房地产行业数字化转型案例.docx
《房地产行业数字化转型案例.docx》由会员分享,可在线阅读,更多相关《房地产行业数字化转型案例.docx(20页珍藏版)》请在冰豆网上搜索。
房地产行业数字化转型案例
1、百家|某地产集团企业数字化转型期信息安全建设之路
原创熊暾安在
“百家”,既是“诸子百家”,亦为“百花齐放”。
他们是各行各业网络安全专家:
有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。
安在“百家”,最佳实践,真知灼见,思想火花,期待有你!
熊暾
某地产公司信息安全主任
资深安全专家
第一部分、概述
▲▲▲
某大型房产公司,业务遍布港澳及内地70余个城市及海外多个国家和地区。
该企业自2017年以来,将加快信息化建设步伐进行数字化转型当作重要战略举措,逐步加大信息化预算,实现数据智联、创新赋能,支撑管理变革、引领业务创新。
信息安全是企业数字化转型过程中不可避免或忽视的问题,决定企业数字化成败的关键。
在这个过程中,数据成为企业非常重要的资产,信息安全对于企业发展有不可估量的影响,企业的安全体系的构建是一个动态、长期的过程,难以一蹴而就。
如何从战略层面、治理层面、执行层面上,全面、积极、有效地应对安全风险的同时,将风险转化为机遇,推进数字化转型的持续性发展,可谓任重而道远。
为了达到目的,该公司快速组建了信息安全团队,在数字化转型的过程中,不遗余力地推进了信息安全的建设。
经过近三年的建设,该企业已经找到了适合自己的信息安全建设之路,以《网络安全法》的实施为契机,顺应等级保护标准要求,加强全方位主动防御、整体防控,实现对等保护对象的安全全覆盖,从事后补救到安全前置,从局部分割到全面防护,从被动安全到主动安全的转变,构筑主动、全面的安全防护体系,为数字化转型保驾护航,这就是某大型房产公司数字化转型之后交出的信息安全答卷。
在具体建设步骤方面,从聚焦核心数据保护诉求出发,在信息化战略规划层面将信息安全建设分为筑围墙、坚堡垒、精管控三个阶段逐步推进,首先按照等级保护要求,进行了核心系统的等级保护测评工作,2018年顺利完成测评整改,取得了测评证书,2019年更是启动了云平台的三级等保测评工作;在基础架构安全建设方面,上线网络流量回溯分析系统、WEB应用防火墙、运维审计堡垒机等,迅速在总部形成了护城河,公司整体的安全防御能力得到大大提升。
针对员工信息安全意识薄弱问题,开展了长期的信息安全宣贯,通过OA内网、移动门户APP等多种方式推送安全小知识以及公司安全制度等,连续三年开展了“网络安全周”宣传活动,通过线上、线下跨平台、全方位的宣传,使得信息安全理念深入人心,在公司上下初步形成了“信息安全、人人有责”的文化氛围,全面提升了员工的信息安全意识。
在信息化高速发展的同时,黑产也在不断进化,高级恶意代码以快速变种、多样化和动态交互的形式不断演化,虽然该企业已经建设了较为完善的纵深防御体系,但是面临的风险和威胁依然众多,包括如下:
1、安全攻防能力极度不对等,如恶意代码,和传统病毒相比,变种更多、更新更快,传统检测方式更难发现;同时黑客攻击更多的具备“海陆空”(不同攻击载荷、攻击方式、攻击维度)、全天候、全方位打击的特点,依靠单一的安全产品品或边界防护往往无法满足企业安全需求;
2、地区公司防护薄弱,地区公司通过MPLS-VPN专线与总部进行互联,同时各地区公司也有自己的互联网出口进行上网,这样带来了诸多的风险;由于安全预算、人力的限制,地区公司没有专职的安全团队,往往很难进行高效的风险防范;
3、内网平坦化问题:
目前该企业内网连接着60多家地区公司,同时还与集团公司内部兄弟公司等通过MPLSVPN进行连接,各公司安全建设水平参差不齐,更多的是注重网络侧的边界防御,而内部跨区防护,往往被选择性忽视。
在实际攻防场景中,再“高”再“厚”的墙也终将被绕过。
