- Part one:安全理论体系
- 第一章 安全理念
- 一、企业安全风险综述
- 1. 业务与运维安全(生产网安全)
- 2. 企业内部安全(办公网安全)
- 3. 法律法规与隐私保护
- 4. 供应链安全
- 二、业界理念最佳实践
- 第二章 国际著名安全架构理论
- 1. P2DR模型
- 2. IPDRR模型
- 3. IATF
- 4. CGS框架
- 5. 自适应安全架构
- 6. IACD
- (1)前言
- (2)IACD(集成自适应网络防御,Integrated Adaptive Cyber Defense)
- 7. 网络韧性架构
- 第二章总结
- 第三章 大型安全体系建设指南
- 3.1 快速治理阶段
- 1. 选择合适的安全负责人
- 2. 识别主要的安全风险
- 3. 实施快速消减战略
- 3.2 系统化建设阶段
- 1. 依据 ISMS 建立安全管理体系
- 2. 基于 BSIMM 构建安全工程的能力
- 3. 参考 Google 云平台设计安全技术体系
- 3.3 全面完善与业界协同阶段
- 1. 强化安全文化建设
- 2. 完善安全韧性架构
- 3. 建立协同安全同态
- Part two:基础安全运营平台
- 参考链接
Part one:安全理论体系 第一章 安全理念 一、企业安全风险综述 1. 业务与运维安全(生产网安全)
包括两个层面:业务开发和基础运维
-
业务开发
互联网企业涉及的研发业务主要为Web服务、App移动应用以及PC(个人电脑)端软件等。
业务开发方面的安全问题主要是由于软件开发人员安全编程能力(SDL)差、安全意识薄弱以及配套的企业安全制度规范及流程建设不到位造成的。很多安全事故产生的原因都是研发人员进行开发时编写了有漏洞的代码。
-
基础运维
业务开发(Dev)完成后,就进入运维(Ops)阶段了,该阶段的资产管理、漏洞与补丁管理、安全配置基线、应急响应等如果没有做好也容易造成各种安全风险。
据统计,70%以上的安全威胁来自企业内部。
-
隔离安全
隔离包括网络隔离和物理隔离。
网络隔离主要包括网络边界隔离,例如VPN、防火墙、Wi-Fi、部门间的网络隔离等。
物理隔离主要包括门禁系统、摄像监控等方面的隔离。 -
终端安全
终端主要包括PC、打印机、电话及BYOD(Bring Your Own Device,指携带自己的设备办公,这些设备包括个人电脑、手机、平板等)设备等。
-
办公系统安全
办公系统主要包括Mail、OA、CRM、ERP、HR、BOSS等方面的系统,还有针对研发的代码管理和测试系统(如SVN、Git、Wiki、Jenkins系统等)。
-
员工安全
涉及员工安全的问题比较多,比如弱口令、离开工位后电脑不锁屏、外部人员尾随进入、私自接入BYOD设备、安装盗版软件、复制公司产品代码和数据、使用私人邮件处理公司事务、将公司最新产品的未公开信息告诉亲朋好友等。这些问题造成的最大也最普遍的危害就是数据泄露,内部安全做的好不好和是否进行了有效的员工安全意识培训、是否具备完善的安全流程制度及技术管控手段息息相关。
为保障网络空间安全、用户数据隐私安全,一些法律出台。对我国影响较大的法律:
- GDPR(General Data Protection Regulation),即《通用数据保护条例》。
- 《中华人民共和国网络安全法》
常见的供应链风险通常会发生在基础设施、生产软件和加密算法这三个方面。
-
基础设施
芯片可能被植入硬件木马。路由器、服务器和其他计算机网络设备可能被安装后门监听工具。
-
生产软件
开发软件可能被污染、植入后门。
-
加密算法
加密算法在很多方面都是保障安全的基础。如果加密算法在底层被嵌入后门将非常可怕。
- 阿里云
三个安全手段:
(1)安全融入设计
(2)自动化监控与响应(大数据处理平台辅以 AI 等技术):例如SOAR
(3)红蓝对抗与持续改进 - Google
(1)安全文化:员工培训、专职安全团队
(2)安全运营:漏洞管理流程体系
(3)安全事件管理系统
(4)以安全为核心的技术驱动
网络安全体系是一项复杂的系统工程,需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合,构建一体化的整体安全屏障。下面介绍一些知名的安全架构模型。
