Antes de que se establezca la defensa en profundidad, ¿es pasivo ser derrotado? Obviamente no. Debe hacer algunas cosas básicas para maximizar su límite de pérdidas y, aunque algunas cosas pueden parecer simples, a menudo son fuente de incidentes de seguridad.
La primera etapa es la implementación de políticas de seguridad básicas, esta parte puede que no parezca tan sofisticada, pero es la parte con mayor retorno de la inversión. La mayor parte de esta parte es un elemento de rectificación, y el 80% de los problemas de seguridad se pueden evitar sin mucha inversión adicional. Incluso si una empresa no tiene un gran presupuesto de seguridad y no puede lograr una conciencia de intrusión en tiempo real en todo su negocio, aún puede tener una garantía básica para el resultado final, esta etapa generalmente pertenece a "morir de hambre".
La segunda etapa es entrar en la construcción sistémica, que involucra métodos de defensa de la seguridad en todas las dimensiones. La detección de intrusiones, etc., además de la tecnología, también incluye requisitos de proceso y auditoría. Este es un prototipo relativamente sistemático: para las empresas de Internet que no son particularmente grandes, el software de código abierto + las soluciones comerciales generalmente pueden manejarlo. En esta etapa, si el objetivo es una gran empresa de Internet, debería emprender directamente el camino de la autoinvestigación y comenzar a desarrollar productos de seguridad simultáneamente, como HIDS, plataformas de big data, etc. Tarde o temprano, la autoinvestigación será una necesidad práctica inevitable.
En la tercera etapa, después de integrar la construcción sistemática, la operación y el mantenimiento de la seguridad y el SDL en el sistema, puede centrarse selectivamente en los problemas de seguridad empresarial. Por lo general, la seguridad de la cuenta se utiliza como punto de entrada y luego se seleccionan las actividades del proceso de TI con los mayores riesgos en el negocio principal para realizar análisis de riesgos comerciales relevantes y la construcción del sistema de control de riesgos comerciales.
Cuando la operación y el mantenimiento de la seguridad, la seguridad del producto (SDL) y la seguridad empresarial se integran inicialmente en un sistema, ¿está completa la construcción general de la seguridad? Obviamente no. Con estos puntos y superficies solo podemos decir que hay un esqueleto, a lo sumo solo se puede considerar como una red de defensa con espesor desigual, los puntos débiles aún son fáciles de penetrar, por lo tanto, el siguiente trabajo es entrar La operación enlace, que es el llamado PDCA, trabaja puliendo al extremo cada punto defensivo. Esta parte del trabajo es muy importante, pero es una "habilidad interna" que no es visible en la recepción. Puede que los gerentes no la tomen en serio fácilmente, pero el líder de seguridad debe conocer lo que está en juego, cómo invertir recursos en esta parte del trabajo y cuantificar el resultado KPI correspondiente.Preguntas a considerar.
En el último nivel, cuando la construcción de los puntos y aspectos anteriores está casi pulida, la construcción de seguridad ingresa a la "zona de juego libre", donde las cosas que se hacen a menudo están relacionadas con el estado operativo de la plataforma, la posición de mercado del negocio, y la naturaleza global del negocio. Tiene mucho que ver con eso. Ya no es posible etiquetar cosas en este rango, pero hay algunas referencias que se pueden seguir, como la evaluación comparativa con fabricantes líderes en la industria. .
(1) Organización
Existe SRC. SRC no es solo una plataforma para enviar vulnerabilidades para obtener comentarios de recompensa, sino también un canal para mantener relaciones en blanco y negro. Con los canales de relación, puede obtener información paga la primera vez (la inteligencia de amenazas es un concepto, de hecho , hay información valiosa), este tipo de inteligencia no es necesariamente un COI legible por máquina, es probable que sea una frase "Su sistema xx ha sido pirateado, regrese y verifique". Ahora el modelo SRC se está desarrollando. la guerra popular, hay que movilizar todos los recursos para denunciar informaciones amenazantes. El equipo SRC más maduro también hace una cosa más: la causa raíz de la vulnerabilidad y el análisis de impacto, y el equipo SRC básicamente ya no interviene en los procesos posteriores.
