一、绪论
企业或者组织安全建设有那么几个阶段,经常参加会议的会棍,例如我这个傻吊这样的,肯定都听说过。在这里结合自己的一点思考,记录一下笔记,备忘,本人菜鸟,专家轻喷。
二、第一个阶段--基础建设:
这个时期主要是摸家底,打补丁的基础阶段。包括但不限于:
(1)资产类:家底排查,需求分析,也就是资产和人、部门、需求的管理。
主要问题:
1、资产家底容易搞清楚,但是人和资产关联做不好,出了人民战争,资产普查之外没有好办法。一开始就进行登记管理,能做好的话还是很能缓解的。
(2)网络规划:按照最小权限原则划分网络网段、高危敏感通信单独划段,进行隔离审查。
主要问题:
1、需求不好分析。
2、组织架构变动、人员更迭、企业规模变化都会造成旧有网络规划不合理。时常变更成本太大。
(3)补丁管理:发现漏洞,升级打补丁、常态化检测监控。
主要问题:
1、漏洞发现不留死角难度大。
2、0day威胁。
3、漏洞重现概率大,修补时候进行的关机处理躲避检查等等。
二、被动防御阶段:
(1)记日志,上监控:netflow、shelllog等等,为溯源追踪、应急响应打下物质基础。
主要问题:
1、监控全覆盖难(很大程度上由于规划不合理)。
2、记录日志存储难,量大。
(2)备份。
主要问题:
1、难以做到足够及时足够安全的备份。
三、主动防御阶段:
(1)渗透测试、攻防演戏对抗:
主要问题:
1、攻防能力、渗透能力不做,走过场严重。
(2)安全开发流程简历:
主要问题:
1、第三方开发不可控
2、自己开发普及安全知识难打较大。
四、智能防御:
(1)态势感知、威胁情报:
主要问题:
1、攻击画像基于规则,难免漏报误报。基于机器学习人工智能尚不成熟。
2、对日志、流量收集分析的基础要求较高。
3、安全情报量太大、准确度不够、难以分析响应,难以落地。目前落地技术导致重新回归基于规则的匹配。
五、主动攻击:
(1)主动攻击
主要问题:
1、非安全专业公司难以构建足够强大的安全团队,具备这种能力。
2、法律问题。