甲方安全建设推进思路(转)

甲方安全建设推进思路(转)

 

一、STEP1->合理的网络规划与边界防护:

  这里其实是一个老生常谈的问题,虽然Google号称消灭网络边界很多年了,至少2015年我就听说过类似的概念,但是目前国内甲方尤其是重资产甲方是无法消灭网络边界的,在短时内也看不到消灭网络边界的可能性。因而合理规划网络环境,做好边界安全防护依然是最最基础的事情。

  (1)合理规划网络拓扑并不局限于Inside、Outside、DMZ等传统划分,而是根据实实在在的网络联通需求,合理规划自己的布局。

  (2)合理划分区域,在区域合理规划FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent(流量分析探针,用于APT攻击检测)等设备的部署,和互动互联。

  (3)ACL配置:互相访问权限应该满足业务需求情况下,按照最小权限原则进行。所有的ACL配置以及相关变动需要保存历史记录,以便于审计。

  (4)异地分公司通过VPN访问企业内部网络。且需要保证可靠的流量加密算法和足够强度的身份认证管理机制,例如双因子认证,动态认证等措施。

  (5)云托管化的网络部署,应该在云上做虚拟的网路划分,对网络访问做满足需求下的最小权限分配。

  (6)部署蜜罐、密网、沙箱的环境,诱导攻击者,发现攻击者、发现供给趋势,用于提供威胁情报、安全决策依据,并在一定程度上保护和隐藏机构内部信息网络。

 

二、STEP2->资产可信可控管理与漏洞管理:

  对于很多依靠技术起家的互联网甲方目前的资产管理都是一团糟。何况大多数非IT行业的公司。所以对于资产的可信可控高效的组织管理是十分必要的。

  (1)建立健全资产登记管理系统,这里的资产包含:

    (硬件:计算机、网络设备、工控设备、物联网设备[自动售卖机、自助ATM、只能探头、监视器、摄像头、智能电视,智能办公用具等一切设备、税控设备]、移动互联终端);

    (软件:自研软件、开源软件、免费闭源软件、付费第三方软件等);

    (IT虚拟资产:域名、URL、Email、IP、Data->这里指的是所有数据的意思,包含业务和技术数据)

  (2)定期周期化的做资产变动扫描探测,完善资产list。[需要发现扫描系统,及时发现资产,探测资产的OS、SOFTWARE、DEVICE 等信息,匹配安全情报和漏洞信息](详情请参考资产发现系统研究)

  (3)根据资产信息匹配最新的漏洞信息、攻防信息等安全情报,及时打补丁,短时间没有补丁的,可以寻找自己的安全团队或第三方安全团队做临时性安全措施。

  (4)建立恶意信息库,或者购买第三方恶意信息库,包含但不限于恶意的IP、Domain、URL、Email、Hash 与自己的资产、不明样本进行匹配分析,实时最好。发现恶意攻击行为,恶意样本、陷落主机。

  (5)及时安装补丁、升级版本,做好基础加固。

  (6)基线配置检测,对于所有资产进行安全配置基线检查,根据实际结果进行修改,完善安全配置。

 

三、STEP3->日志收集的大数据分析审计与态势感知:

  目前大数据与机器学习异常火热,态势感知感念方兴未艾,但是其本质就是日志的收集,整理,智能化分析、以及利用机器学习算法对访问行为建立画像,计算特征,区别正常流量行为与异常流量行为。

  (1)建立完善详细的日志收集采集系统,例如ELK系统,或者使用Splunk。

  (2)对大量甚至海量数据进行二次研发,精准分析,匹配规则,及时报警。例如yara规则。modsecurity规则、owasp规则等等。

  (3)使用机器学习算法对日志进行黑、白、灰分类。实现更加精确的匹配,甚至进行预测未来攻击趋势。

  (4)建立完整的日志实时传递,备份,保存机制。便于一旦出事可以进行及时的审计、溯源、回复。

 

四、STEP4->建立安全开发流程避免漏洞:

  (1)第三方或者开源的软件需要进行安全测试或者实时关注其安全动态,例如有没有一直cve等等。

  (2)自研系统使用的中间件应该做过安全检查,避免使用爆出cve漏洞的中间件,或者历史上爆出多个0day或者漏洞的中间件,例如struts2。漏洞库版本对照可以参照CPE。

  (3)严格遵照安全开发流程,例如OWASP或者微软的SDL标准,避免使用危险函数等。

  (4)开发需要经过安全培训。

  (5)所有产品上线或者发布前,均需经过严格的可靠的安全测试。

 

五、STEP5->业务安全保障机制建立:

  (1)建立健全内部安全规章制度。

  (2)做好应急响应的各种储备工作。

  (3)重要数据多好多种备份,尽量减小对业务的影响。

 

转载:https://www.cnblogs.com/backlion/p/10153544.html

posted @ 2020-10-04 14:36  进击的pythoner  阅读(297)  评论(0编辑  收藏  举报