企业安全建设
核心目标
企业的目标为了盈利(赚钱),没有盈利的企业并且没有人投资,只要关门跑路已经成为事实。
因此企业业务和安全之间存在了微妙的关系-一定要有业务,才需要有安全,同时完全失去安全,业务也可能会死。
安全对业务来说:保障业务安全,促进业务发展
目标:保障企业资产的机密性、可用性、完整性, 促进业务的持续发展 -> 保障业务安全,促进业务发展
基本原则
安全建设者: 通过自动化、闭环的方法,将安全策略在企业中落地,使得安全防护持续生效,保障和促进业务发展。
安全建设者: 识别风险 -> 给出建议 -> 最终达到平衡(成本/收益)
安全建设者: 预防、平衡、生命周期
预防
- 没有安全问题
通过基线加固使其达到->没有问题 - 内部发现处理
在测试环境
上线后内部优先发现 - 别人攻击初期能够检测
及时响应,进行止损,在风险控制在接受范围
场景/适合/平衡
安全的框架和解决方案其实比较多,哪个更好?
其实没有统一标准,适合现在的情况,满足现在、能够落地、可能就是"当前最好"。
方案中,需要不断的去思考: 成本与收益, 平衡两者之间的关系
生命周期管理
-
做事情要有生命周期意识,才能做好
比如制度的执行,包括制度的制定、制度的执行、制度的落实情况检查 -
考虑问题要从全局出发,看的全面,也更容易解决
漏洞管理中权限的闭环检测,单纯检测权限的漏洞,无论从白盒和黑盒很难实现自动化的检测。
但我们从权限漏的整个生命周期去思考: 漏洞的产生->漏洞发现->漏洞利用->漏洞修复,既然我们搞不定漏洞自动化发现,是不是可以在漏洞利用的地方采取措施? 权限漏洞利用时,往往需要去遍历一个可预测的参数,只要将该参数变成随时的,让攻击者无法成功预测别人的参数,进而无法利用权限漏洞的目的。
所需/权限最小化
- 不需要的XX,最好关闭,防止未知漏洞
- 需要时,将设置成最小集,满足需求
纵深防御
- 攻击是全套流程,在每层都需要进行安全加固,才能禁止大的攻击
企业安全需要做什么
企业安全更多的时候是做风险管理,风险是什么?风险是怎么产生的?风险分析?风险需要怎么处理?
安全基本分类
物理安全
网络安全
应用安全
主机安全
数据安全
制度管理
从内因和外因
内因->脆弱性->提高自身的安全防护能力,尽可能减少脆弱性 -> 安全加固
外因->威胁 -> 减少暴露面,实现最小化权限
PPDR(安全策略、保护、检测、响应)
也可以归结为 事前、事中、事后原则
- 没有安全问题
通过基线加固使其达到->没有问题 - 内部发现处理
在测试环境
上线后内部优先发现 - 别人攻击初期能够检测
及时响应,进行止损,在风险控制在接受范围
人员、技术、管理、工程
人员 是成败的核心
具体是哪些内容
资产管理
网络与边界防护
身份验证和访问控制
安全开发和测试
安全审计
企业安全需要怎么做
PDCA(计划、实施、检查、改进)
制度/规范制定、实施、检测
企业安全做的怎么样
自评估
企业内部组建评估团队,对各项工作进行评估,已完成项,及改进项
检查评估
聘请第三方权威机构进行评估,如等保测评,iso27001认证等等
企业安全建设
制度法规建设
- 方针,目标: 总体要求
- 法规制度文档
等级保护 TC260 - GB、GB/T、GB/Z ISO27001 NIST CIS
办公安全
网络
核心防护是隔离和访问控制,划分安全区域(根据安全级别):财务、人力、审计 是否允许上外网?
