- Part one:安全理论体系
- 第一章 安全理念
- 一、企业安全风险综述
- 1. 业务与运维安全(生产网安全)
- 2. 企业内部安全(办公网安全)
- 3. 法律法规与隐私保护
- 4. 供应链安全
- 二、业界理念最佳实践
- 第二章 国际著名安全架构理论
- 1. P2DR模型
- 2. IPDRR模型
- Part two:
- 参考链接
Part one:安全理论体系 第一章 安全理念 一、企业安全风险综述 1. 业务与运维安全(生产网安全)
包括两个层面:业务开发和基础运维
-
业务开发
互联网企业涉及的研发业务主要为Web服务、App移动应用以及PC(个人电脑)端软件等。
业务开发方面的安全问题主要是由于软件开发人员安全编程能力(SDL)差、安全意识薄弱以及配套的企业安全制度规范及流程建设不到位造成的。很多安全事故产生的原因都是研发人员进行开发时编写了有漏洞的代码。
-
基础运维
业务开发(Dev)完成后,就进入运维(Ops)阶段了,该阶段的资产管理、漏洞与补丁管理、安全配置基线、应急响应等如果没有做好也容易造成各种安全风险。
据统计,70%以上的安全威胁来自企业内部。
-
隔离安全
隔离包括网络隔离和物理隔离。
网络隔离主要包括网络边界隔离,例如VPN、防火墙、Wi-Fi、部门间的网络隔离等。
物理隔离主要包括门禁系统、摄像监控等方面的隔离。 -
终端安全
终端主要包括PC、打印机、电话及BYOD(Bring Your Own Device,指携带自己的设备办公,这些设备包括个人电脑、手机、平板等)设备等。
-
办公系统安全
办公系统主要包括Mail、OA、CRM、ERP、HR、BOSS等方面的系统,还有针对研发的代码管理和测试系统(如SVN、Git、Wiki、Jenkins系统等)。
-
员工安全
涉及员工安全的问题比较多,比如弱口令、离开工位后电脑不锁屏、外部人员尾随进入、私自接入BYOD设备、安装盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务、将公司最新产品的未公开信息告诉亲朋好友等。这些问题造成的最大也最普遍的危害就是数据泄露,内部安全做的好不好和是否进行了有效的员工安全意识培训、是否具备完善的安全流程制度及技术管控手段息息相关。
为保障网络空间安全、用户数据隐私安全,一些法律出台。对我国影响较大的法律:
- GDPR(General Data Protection Regulation),即《通用数据保护条例》。
- 《中华人民共和国网络安全法》
常见的供应链风险通常会发生在基础设施、生产软件和加密算法这三个方面。
-
基础设施
芯片可能被植入硬件木马。路由器、服务器和其他计算机网络设备可能被安装后门监听工具。
-
生产软件
开发软件可能被污染、植入后门。
-
加密算法
加密算法在很多方面都是保障安全的基础。如果加密算法在底层被嵌入后门将非常可怕。
- 阿里云
三个安全手段:
(1)安全融入设计
(2)自动化监控与响应(大数据处理平台辅以 AI 等技术):例如SOAR
(3)红蓝对抗与持续改进 - Google
(1)安全文化:员工培训、专职安全团队
(2)安全运营:漏洞管理流程体系
(3)安全事件管理系统
(4)以安全为核心的技术驱动
网络安全架构是一个复杂的系统化工程,融合了安全管理体系和安全技术体系。下面介绍一些知名的安全架构模型。
1. P2DR模型P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)的缩写。P2DR模型以PDR模型(Protection、Detection、Response)为基础。
(1)Policy(策略):定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
(2)Protection(防护):采用一系列手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性、完整性、可用性、可控性和不可否认性等。通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。
(3)Detection(检测):利用各类工具检查系统可能存在的供黑客攻击、病毒泛滥的脆弱性,即入侵检测、病毒检测等。通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。
(4)Response(响应):在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把系统调整到安全状态,杜绝危害的进一步蔓延扩大,力求将安全事件的影响降到最低。
P2DR是动态安全理论的主要模型,可以表示为:安全=风险+分析+执行策略+系统实施+漏洞检测+实时响应。
动态安全理论的最基本原理是:安全相关的所有行为(包括攻击 、防护、检测、响应)都需要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力,即提高系统的防护时间(PT)、降低检测时间(DT)和响应时间(RT)。
(1)PT:攻击成功所需时间被称做安全体系能够提供的防护时间;
(2)DT:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来需要的时间;
(3)RT:检测到攻击之后,系统会作出应有的响应动作,所需时间被称作响应时间。
要实现安全,必须让防护时间大于检测时间加上响应时间:PT > DT + RT。为什么?
