跳转至

企业安全建设

核心目标

企业的目标为了盈利(赚钱),没有盈利的企业并且没有人投资,只要关门跑路已经成为事实。
因此企业业务和安全之间存在了微妙的关系-一定要有业务,才需要有安全,同时完全失去安全,业务也可能会死。
安全对业务来说:保障业务安全,促进业务发展

目标:保障企业资产的机密性、可用性、完整性, 促进业务的持续发展 -> 保障业务安全,促进业务发展

基本原则

安全建设者: 通过自动化、闭环的方法,将安全策略在企业中落地,使得安全防护持续生效,保障和促进业务发展。
安全建设者: 识别风险 -> 给出建议 -> 最终达到平衡(成本/收益)
安全建设者: 预防、平衡、生命周期

预防

  • 没有安全问题
    通过基线加固使其达到->没有问题
  • 内部发现处理
    在测试环境
    上线后内部优先发现
  • 别人攻击初期能够检测
    及时响应,进行止损,在风险控制在接受范围

场景/适合/平衡

安全的框架和解决方案其实比较多,哪个更好?
其实没有统一标准,适合现在的情况,满足现在、能够落地、可能就是"当前最好"。
方案中,需要不断的去思考: 成本与收益, 平衡两者之间的关系

生命周期管理

  • 做事情要有生命周期意识,才能做好
    比如制度的执行,包括制度的制定、制度的执行、制度的落实情况检查

  • 考虑问题要从全局出发,看的全面,也更容易解决
    漏洞管理中权限的闭环检测,单纯检测权限的漏洞,无论从白盒和黑盒很难实现自动化的检测。
    但我们从权限漏的整个生命周期去思考: 漏洞的产生->漏洞发现->漏洞利用->漏洞修复,既然我们搞不定漏洞自动化发现,是不是可以在漏洞利用的地方采取措施? 权限漏洞利用时,往往需要去遍历一个可预测的参数,只要将该参数变成随时的,让攻击者无法成功预测别人的参数,进而无法利用权限漏洞的目的。

所需/权限最小化

  • 不需要的XX,最好关闭,防止未知漏洞
  • 需要时,将设置成最小集,满足需求

纵深防御

  • 攻击是全套流程,在每层都需要进行安全加固,才能禁止大的攻击

企业安全需要做什么

企业安全更多的时候是做风险管理,风险是什么?风险是怎么产生的?风险分析?风险需要怎么处理?

安全基本分类

物理安全
网络安全
应用安全
主机安全
数据安全
制度管理

从内因和外因

内因->脆弱性->提高自身的安全防护能力,尽可能减少脆弱性 -> 安全加固
外因->威胁 -> 减少暴露面,实现最小化权限

PPDR(安全策略、保护、检测、响应)

也可以归结为 事前、事中、事后原则

  • 没有安全问题
    通过基线加固使其达到->没有问题
  • 内部发现处理
    在测试环境
    上线后内部优先发现
  • 别人攻击初期能够检测
    及时响应,进行止损,在风险控制在接受范围

人员、技术、管理、工程

人员 是成败的核心

具体是哪些内容

资产管理
网络与边界防护
身份验证和访问控制
安全开发和测试
安全审计

企业安全需要怎么做

PDCA(计划、实施、检查、改进)

制度/规范制定、实施、检测

企业安全做的怎么样

自评估

企业内部组建评估团队,对各项工作进行评估,已完成项,及改进项

检查评估

聘请第三方权威机构进行评估,如等保测评,iso27001认证等等

企业安全建设

制度法规建设

  • 方针,目标: 总体要求
  • 法规制度文档

等级保护 TC260 - GB、GB/T、GB/Z ISO27001 NIST CIS

办公安全

网络

核心防护是隔离和访问控制,划分安全区域(根据安全级别):财务、人力、审计 是否允许上外网?