一旦攻击者突破某个地区公司边界取得初步权限,内部安全能力的真空很容易导致集体沦陷,攻击者进入内网之后横向渗透,往往一马平川,无往不利;
4、单点安全能力永远存在漏报和误报的问题。
即使当前攻击被阻断,道高一尺魔高一丈,攻击者经过一段时间的研究,也有可能绕过防护。
而安全设备和业务系统兼容是一个长期的磨合过程,必然会导致出现无效告警,而真正有效的告警,往往被淹没其中。
第二部分、该企业信息安全建设思路
▲▲▲
为有效应对目前面临的问题和满足安全迫切需求,我们需要利用基于大数据机器学习技术对已知威胁进行模式挖掘,然后通过专家分析,提取恶意行为并输出安全能力,具备威胁情报检测、网络异常检测、入侵检测、主机行为检测等多种安全能力,从“端、边界、云”的空间维度上以及“预警、监测、分析、清除”的时间维度上实现安全防护的闭环管理,真正做到“全面防御、主动预警、安全运营,全天候、全方位感知网络安全态势”。
为了达到这个目标,我们制订了企业信息安全宙斯盾计划,从如下几个方面进行了安全建设,包括:
攻防侧:
收敛攻击面,具备有效防护各类已知攻击的能力;
网络侧:
具备覆盖全部网络协议栈的分析、检测和分析回溯能力,能够覆盖全部边界和MPLSVPN互联的链路;
主机侧:
以业务主机(服务器)为安全防御重点,构建最后一公里防线,快速搭建自适应防御体系;
终端侧:
建立终端安全防御体系,同时通过检测网络流量中的DGA域名,定位网络内部已经被控的主机。
安全域划分:
基于零信任网络原则,进行层次化划分,尤其是对内网互联的网络进行有效隔离,防止堡垒从内部被突破,打造不被绕过的马奇诺防线。
第三部分、该企业信息安全建设具体成果
▲▲▲
在我们近三年的安全建设成果来说,基本行动计划包括如下:
(1)坚壁清野步步为营
面对上面所面临的风险,在总部数据中心层面,通过开展敏感信息清理、网络资产摸底清理、收敛网络攻击暴露面、安全风险排查整改、重点目标防御等专项工作,同时配合常态化的漏洞扫描工作,逐步整改安全漏洞,淘汰下线不安全业务系统;对安全设备策略进行有效收紧,形成了漏洞收敛、防护有效、保障有力的安全局面。
目前公司总部对外互联网IP150+个,互联网带宽150Mbps,业务系统60+个,累计一年防御DDOS攻击252万余次,拦截网络层攻击2160万次,拦截应用层攻击72万余次;
(2)诱敌深入层层设防
为了解决内网攻击以及未知威胁问题,公司总部上线了开源的蜜罐系统T-Pot,恶意代码和行为检测作为抵御黑客和网络犯罪分子防御的第一道防线。
它主要应用特征库和行为的辨别技术,不可避免的带来误报和漏报的问题。
蜜罐系统则有效的避免了这个问题,通过构建伪装的业务主动引诱攻击者,在预设的环境中对入侵行为进行检测、分析,还原攻击者的攻击途径、方法、过程等,并将获取的信息用于保护真实的系统;
通过蜜罐系统,利用欺骗防御技术,经过精密设计,在恶意黑客必经之路上布置诱饵节点,混淆其攻击目标,从而隔离并保护企业真实资产,拖延黑客攻击时间。
蜜罐系统能够高精度、准确无误地发现潜在威胁,捕获威胁后将在第一时间报警,速度优于传统安全防护手段,用蜜罐获取到攻击者信息,比如攻击者的IP,就可以通过防火墙及WAF设备对攻击来源进行封堵。
该企业部署蜜罐系统以来,全年捕获各种攻击40万+次,攻击IP2800+个,与防火墙、WAF等形成良好互补。
图:
蜜罐捕获到的暴力破解用户名和密码
(3)内网隔离纵深防御
针对内网平坦化问题,我们通过进行安全域划分方式,对内网进行了初步隔离,对来自地区公司和兄弟公司的互联请求不再采取默认放行规则,而是基于零信任网络原则,进行层次化划分,防止病毒木马纵向感染横向传播。
通过子公司网络规范,落实子公司边界安全防护体系,各地区分公司互联网出口处部署了防火墙,终端层面部署了防病毒软件,完成全公司4000+终端防病毒软件部署;同时定期推进专项巡检工作,对地区公司进行终端安全扫描,对发现的存在高危漏洞的终端进行督促整改;日常工作中,对地区公司发现感染僵尸、木马、蠕虫的终端进行及时通报整改。
