甲方信息安全具体包括内容:
资产、攻击威胁、风险漏洞、防护覆盖(多层能力+覆盖率)、SDL(secdevops)、解业务线安全问题等,目标建设内生安全能力产品服务在上线后自带抵御攻击能力,自身自动免疫对抗外部威胁。
外部威胁实体:
监管部门(信息安全要求)
apt(国家级攻击武器化)
黑产(薅羊毛、广告传播)
恶意利用自动化脚本(弱口令、RCE利用挖矿、DDos)
白帽子(现金收入)
红蓝对抗(监管和内部团队)
安全目标
终极目标零安全事故—依靠全自动的多层检测和防护系统。
日常工作—解漏洞消风险 和 检测防护能力 以及应急响应
安全建设规划:
包括:监管和行业要求、业务安全需求、业务安全风险和优秀行业实践
公安部提出的三化六防:(从基础设施层–>安全服务层–>安全接入层)
1、实战化、体系化、常态化
2、动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控。
参考:关键基础设施信息安全保护要求
当前企业安全问题:
0、安全投入和预算不足,不能将安全最佳实践都落地,多数企业停留在60分水平(过等级)加周期评估。
1、CMDB资产不全和更新不到,基础安全防护覆盖不足
2、安全平台化能力不足,安全量化指标有待提高(安全防护自动拦截能力占比、安全发现入侵威胁占比、入侵威胁响应MTT时间)
3、安全价值输出点不明显,做了什么业务侧的感知力和认可能力 (安全防护能力—安全运营—安全赋能)
安全防御系统建设:
目标:主动防御和攻击预警减少入侵损失。
关键点:隔离+鉴权+监控
架构:纵深架构、从横向/纵向切面插入安全组件:
1)攻击视角:
从公网暴露面漏洞评估治理(扫描器)–到公网边界控制(FW、反爬、WAF)-- 内网负载均衡(WAF、全流量记录)-- 后端服务资源(主机HIDS)— 服务应用安全(上线平台白盒、安全基线卡点、Runtime Rasp防护、高危操作审计) —流量返回检测or出公网(dns、dip情报IOC碰撞、数据库审计能力)—内网移动(堡垒机、蜜网蜜罐)
2)纵向从协议栈由底层物理层到应用的防护:
物理链路层(加密、arp投毒等、vlan跳跃、无线AC、AP设备间认证)vs机房安防系统—网络传输层(acl、vpn、tunnle、icmp洪泛等)vs 抗D、FW – 应用层(waf、rasp、HTTP流量)
3)建设的是防御系统不能单凭借一个单点组件防护,应该是多环多组件并行检测于联动的系统。
统一安全运营,对抗提升拦截率、预警时效、释放人力缩短处置时效:
发现类:黑盒扫描联动SOAR自动编排直接到业务资产负责人、资产BP、人工值班
检测类:
1)拦截类预警:观察环比攻击趋势,不做强分析研判处置
2)非拦截预警:以保护资产视角进行分类,
建设三道安全防线响应机制(不同防线区域和不同预警处置的策略)
第一道防线(观察趋势):覆盖公网边界拦截类预警,WAF、NIDS、HIDS
第二道防线(人工干预):覆盖OA办公区/云上租户类 ,EDR、HIDS、
第三道防线(立即处置):IDC资产,HIDS、蜜罐、IOC等
安全运营需求提升安全运营成熟度
1)资产全面(外内网ip资产全)+准确(归属需准确soar提效)+可见(物理集群>vm/容器>应用app>公网面)
2)攻击面管理,漏洞:资产公网分布(ip、域名、地域/机房) 和 云特性:云风险检测
产品配置检查(es、redis、oss、k8s未授权,mysql、ssh弱口令等)、AK风险、口令登陆、安全组
3) 安全防护:误报率降低、检测率提升
日志数据能力
4) 安全验证和闭环处置:一键验证产品防护能力、mttd处置 < xx, 横向日志
5) 威胁情报检测
6) 容器: 容器镜像扫描、镜像容器签名、基线(未授权,配置风险),微隔离(网络+),容器runtime,