1. P2DR模型P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)的缩写。P2DR模型以PDR模型(Protection、Detection、Response)为基础。
(1)Policy(策略):定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
(2)Protection(防护):采用一系列手段(识别、认证、授权、访问控制、数据加密)保障数据的保密性、完整性、可用性、可控性和不可否认性等。通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。
(3)Detection(检测):利用各类工具检查系统可能存在的供黑客攻击、病毒泛滥的脆弱性,即入侵检测、病毒检测等。通过不断地检测和监控网络和系统,来发现新的威胁和弱点,通过循环反馈来及时作出有效的响应。
(4)Response(响应):在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把系统调整到安全状态,杜绝危害的进一步蔓延扩大,力求将安全事件的影响降到最低。
P2DR是动态安全理论的主要模型,可以表示为:安全=风险+分析+执行策略+系统实施+漏洞检测+实时响应。
动态安全理论的最基本原理是:安全相关的所有行为(包括攻击 、防护、检测、响应)都需要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力,即提高系统的防护时间(PT)、降低检测时间(DT)和响应时间(RT)。
(1)PT:攻击成功所需时间被称做安全体系能够提供的防护时间;
(2)DT:在攻击发生的同时,检测系统发挥作用,攻击行为被检测出来需要的时间;
(3)RT:检测到攻击之后,系统会作出应有的响应动作,所需时间被称作响应时间。
要实现安全,必须让防护时间大于检测时间加上响应时间:PT > DT + RT。为什么?
(1)PT > DT + RT,系统安全,即在安全机制针对攻击、破坏行为作出了成功的检测和响应时,安全控制措施依然在发挥有效的保护作用,攻击和破坏行为未给信息系统造成损失。
(2)PT < DT + RT,系统不安全,即信息系统的安全控制措施的有效保护作用,在正确的检测和响应作出之前就已经失效,破坏和攻击行为已经给信息系统造成了实质性破坏和影响。
P2DR模型是在动态安全理论的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的响应将系统调整到“最安全”和“风险最低”的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,在动态安全理论的指导下可以有效地保证信息系统的安全。
IPDRR模型包括识别(Identify)、防护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)的缩写。
(1)Identify:风险识别(在实践中表现为定义业务的安全需求)。识别网络资产及风险,是指对系统、资产、数据和网络所面临的安全风险的认识及确认。该功能的几个子域包括:资产管理、商业环境、治理、风险评估、风险管理策略、供应链风险管理。
(2)Protect:制定和实施合适的安全保护措施,确保能够提供关键的基础设施服务。在受到攻击时,限制或阻止潜在网络安全事件对系统造成的影响。Protect强调的是,在人为介入之前,能够自动运行的防御机制,如网络安全中的防火墙、waf等。在业务安全中,更倾向于将其定义为产品机制上的安全防御。
(3)Detect:发现攻击。制定并实施适当的方案来识别网络安全事件的发生。检测功能能够及时发现网络安全事件。该功能的几个子域包括:异常和事件、安全持续监控以及检测处理。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行,制定和实施恰当的行动以发现网络安全事件。业务安全中,Detect和Protect的主要区别在于:Detect会基于数据进行分析,然后找出有问题的数据,并进行处理;而Protect并不区分正常和异常数据,只是普适性的提高成本,来加强安全。因此,Detect就是所谓的风控系统。