根据部署在边界、终端、云网络、专线网络的各种安全设备的特点,有的放矢设计对应的检测手段,扬长补短,充分发挥数据联动分析的作用,建立了较为完善的纵深防御体系,形成了横向到边、纵向到底的立体防御框架并切实落地,达到较好效果。
(4)万物皆明精确感知
再高级的攻击,都会留下网络痕迹,因此,进行网络全流量分析是精确感知安全的一个非常好用的手段,全流量威胁分析回溯系统能够快速检测各类重点事件,如APT攻击事件、Botnet事件、恶意样本传播、WebShell、隐蔽隧道等高危安全事件。
以流量行为为例,正常网络层的连接行为是松散的、随机分布的,如下图:
而异常连接的情况下,比如终端感染木马并成为僵尸主机之后将对同网段和外网进行扫描攻击,其连接行为将会如下:
通过如上规则,在流量分析回溯系统上可以很好的进行预警,及时定位网络内部已经被控的主机。
同时,流量分析回溯系统可以很好的进行C&C服务器访问监控(Command&ControlServer,是指挥控制僵尸网络的主控服务器)。
每个木马实例通过和它的C&C服务器通讯获得指令进行攻击活动,包括获取攻击开始的时间和目标,上传从宿主机偷窃的到的信息,定时给感染机文件加密勒索等。
通过引入外部威胁情报,与自身流量分析回溯系统有机结合,很好的解决了分支机构的僵尸网络问题。
目前,我们已经成熟应用基于域名、IP地址、样本特征等进行失陷检测,将远控或者恶意下载的各类IP、域名和URL进行一键拦截和预警,同时可将失陷主机与外网通信、在内网进行传播扩散与渗透、最终达成攻击目标的全过程完整绘制出来。
(5)情报驱动安全联动
在网络安全体系的建设过程中,是一个由点到面的过程,上线过程中不同厂家不同品牌的安全设备会不可避免的处于分散状态,而不是天然的具备联动机制;而单点安全能力永远存在漏报和误报的问题;我们在三年的安全建设和安全运营过程中,也发现了这个问题,往往需要投入大量人力进行各种设备的策略调优,如攻击者突破了防火墙和WAF设备的第一道防线后,虽然被流量分析系统和蜜罐发现,但是往往需要安全管理员手工处理告警,来进行IP拦截,时效性无法得到保证,安全源于联动,各自为营.怎能协同工作?
为了解决这个问题,我们宙斯盾计划的核心就是通过威胁情报建立各安全设备的联动机制,实现安全协同、全网联动。
在这个建设过程中,我们引入互联网大情报体系,对情报信息进行强度整合、高度共享、深度运用;同时结合防火墙、WAF、流量分析系统、态势感知、蜜罐等集中告警日志处理,借助技术中台,建立小情报体系(私有云),这个私有情报系统,我们也称之为安全中台雏形,既能够实时调用防火墙、WAF接口进行联动处理,也能够对外提供给集团各兄弟公司使用,极大程度上缩减了安全事件的处理时间,能够以最高效的方式解决安全问题。
通过这样的安全设备联动管理,能够保证系统内的安全设备协同工作,提高安全事件的检测精度和处理效率,从而应对日趋复杂多变的网络安全威胁。
(6)应急响应全网协防
我们进一步健全完善了网络安全事件监测发现、通报预警、应急处置一体化机制;在安全运营过程中,监测只是第一步,后续还有处置、溯源、修复、优化等一系列过程,对需要对待处理事件区分优先级,形成小时级、日级、周级、月级处理机制,让重要事件得到及时解决。
对于实时发生的失陷事件,不断恶化的安全事件,我们将全网预警,提高应急响应级别,及时将信息安全事件扼杀在萌芽状态。
对于漏洞扫描、基线核查、安全更新等工作,我们已经形成周期性任务执行,按季度进行常规化跟踪、处理。
同时我们推行各种专项行动,如密码安全专项检视计划、全网终端安全扫描行动、渗透测试、安全演练等,及时掌握和解决影响网络安全运行方面出现或存在的有关问题,提升安全防护水平。
下面,通过一个典型的信息安全案例,来介绍该企业信息安全建设成果及相关经验总结,这个实战案例,既是对过往安全建设的成果检验,也为后续的安全体系建设提供了宝贵的经验。
第四部分、真实信息安全应急事件案例分享
▲▲▲
12月2
升级会员 