• 甲方安全建设推进思路


    一、STEP1->合理的网络规划与边界防护:

      这里其实是一个老生常谈的问题,虽然Google号称消灭网络边界很多年了,至少2015年我就听说过类似的概念,但是目前国内甲方尤其是重资产甲方是无法消灭网络边界的,在短时内也看不到消灭网络边界的可能性。因而合理规划网络环境,做好边界安全防护依然是最最基础的事情。

      (1)合理规划网络拓扑并不局限于Inside、Outside、DMZ等传统划分,而是根据实实在在的网络联通需求,合理规划自己的布局。

      (2)合理划分区域,在区域合理规划FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent(流量分析探针,用于APT攻击检测)等设备的部署,和互动互联。

      (3)ACL配置:互相访问权限应该满足业务需求情况下,按照最小权限原则进行。所有的ACL配置以及相关变动需要保存历史记录,以便于审计。

      (4)异地分公司通过VPN访问企业内部网络。且需要保证可靠的流量加密算法和足够强度的身份认证管理机制,例如双因子认证,动态认证等措施。

      (5)云托管化的网络部署,应该在云上做虚拟的网路划分,对网络访问做满足需求下的最小权限分配。

      (6)部署蜜罐、密网、沙箱的环境,诱导攻击者,发现攻击者、发现供给趋势,用于提供威胁情报、安全决策依据,并在一定程度上保护和隐藏机构内部信息网络。

    二、STEP2->资产可信可控管理与漏洞管理:

      对于很多依靠技术起家的互联网甲方目前的资产管理都是一团糟。何况大多数非IT行业的公司。所以对于资产的可信可控高效的组织管理是十分必要的。

      (1)建立健全资产登记管理系统,这里的资产包含:

        (硬件:计算机、网络设备、工控设备、物联网设备[自动售卖机、自助ATM、只能探头、监视器、摄像头、智能电视,智能办公用具等一切设备、税控设备]、移动互联终端);

        (软件:自研软件、开源软件、免费闭源软件、付费第三方软件等);

        (IT虚拟资产:域名、URL、Email、IP、Data->这里指的是所有数据的意思,包含业务和技术数据)

      (2)定期周期化的做资产变动扫描探测,完善资产list。[需要发现扫描系统,及时发现资产,探测资产的OS、SOFTWARE、DEVICE 等信息,匹配安全情报和漏洞信息](详情请参考资产发现系统研究)

      (3)根据资产信息匹配最新的漏洞信息、攻防信息等安全情报,及时打补丁,短时间没有补丁的,可以寻找自己的安全团队或第三方安全团队做临时性安全措施。

      (4)建立恶意信息库,或者购买第三方恶意信息库,包含但不限于恶意的IP、Domain、URL、Email、Hash 与自己的资产、不明样本进行匹配分析,实时最好。发现恶意攻击行为,恶意样本、陷落主机。

      (5)及时安装补丁、升级版本,做好基础加固。

      (6)基线配置检测,对于所有资产进行安全配置基线检查,根据实际结果进行修改,完善安全配置。

    三、STEP3->日志收集的大数据分析审计与态势感知:

      目前大数据与机器学习异常火热,态势感知感念方兴未艾,但是其本质就是日志的收集,整理,智能化分析、以及利用机器学习算法对访问行为建立画像,计算特征,区别正常流量行为与异常流量行为。

      (1)建立完善详细的日志收集采集系统,例如ELK系统,或者使用Splunk。

      (2)对大量甚至海量数据进行二次研发,精准分析,匹配规则,及时报警。例如yara规则。modsecurity规则、owasp规则等等。

      (3)使用机器学习算法对日志进行黑、白、灰分类。实现更加精确的匹配,甚至进行预测未来攻击趋势。

      (4)建立完整的日志实时传递,备份,保存机制。便于一旦出事可以进行及时的审计、溯源、回复。

    四、STEP4->建立安全开发流程避免漏洞:

      (1)第三方或者开源的软件需要进行安全测试或者实时关注其安全动态,例如有没有一直cve等等。

      (2)自研系统使用的中间件应该做过安全检查,避免使用爆出cve漏洞的中间件,或者历史上爆出多个0day或者漏洞的中间件,例如struts2。漏洞库版本对照可以参照CPE。

      (3)严格遵照安全开发流程,例如OWASP或者微软的SDL标准,避免使用危险函数等。

      (4)开发需要经过安全培训。

      (5)所有产品上线或者发布前,均需经过严格的可靠的安全测试。

    五、STEP5->业务安全保障机制建立:

      (1)建立健全内部安全规章制度。

      (2)做好应急响应的各种储备工作。

      (3)重要数据多好多种备份,尽量减小对业务的影响。

  • 相关阅读:
    This TableLayout layout or its LinearLayout parent is possibly useless
    在为ListView设置adapter时出错
    对象拷贝
    a标签不能嵌套
    ios 中不new Date 的格式 不支持年月日 以‘-’ 分割的格式
    centos vsftpd
    npm 安装 不快的解决办法
    node web 应用热更新
    svg 插件
    window 安装 nvm
  • 原文地址:https://www.cnblogs.com/KevinGeorge/p/7844165.html
Copyright © 2020-2023  润新知