网络隔离

核心部门划分不同的安全区域(财务、人力、审计)

个人PC间网络隔离

禁止自建WIFI

身份验证

  • 有线网络 与mac地址进行绑定,使用个人AD账号进行认证

  • 无线网络 访客专用wifi只能访问互联网
    办公wifi 使用AD账号进行登陆
    测试wifi,只允许在手机上访问测试环境

  • 网络设备 核心管理后台,需要双因素认证

流量审计

  • 监控流量 从内网发起的扫描攻击请求,恶意请求,访问非法网站

  • 流量记录
    方便跟踪溯源
    https://www.ntop.org/products/traffic-analysis/ntop/

个人电脑

  • 基础加固
    统一安全基础镜像,定时更新镜像,配置安全加固基线
    开启防火墙
    安装杀毒软件
    补丁更新

  • 防丢失
    BitLocker加密敏感数据
    文件夹设置密码
    内部敏感文件需要设置密码

  • 重要数据远程备份
    账号和密码管理方法
    防止电脑丢失,硬盘损坏等问题,可以使用实时备份工具
    方案1: 自己手动备份,定期提醒自己进行手动操作进行备份
    方案2: 自动实时备份工具,将本地重要文件同步到远端,开源网盘nextcloud
    方案3: 解决勒索病毒问题:需要一份实时备份,并且有版本控制的软件

  • 统一管理
    可以监控个人电脑安装的软件列表
    管理员远程协助操作(需要用户授权)

  • 其他
    人员离职
    借还电脑、共用硬盘、清理数据

办公服务

  • AD安全配置
    禁止普通域账号登陆AD
    禁止域账号是个人电脑的管理员或互相覆盖
    超级管理员账号管理(有很多情况,比如数据同步设置的超级管理员,不能定期修改密码-维护成本太高或者是弱密码,或者已经被共享到github还不太清楚)

  • EMAIL服务
    认证、外网登陆双因素

  • VPN服务
    认证、权限划分、日志监控

  • 其他可能需要的服务
    考勤机?会议系统?文件共享系统?

物理安全

门禁和摄像头 机房管理

基础安全

账号

一人一账号,密码复杂度,定期修改,是否有双因素
基于日志进行监控是否有异常账号操作(账号混用)
特权账号/管理员账号 需要定期修改密码(防止泄露后一直被使用)
账号和密码本地存储,需要本地加密存储
账号总类:个人账号、超管账号、外部平台(内部共享账号-人员离职时是否修改)

身份验证

核心服务, 核心应用,需要开启双因素认证

访问控制管理

安全审计

数据加解密

实现及密钥管理,密钥更换

应用安全

PM

设计问题

开发

自动化检测方案
PHP

测试

运维

  • 内外网混部
  • 外部IP暴露

数据安全

网络安全

网络隔离

边界清晰,将安全风险控制在一个特定区域

可用性

抗DDoS是网络层常面临的重要风险之一,主要原因攻击成本太低,防护成本太高

自建IDC+云防护,一定要保护好IDC真实IP,防止被绕过

发现真实IP方法: MX, TXT记录,遍历域名解析,老的DNS解析记录,web返回头中的特殊标记X-liangxin-a结合fofa

各个业务使用不同的IP出口,这样在受到攻击时,可以摘掉一个业务的IP, 其他业务不受影响。 出口IP被攻击,一般的正向代理无法防护,只能针对IP进行防护,比如云堤系统

安全运营

安全意识建设

  • 内部制度、红线
  • 内部培训/考试

  • 日常报警跟进
    报警的分析和总结是非常重要的
    起到通知、总结和改进,不要规避自身不足,正式问题 才能提高
    也可以抄送领导,报警系统/设备的价值,及领导的补充

  • 其他公司安全事件学习总结

资产管理

梳理公司目前的资产,主要为了实现加固、及监控未来暴露的最新漏洞、应急响应过程中的跟进等

第三方包最新漏洞跟进 可以通过owasp dependency-check工具进行实现 https://owasp.org/www-project-dependency-check/

补丁管理

安全防护持续生效和更新

应急响应

  • google拦截域名 https://transparencyreport.google.com/safe-browsing/search?url=baidu.com&hl=zh-CN

Back to top