(1)PT > DT + RT,系统安全,即在安全机制针对攻击、破坏行为作出了成功的检测和响应时,安全控制措施依然在发挥有效的保护作用,攻击和破坏行为未给信息系统造成损失。
(2)PT < DT + RT,系统不安全,即信息系统的安全控制措施的有效保护作用,在正确的检测和响应作出之前就已经失效,破坏和攻击行为已经给信息系统造成了实质性破坏和影响。
P2DR模型是在动态安全理论的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“风险最低”的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,在动态安全理论的指导下可以有效地保证信息系统的安全。
IPDRR模型包括识别(Identify)、防护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)的缩写。
(1)Identify:风险识别(在实践中表现为定义业务的安全需求)。识别网络资产及风险,是指对系统、资产、数据和网络所面临的安全风险的认识及确认。该功能的几个子域包括:资产管理、商业环境、治理、风险评估、风险管理策略、供应链风险管理。
(2)Protect:制定和实施合适的安全保护措施,确保能够提供关键的基础设施服务。在受到攻击时,限制或阻止潜在网络安全事件对系统造成的影响。Protect强调的是,在人为介入之前,能够自动运行的防御机制,如网络安全中的防火墙、waf等。在业务安全中,更倾向于将其定义为产品机制上的安全防御。
(3)Detect:发现攻击。制定并实施适当的方案来识别网络安全事件的发生。检测功能能够及时发现网络安全事件。该功能的几个子域包括:异常和事件、安全持续监控以及检测处理。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行,制定和实施恰当的行动以发现网络安全事件。业务安全中,Detect和Protect的主要区别在于:Detect会基于数据进行分析,然后找出有问题的数据,并进行处理;而Protect并不区分正常和异常数据,只是普适性的提高成本,来加强安全。因此,Detect就是所谓的风控系统。
(4)Respond:响应和处理事件,指对已经发现的网络安全事件采取合适的行动。响应功能可以控制潜在的网络安全事件对系统的影响。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统。严格意义上来说,Detect只负责识别,而具体的处理和响应,要靠Respond。当然,对于异常数据的处理方式,也就常规的几种:稍重一些的直接拦截,稍轻一些的则插入各种验证方法(图片、短信、滑块等)。这里需要额外强调一点的是,在处理异常数据的过程中,一定要考虑到反馈入口的添加。比如拦截时,可能弹出一个操作异常的页面,但在页面中添加一个投诉反馈的入口。对于投诉的信息,不一定要全部处理,但一定要监控其波动水平。比如说:某天投诉的用户量突然上涨了好几倍,那么很可能就是风控出现误伤了,亦或是黑灰产发起了集中的攻击。不论是哪种情况,都需要及时人工介入来进行分析处理。
(5)Recover:恢复系统和修复漏洞。能够及时恢复由于网络安全事件而受损的任何功能或服务。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复。如果被薅羊毛了,就及时冻结资金,避免提现转出;如果被刷了,就撤销行为,还原真实数据;如果实在弥补不回来了,就可以寻求法律援助。
IPDRR的五大能力可以由市面上哪些常见的安全产品来实现?
(1)识别(Identify)提供识别能力的产品包括资产管理平台、资产测绘平台、基线管理平台、漏洞扫描工具等。
(2)保护(Protect)提供保护能力的产品包括主机防御类EDR、VPN、4A、防火墙、IPS、WAF、抗DOS等
(3)检测(Detect) 提供威胁检测能力的产品包括IDS、NTA、蜜罐、恶意代码检测、用户异常行为检测等。
(4)响应(Respond):提供响应能力的产品包括SIEM、安全审计、态势感知、SOAR等
(5)恢复(Recover):提供恢复能力的产品包括NG-SOC,NG-SOC理论上应该是覆盖了IPDRR所有的能力。
Part two:
参考链接
- 安全模型和业务安全体系IPDRR
- 如何理解企业安全能力框架(IPDRR)
