安全软件的存在和设备的更新状态。
漏洞管理功能检测并跟踪新接入设备上的漏洞，从而更好地了解设备在允许进入网络之前和之后的漏洞情况。

对于此类场景，在允许新设备加入网络之前，应对这些设备进行清点并扫描相关的安全状况。

场景二：勒索软件

用户错误地从外部Web服务器下载了勒索软件。当用户执行此软件时，它会生成一个加密密钥，并将其发送回外部Web服务器。然后，恶意软件利用特权升级漏洞在网络中传播。恶意软件会加密它传播到的系统或设备上的文件，并要求付费以换取解密文件。

此完整性保护架构的防御能力针对此用例提供了深度防御，防止勒索事件发生。

黑名单功能用于防止用户访问托管勒索软件的恶意站点，从而在下载发生之前阻止下载。
漏洞管理功能用于检测勒索软件所利用的漏洞进行传播，从而在攻击发生之前处置。
通信网络防护功能用于通过流量允许列表策略禁止网络上计算机之间的网络流量来防止勒索软件的传播。
资产管理功能用于识别企业的资产以进行备份和监控。
备份功能用于在攻击发生之前对潜在的勒索软件目标进行备份，从而消除潜在攻击对文件的影响。
完整性监控功能与日志记录功能一起用于获取文件系统的基线，以便检测对文件系统的攻击并确定范围。

勒索软件有多种形式和来源，令人防不胜防，因此需要对其进行深度防御。例如，虽然可以通过将网站列入黑名单来防止恶意软件进入企业系统，但通常不可能在攻击发生之前全面了解所有恶意网站。因此，需要其他工具来防止恶意软件在其潜在执行的每个环节中的影响，并且需要提前准备以减轻影响。通过从对企业的攻击和其他攻击事件中学习，并改进这些能力是很重要的。信息共享技术和对攻击的事后分析都可以提供预防未知攻击的能力。

场景三：使用带有恶意软件的USB设备

企业员工找到一个未标记的通用串行总线 (USB) 设备并将其插入到他们的系统中。USB 设备包含可能自动运行或通过用户交互运行的恶意软件。恶意软件修改和删除用户的文件，从文本文件中删除文本并完全删除它找到的任何媒体文件。该软件没有像勒索软件那样提供恢复机制，只针对文件进行损坏。

此完整性保护架构的防御能力针对这种情况提供了两个主要防御层：备份和完整性基线。

完整性监控功能为文件系统活动提供了基线，作为修改/删除后的比较点。
日志记录功能为整个企业的事件提供了基线。
备份功能提供了对文件系统进行备份的能力，允许在事后进行文件恢复。

通常最好通过安全培训的方式来防止此类事件的发生。在某些情况下，仅插入恶意USB的操作就可能足以导致在物理层面上破坏整个系统。此外，并非所有恶意USB都是带有自动运行恶意软件的文件系统，它们可能伪装成键盘或使用较低级别的攻击。因此，对于企业来说，重要的是要让所有员工了解未知USB插入的危险，同时还要为攻击发生时做好准备。

场景四：电子邮件钓鱼攻击

企业员工在不知不觉中打开了电子邮件中收到的恶意附件。打开时，附件会悄悄地从外部Web服务器获取文件。然后它会在身份验证服务器上创建几个未经批准的后门帐户。

此完整性保护架构的防御能力提供了针对此用例的多层防御，将有效减轻此类事件的影响。