Los tres departamentos funcionales típicos son: operación y mantenimiento, equipo de desarrollo de productos y equipo de construcción de sistemas de defensa en el departamento de seguridad. La siguiente es la división del trabajo de estos tres departamentos:
1) El equipo de operación y mantenimiento es responsable de la implementación específica de parches y cambios de configuración relacionados con sistemas, bases de datos, middleware e infraestructura de red, como vulnerabilidades en software de servidor de código abierto de terceros Nginx, OpenSSL y MySQL.
2) El equipo de producto es responsable de corregir las vulnerabilidades a nivel de código relacionadas con el producto (si se trata de una vulnerabilidad en un producto de desarrollo propio).
3) El equipo de construcción del sistema de defensa de seguridad es responsable de actualizar las reglas de detección correspondientes a la vulnerabilidad en el sistema de conciencia de intrusiones correspondiente.
(2) Proceso
1) Las vulnerabilidades generales son las mismas que el proceso de corrección de errores ordinario. Se transfieren desde la interfaz del departamento de seguridad a la interfaz de la línea comercial. Después de eso, el departamento comercial las repara y envía una nueva versión para su lanzamiento. Sigue el proceso de lanzamiento ordinario de DevOps. y no tiene nada de especial. En cuanto al proceso PDCA de "reparación-verificación-liberación-monitoreo" de la vulnerabilidad en sí, está cubierto por DevOps y es el mismo que el lanzamiento de la versión normal.
2) Para vulnerabilidades más graves, los líderes de las tres funciones de seguridad, operación y mantenimiento y producto suelen organizar una reunión para formular parches de vulnerabilidad especiales y planes de emergencia. En este escenario, el efecto de una reunión temporal con los actores clave presentes es mucho mayor que la formulación de un proceso. El proceso puede estar ahí, pero no es el foco. Para decirlo gráficamente, tenemos una reunión por la mañana para formular un plan, implementar la liberación al mediodía y continuar con el monitoreo por la noche. Esto puede hacerse en un día. El proceso implica principalmente tomar algunas medidas para evitar riesgos con referencia a ITIL.
3) SLA: se determina según el tipo de vulnerabilidad y su impacto. Las vulnerabilidades generales no necesitan repararse de la noche a la mañana. Para las vulnerabilidades de alto riesgo, si existe una superficie de ataque real, el trabajo se realizará durante la noche. Todo el parche de inserción de la red para vulnerabilidades de alto riesgo se puede completar en 24 horas. En términos generales, este indicador está relacionado con las capacidades de operación y mantenimiento automatizadas. , pero confirmar el área de impacto y el alcance del daño sigue siendo una responsabilidad de seguridad.
4) Si no se puede reparar en poco tiempo, utilice medidas de elusión temporales. El dispositivo frontal proporciona un "parche virtual", que es una regla de bloqueo para la vulnerabilidad (siempre que esta capacidad esté disponible), o cierre ciertas funciones. a corto plazo y añadir medios de control de acceso como medidas de elusión temporales.
(3) Tecnología
1) La detección rápida se basa en el sistema de percepción de intrusiones, que es el núcleo del sistema de protección de seguridad de Internet desde diversas dimensiones, como auditoría HIDS, RASP, WAF y SQL.
2) La reparación rápida depende del soporte de integración continua y herramientas de lanzamiento automatizadas. La forma en que los desarrolladores liberan con un clic es una actividad diaria de las empresas de Internet. Esta capacidad se basa en la construcción de herramientas de desarrollo y herramientas de operación y mantenimiento, y sus responsabilidades no son directamente relacionado con la seguridad, pero tiene un impacto potencial en la eficiencia de la reparación de vulnerabilidades.
3) De manera similar, las capacidades de operación y mantenimiento automatizadas son principalmente responsabilidad de la operación y el mantenimiento, pero también afectarán la eficiencia de la reparación de vulnerabilidades y la implementación de políticas de seguridad.
En resumen, en realidad hay tres cosas: 1) descubrirlo rápidamente; 2) repararlo rápidamente; 3) si no se puede reparar, se puede evitar temporalmente.