甲方安全建設推進思路(轉)
一、STEP1->合理的網絡規劃與邊界防護:
這裏其實是一個老生常談的問題,雖然Google號稱消滅網絡邊界很多年了,至少2015年我就聽說過類似的概念,但是目前國內甲方尤其是重資產甲方是無法消滅網絡邊界的,在短時內也看不到消滅網絡邊界的可能性。因而合理規劃網絡環境,做好邊界安全防護依然是最最基礎的事情。
(1)合理規劃網絡拓撲並不侷限於Inside、Outside、DMZ等傳統劃分,而是根據實實在在的網絡聯通需求,合理規劃自己的佈局。
(2)合理劃分區域,在區域合理規劃FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent(流量分析探針,用於APT攻擊檢測)等設備的部署,和互動互聯。
(3)ACL配置:互相訪問權限應該滿足業務需求情況下,按照最小權限原則進行。所有的ACL配置以及相關變動需要保存歷史記錄,以便於審計。
(4)異地分公司通過VPN訪問企業內部網絡。且需要保證可靠的流量加密算法和足夠強度的身份認證管理機制,例如雙因子認證,動態認證等措施。
(5)雲託管化的網絡部署,應該在雲上做虛擬的網路劃分,對網絡訪問做滿足需求下的最小權限分配。
(6)部署蜜罐、密網、沙箱的環境,誘導攻擊者,發現攻擊者、發現供給趨勢,用於提供威脅情報、安全決策依據,並在一定程度上保護和隱藏機構內部信息網絡。
二、STEP2->資產可信可控管理與漏洞管理:
對於很多依靠技術起家的互聯網甲方目前的資產管理都是一團糟。何況大多數非IT行業的公司。所以對於資產的可信可控高效的組織管理是十分必要的。
(1)建立健全資產登記管理系統,這裏的資產包含:
(硬件:計算機、網絡設備、工控設備、物聯網設備[自動售賣機、自助ATM、只能探頭、監視器、攝像頭、智能電視,智能辦公用具等一切設備、稅控設備]、移動互聯終端);
(軟件:自研軟件、開源軟件、免費閉源軟件、付費第三方軟件等);
(IT虛擬資產:域名、URL、Email、IP、Data->這裏指的是所有數據的意思,包含業務和技術數據)
(2)定期週期化的做資產變動掃描探測,完善資產list。[需要發現掃描系統,及時發現資產,探測資產的OS、SOFTWARE、DEVICE 等信息,匹配安全情報和漏洞信息](詳情請參考資產發現系統研究)
(3)根據資產信息匹配最新的漏洞信息、攻防信息等安全情報,及時打補丁,短時間沒有補丁的,可以尋找自己的安全團隊或第三方安全團隊做臨時性安全措施。
(4)建立惡意信息庫,或者購買第三方惡意信息庫,包含但不限於惡意的IP、Domain、URL、Email、Hash 與自己的資產、不明樣本進行匹配分析,實時最好。發現惡意攻擊行爲,惡意樣本、陷落主機。
(5)及時安裝補丁、升級版本,做好基礎加固。
(6)基線配置檢測,對於所有資產進行安全配置基線檢查,根據實際結果進行修改,完善安全配置。
三、STEP3->日誌收集的大數據分析審計與態勢感知:
目前大數據與機器學習異常火熱,態勢感知感念方興未艾,但是其本質就是日誌的收集,整理,智能化分析、以及利用機器學習算法對訪問行爲建立畫像,計算特徵,區別正常流量行爲與異常流量行爲。
(1)建立完善詳細的日誌收集採集系統,例如ELK系統,或者使用Splunk。
(2)對大量甚至海量數據進行二次研發,精準分析,匹配規則,及時報警。例如yara規則。modsecurity規則、owasp規則等等。
(3)使用機器學習算法對日誌進行黑、白、灰分類。實現更加精確的匹配,甚至進行預測未來攻擊趨勢。
(4)建立完整的日誌實時傳遞,備份,保存機制。便於一旦出事可以進行及時的審計、溯源、回覆。
四、STEP4->建立安全開發流程避免漏洞:
(1)第三方或者開源的軟件需要進行安全測試或者實時關注其安全動態,例如有沒有一直cve等等。
(2)自研系統使用的中間件應該做過安全檢查,避免使用爆出cve漏洞的中間件,或者歷史上爆出多個0day或者漏洞的中間件,例如struts2。漏洞庫版本對照可以參照CPE。
(3)嚴格遵照安全開發流程,例如OWASP或者微軟的SDL標準,避免使用危險函數等。
(4)開發需要經過安全培訓。
(5)所有產品上線或者發佈前,均需經過嚴格的可靠的安全測試。
五、STEP5->業務安全保障機制建立:
(1)建立健全內部安全規章制度。
(2)做好應急響應的各種儲備工作。
(3)重要數據多好多種備份,儘量減小對業務的影響。
轉載:https://www.cnblogs.com/backlion/p/10153544.html