网络隔离
核心部门划分不同的安全区域(财务、人力、审计)
个人PC间网络隔离
禁止自建WIFI
身份验证
-
有线网络 与mac地址进行绑定,使用个人AD账号进行认证
-
无线网络 访客专用wifi只能访问互联网
办公wifi 使用AD账号进行登陆
测试wifi,只允许在手机上访问测试环境 -
网络设备 核心管理后台,需要双因素认证
流量审计
-
监控流量 从内网发起的扫描攻击请求,恶意请求,访问非法网站
-
流量记录
方便跟踪溯源
https://www.ntop.org/products/traffic-analysis/ntop/
个人电脑
-
基础加固
统一安全基础镜像,定时更新镜像,配置安全加固基线
开启防火墙
安装杀毒软件
补丁更新 -
防丢失
BitLocker加密敏感数据
文件夹设置密码
内部敏感文件需要设置密码 -
重要数据远程备份
账号和密码管理方法
防止电脑丢失,硬盘损坏等问题,可以使用实时备份工具
方案1: 自己手动备份,定期提醒自己进行手动操作进行备份
方案2: 自动实时备份工具,将本地重要文件同步到远端,开源网盘nextcloud
方案3: 解决勒索病毒问题:需要一份实时备份,并且有版本控制的软件 -
统一管理
可以监控个人电脑安装的软件列表
管理员远程协助操作(需要用户授权) -
其他
人员离职
借还电脑、共用硬盘、清理数据
办公服务
-
AD安全配置
禁止普通域账号登陆AD
禁止域账号是个人电脑的管理员或互相覆盖
超级管理员账号管理(有很多情况,比如数据同步设置的超级管理员,不能定期修改密码-维护成本太高或者是弱密码,或者已经被共享到github还不太清楚) -
EMAIL服务
认证、外网登陆双因素 -
VPN服务
认证、权限划分、日志监控 -
其他可能需要的服务
考勤机?会议系统?文件共享系统?
物理安全
门禁和摄像头 机房管理
基础安全
账号
一人一账号,密码复杂度,定期修改,是否有双因素
基于日志进行监控是否有异常账号操作(账号混用)
特权账号/管理员账号 需要定期修改密码(防止泄露后一直被使用)
账号和密码本地存储,需要本地加密存储
账号总类:个人账号、超管账号、外部平台(内部共享账号-人员离职时是否修改)
身份验证
核心服务, 核心应用,需要开启双因素认证
访问控制管理
安全审计
数据加解密
实现及密钥管理,密钥更换
应用安全
PM
设计问题
开发
自动化检测方案
PHP
测试
运维
- 内外网混部
- 外部IP暴露
数据安全
网络安全
网络隔离
边界清晰,将安全风险控制在一个特定区域
可用性
抗DDoS是网络层常面临的重要风险之一,主要原因攻击成本太低,防护成本太高
自建IDC+云防护,一定要保护好IDC真实IP,防止被绕过
发现真实IP方法: MX, TXT记录,遍历域名解析,老的DNS解析记录,web返回头中的特殊标记X-liangxin-a结合fofa
各个业务使用不同的IP出口,这样在受到攻击时,可以摘掉一个业务的IP, 其他业务不受影响。 出口IP被攻击,一般的正向代理无法防护,只能针对IP进行防护,比如云堤系统
安全运营
安全意识建设
- 内部制度、红线
- 内部培训/考试
-
日常报警跟进
报警的分析和总结是非常重要的
起到通知、总结和改进,不要规避自身不足,正式问题 才能提高
也可以抄送领导,报警系统/设备的价值,及领导的补充 -
其他公司安全事件学习总结
资产管理
梳理公司目前的资产,主要为了实现加固、及监控未来暴露的最新漏洞、应急响应过程中的跟进等
第三方包最新漏洞跟进 可以通过owasp dependency-check工具进行实现 https://owasp.org/www-project-dependency-check/
补丁管理
安全防护持续生效和更新
应急响应
-
google拦截域名 https://transparencyreport.google.com/safe-browsing/search?url=baidu.com&hl=zh-CN