设备接入控制是第一道防线
公司新来的小王,随手就把自己的笔记本插上了办公室的网口,结果没多久,IT发现内网多了一个异常IP。这种情况在现实中太常见了。内网不是“自家后院”,不能谁想进就进。必须通过802.1X认证、MAC地址绑定或NAC(网络接入控制)系统限制非法设备接入。哪怕是一台临时借用的电脑,也得先过安全检查这一关。
日志收集不能只靠防火墙
很多单位以为防火墙开了日志就万事大吉,其实交换机、服务器、数据库、甚至打印机都会产生关键操作记录。比如财务部的共享文件夹被删除了一份报表,防火墙日志里可能根本看不到。这时候就得查Windows事件日志、SMB访问记录。建议部署SIEM(安全信息与事件管理)平台,把所有设备的日志集中分析,设置规则自动告警异常行为,比如非工作时间的大批量文件下载。
权限最小化原则要落实到人
老李是行政部门的,但他居然有访问研发服务器的权限,只是因为当初开通账号时图省事勾选了“通用权限组”。这种“权限泛滥”是内网最大的隐患之一。每个账号都应遵循“够用就好”的原则。定期做权限审查,尤其是员工调岗或离职后,要及时回收权限。可以用AD组策略配合RBAC模型,确保谁该看什么、改什么,清清楚楚。
横向移动检测不能忽视
攻击者一旦突破边界,往往会在内网“横向跳”:从一台被控的办公机扫描其他主机,尝试用抓取的密码登录服务器。这时候IDS/IPS和EDR工具就得派上用场。比如监测到某台主机频繁发起SMB连接请求,且目标端口445密集扫描,就要警惕。可以设置规则触发告警:
alert tcp any 445 -> $HOME_NET any (msg:"Suspicious SMB Scan from Internal Host"; sid:1000001;)补丁更新别再拖了
去年有个单位被勒索病毒攻破,根源是一台Win7测试机没打MS17-010补丁。别觉得“这机器不联网”“只是临时用”,内网里任何一台老旧未更新的设备,都是潜在突破口。建立补丁管理流程,对服务器和终端统一推送更新,高危漏洞72小时内必须修复。对于无法更新的特殊设备,至少要隔离在独立网段。
数据流转也要盯紧
销售小张经常把客户名单导出到U盘带回家处理,看似方便,实则风险极高。敏感数据一旦离开受控环境,就很难追踪。应该启用DLP(数据防泄漏)策略,限制USB存储写入,对包含身份证号、手机号的文件外发进行拦截或加密。同时开启文件操作审计,记录谁在什么时候复制、打印、邮件发送了哪些文档。
定期做一次模拟渗透
光有防护不行,得知道自己到底有多“结实”。每季度让安全团队或第三方从内部发起一次红队演练:假设已获取一台普通员工主机权限,能否提权、获取域控、窃取核心数据?这个过程能暴露出很多隐藏问题,比如弱密码遍地、域管理员账号被滥用等。演练后形成报告,逐项整改。