背景

当今典型的中大型企业(如:10000人以上)在信息化过程中面临的风险,按照风险领域和保护对象大致可分为这几类:

  • IDC上的的业务应用/服务器/基础设施(漏洞/入侵类风险)
  • 员工办公网络中的个人 PC、移动设备、BYOD设备(漏洞/入侵类风险)
  • 上述2类对象(IDC、办公网 ) 核心数据泄露类风险
  • 业务类风险:电商领域账号刷单&爬虫风险、制造业领域 IOT 设备被入侵风险、社交领域内容安全涉政涉黄类风险
  • APT类风险:核心头部公司针对高管/核心人员的 APT 定向攻击风险

有幸在工作过程中,参与了甲方安全办公安全评估与建设,算下来一个人接触办公安全领域也已经有1年的时间了,且后续的主要关注领域会逐渐迁移。因此趁此机会,浅谈我对办公安全风险和建设思路的理解,希望对后续给面临同样问题的同学有一些参考,全当抛砖引玉。

写作时间:2025年7月20日 21:10:12
写作时长:2h

定义风险

抛开具体风险直接谈安全建设都是耍流氓,就好像你给病人治疗方案,但是说不清楚是患者患了什么病一样。
安全建设的主旋律就是:围绕风险做工,通过类似 IPDRR 的方式给风险做 事前 事中 事后的全方位 管理,因此说安全建设的本质就是一门管理的技术也不为过(漏洞在其中只是非常小的一环但但是也最不应该被忽视的一个环节)。

回到问题,甲方的办公安全主要面临什么风险?要怎么梳理?

part1 梳理对象

梳理相关对象。围绕办公相关的对象展开,后续结合对象的整个生命周期刻画其中的风险。

常见的办公网相关的对象包括员工(人、终端PC/mobile/BYOD、账号)、职场物理工区、办公网络基础设施(路由交换、无线设备)、办公核心应用(邮件、AD、vpn、四七层负载、运维类系统等)。

part2 梳理风险

基于上述保护的对象,典型的常见风险如下:

1、物理安全类:
a) 工区不隔离,非公司员工随意出入
b)物理隐私保护不当,核心员工/资产被监视、窃听
c) 废弃资产文档流传处理不当,被二次回收加工利用

2、网络安全类:
a)网络边界存在高危端口被入侵
b)网络设备不符合基线,存在1day 漏洞,账号保护不当被泄露利用
c)网络安全域划分不合理,单个设备沦陷后爆破半径扩大到整个办公网 (包括 vpn)
d)单 VLAN 无二层隔离,设备间相互访问导致蠕虫木马扩散,可被 ARP 欺骗
e)网络认证来源未收敛,可在工区外入网
f) 网络认证方式单一强度弱,存在 mac 加白、账密认证等可被暴力破解与嗅探
g)网络接入使用不规范,存在私搭wifi 等情况可被暴力破解

3、员工终端:
a)终端不符合基线:镜像不更新、无补丁、高风险软件、竞对软件等
b)终端被入侵:钓鱼、木马、恶意插件等
c)终端客户端0day 1day
d)终端账号盗用
e)终端数据外发

4、核心应用
a)IT 基础设施0day,如 exchange、ad 、vpn 、运维类系统等
b)核心应用1day/0day:如知识库、财务、邮件、人力等
c) 基础应用无认证/认证弱,应用票据保护不当

风险一般处于动态产生和解决的过程中,上述风险具备一定的普适性非局限于特定公司,基于 IT 的基础设施形态、网络形态、员工办公习惯等,具体风险会有所差异。

防御思路

场景:如果你是一个人的安全部 或 半路接手了一家公司的安全建设,需要独立负责办公网的建设,应该怎么开展工作?

建设思路:
1、理现状:刻画公司整个风险全景图,安全建设现状,输出主要矛盾与失陷假设后的资产损失。 (1-2个月)
2、盘资源:结合当前的业务体量规模,安全的资源投入预算,指定指定建设计划 (1个月)
3、定目标:与 CXO 同步风险,指定年度规划,具体的、满足 SMART 原则的项目目标、衡量指标。(1个月)
4、跟进展:通过启动会、项目周会、结项会的方式做好过程管理,关注项目核心指标的迭代(1-2年)
5、盘反馈:通过内外兼修的方式,对外关注最新风险,对内抓安全建设,经过1-2年维度的建设迭代,完成一个又一个项目建设与风险收敛,同时定期关注当前整体的风险的水位变化。

策略打法:
1、安全case 驱动:通过单个 case 暴露风险,举一反三发现类似风险,扩充风险全景图。优势:由点到面,从攻击者视角暴露/解决一类风险。
2、项目驱动,结合风险全景图,重点建设1-2个项目,解决主要矛盾,提升全体项目人员、团队、协同方的成就感,便于后续开展工作。
3、结果晾晒,定期输出建设进展与成果,信息分阶段分层次共享,提升安全团队的影响力。

解决方案:
核心还是定义主要问题、主要风险,围绕 IPDRR 展开,结合资源投入实际情况考虑:事前加固评估、扫描、隔离,事中采购/自研研安全产品,事后应急响应复盘迭代等措施,具体不再一一展开。

总结与思考

1、办公安全的具体建设跟公司规模、员工办公形态、基础设施建设息息相关,可以说没有一家公司的办公安全建设是完全一致的, 应具体情况具体分析。上述风险和思路仅供参考,也随市场环境处于不断变化的过程当中,员工开发工作流也会逐渐变化,应随着公司实际情况开展调整。

2、安全的本质是风险管理,放在古代,类似一家公司的保镖,底线是不出事,做好保安的职责。但除了守住底线之外,如何做一些有亮眼的工作?如何创造更大的价值?

3、本着完成大于完美的原则输出阶段性的思考,整体方案和建设思路相对还不够成熟,后续按需结合具体问题迭代,也需关注业界实际的落地情况,欢迎同业交流。