当事者 A の情報セキュリティには、具体的には次のものが含まれます。
資産、攻撃の脅威、リスクの脆弱性、保護カバレッジ(マルチレイヤー機能 + カバレッジ)、SDL(secdevops)、ビジネスラインのセキュリティ問題の解決策など、内生的なセキュリティ機能を構築することが目標です。オンラインになった後の攻撃に対する防御機能が強化され、外部の脅威に対して自動的に防御されます。
外部の脅威エンティティ:
規制部門(情報セキュリティ要件)
適正(国家レベルの攻撃の兵器化)
ブラックプロダクション(羊毛の掃討、広告の普及)
自動スクリプトの悪意のある使用(脆弱なパスワード、RCEマイニング、DDos)
ホワイトハット(現金収入)
赤と青の対立(規制および内部チーム)
安全目標
最終的な目標は、完全に自動化された多層検出および保護システムに依存して、安全事故をゼロにすることです。
日常業務 - 脆弱性の解決、リスクの排除、機能の検出と保護、緊急事態への対応
安全施工計画:
含まれるもの: 規制および業界の要件、ビジネス セキュリティ要件、ビジネス セキュリティ リスク、および優れた業界慣行 公安
省が提案する 3 つの最新化と 6 つの防御: (インフラストラクチャ層 –> セキュリティ サービス層 –> セキュリティ アクセス層)
1.実践的なシステム 2。動的防御
、積極的防御、多層防御、正確な防御、全体的な予防と制御、共同防御と共同制御。
参考:重要インフラの情報セキュリティ保護要件
現在の企業のセキュリティ上の懸念事項:
0. セキュリティへの投資と予算が不十分で、すべてのセキュリティのベスト プラクティスを実装できず、ほとんどの企業は 60 ポイント レベル (オーバーグレード) と定期的な評価に留まっています。
1. CMDB 資産が不完全で更新できず、基本的なセキュリティ保護の適用範囲が不十分
2. セキュリティプラットフォームの機能が不十分で、セキュリティの定量的指標の改善が必要(セキュリティ保護の自動傍受機能の割合、セキュリティ検出の割合)
3. 安全値の出力ポイントが明確ではない、ビジネス側の認知・認識能力(安全保護能力・安全運用・安全権限付与)で何が行われているか
セキュリティ防御システム構築:
目標: 積極的な防御と攻撃の早期警告により、侵入損失を削減します。
キーポイント: 分離 + 認証 + モニタリング
アーキテクチャ: 水平/垂直の側面からセキュリティ コンポーネントを挿入する詳細なアーキテクチャ:
1) 攻撃の観点:
パブリック ネットワークの露出面の脆弱性評価とガバナンス (スキャナ) から、パブリック ネットワークの境界制御 (FW、アンチクロール、WAF)--イントラネット負荷分散 (WAF、完全なトラフィック レコード)--バックエンド サービス リソース (ホスト HIDS)--サービス アプリケーション セキュリティ (オンライン プラットフォーム ホワイト ボックス、セキュリティ ベースラインのスタック ポイント、ランタイム Rasp 保護、高リスク)運用監査) - パブリック ネットワークからのトラフィック リターンの検出(DNS、ディップ インテリジェンス IOC コリジョン、データベース監査機能) - イントラネット モビリティ(要塞マシン、ハニーネット ハニーポット) 2) プロトコル スタックから基礎となる物理層、さらにはアプリケーション:
物理
チェーン 道路層 (暗号化、ARP ポイズニングなど、VLAN ホッピング、ワイヤレス AC、AP デバイス間の認証) vs コンピュータ ルーム セキュリティ システム - ネットワーク トランスポート層 (ACL、VPN、トンネル、ICMP フラッディングなど) vs アンチ-D、FW - アプリケーション層 (waf、rasp、HTTP トラフィック)
3) 防御システムの構築は、単一のポイントコンポーネントのみに依存して防御することはできず、マルチリングおよびマルチコンポーネントの並列検出および連携システムである必要があります。
セキュリティ運用を統合し、傍受率に対抗して改善し、早期警戒の適時性を確保し、人員を解放し、処分の適時性を短縮します。
発見カテゴリー:ブラックボックススキャニング連携 SOAR自動手配を事業資産担当者、資産BP、当番担当者に直接
検知カテゴリー:
1) 傍受早期警戒:連鎖攻撃の傾向を観察し、強力な分析、判断、処分は行わない
2) 非傍受早期警告: 資産の観点から分類し、
3 つのセキュリティ防御対応メカニズム (異なる防御領域と異なる早期警告および廃棄戦略
)を構築します
。手動介入): OA オフィス エリア/テナント クラスをカバーします。クラウド、EDR、HIDS、
第 3 の防御線 (即時廃棄): IDC アセット、HIDS、ハニーポット、IOC など。
セキュリティ運用要件によりセキュリティ運用の成熟度が向上
1) 包括的な資産 (完全な外部および内部ネットワーク IP 資産) + 正確 (帰属には正確な soar 効率が必要) + 可視 (物理クラスター > VM/コンテナー > アプリケーション アプリ > パブリック ネットワーク プレーン) 2) 攻撃対象領域の管理、脆弱性: 資産パブリック
ネットワーク 配布 (IP、ドメイン名、地域/コンピュータ ルーム) およびクラウド機能: クラウド リスク検出、
製品構成検査 (es、redis、oss、k8s 無許可、mysql、ssh の脆弱なパスワードなど)、AK リスク、パスワード ログイン、セキュリティ グループ 3
) セキュリティ 保護: 誤検知率の削減、検出率の向上
ログ データ機能
4) セキュリティ検証と閉ループ廃棄: 製品保護機能のワンクリック検証、mttd 廃棄 < xx、水平ログ
5) 脅威インテリジェンスの検出
6) コンテナ: コンテナ イメージ スキャン、ミラー コンテナ署名、ベースライン (不正、構成リスク)、マイクロ分離 (ネットワーク +)、コンテナ ランタイム、