(4)Respond:响应和处理事件,指对已经发现的网络安全事件采取合适的行动。响应功能可以控制潜在的网络安全事件对系统的影响。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统。严格意义上来说,Detect只负责识别,而具体的处理和响应,要靠Respond。当然,对于异常数据的处理方式,也就常规的几种:稍重一些的直接拦截,稍轻一些的则插入各种验证方法(图片、短信、滑块等)。这里需要额外强调一点的是,在处理异常数据的过程中,一定要考虑到反馈入口的添加。比如拦截时,可能弹出一个操作异常的页面,但在页面中添加一个投诉反馈的入口。对于投诉的信息,不一定要全部处理,但一定要监控其波动水平。比如说:某天投诉的用户量突然上涨了好几倍,那么很可能就是风控出现误伤了,亦或是黑灰产发起了集中的攻击。不论是哪种情况,都需要及时人工介入来进行分析处理。
(5)Recover:恢复系统和修复漏洞。能够及时恢复由于网络安全事件而受损的任何功能或服务。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复。如果被薅羊毛了,就及时冻结资金,避免提现转出;如果被刷了,就撤销行为,还原真实数据;如果实在弥补不回来了,就可以寻求法律援助。
IPDRR的五大能力可以由市面上哪些常见的安全产品来实现?
(1)识别(Identify)提供识别能力的产品包括资产管理平台、资产测绘平台、基线管理平台、漏洞扫描工具等。
(2)保护(Protect)提供保护能力的产品包括主机防御类EDR、VPN、4A、防火墙、IPS、WAF、抗DOS等
(3)检测(Detect) 提供威胁检测能力的产品包括IDS、NTA、蜜罐、恶意代码检测、用户异常行为检测等。
(4)响应(Respond):提供响应能力的产品包括SIEM、安全审计、态势感知、SOAR等
(5)恢复(Recover):提供恢复能力的产品包括NG-SOC,NG-SOC理论上应该是覆盖了IPDRR所有的能力。
3. IATF信息保障技术框架(Information Assurance Technical framework,IATF)是由美国国家安全局(NSA)制定并发布的,其前身是网络安全框架(NetworkSecurity framework,NSF)。自1998年起,NSA就开始着眼于美国信息化现状和信息保障的需求,建立了NSF。1999年,NSA将NSF更名为IATF,并发布IATF 2.0。直到现在,随着美国信息技术的进步和对信息安全认识的逐步加深,IATF仍在不断完善和修订。
如果要用一句话来概括IATF,那就是:一个核心思想、三个核心要素、四个焦点领域。
-
一个核心思想:纵深防御。
纵深防御也被称为深度防护战略(Defense-in-Depth),是指网络安全需要采用一个多层次、纵深的安全措施来保障信息安全。在一个规范的信息网络中,我们可以看到在网络出口有防火墙,在DMZ区有防火墙,在服务器前端还有防火墙,这就是纵深防御思想的一个体现。需要在多个位置部署安全措施,看似重复,但是因其面对不同的业务、其安全策略有很大的差异。
IATF信息保障的核心思想是纵深防御战略,该战略为信息保障体系提供了全方位、多层次的指导思想,通过采用多层次、在各个技术框架区域中实施保障机制,以最大限度降低风险、防止攻击,保障用户信息及其信息系统的安全。在IATF的纵深防御战略中,人(People)、技术(Technology)和操作(Operation)是主要核心因素,是保障信息及系统安全必不可少的要素。
-
三个核心要素:人(People)、技术(Technology)、运营(Operation)。
网络安全三分靠技术、七分靠管理,三要素中的 “人” 指的就是加强管理。
(1)人是信息系统的主体,包括信息系统的拥有者、管理者和使用者,是信息安全保障的核心;人是第一要素也是最脆弱的要素,对人采取的措施包括意识培训、组织管理、技术管理、运营管理等。
(2)技术是重要手段,需要通过技术机制来保障各项业务的安全,是一种被动防御;技术是实现信息保障的重要手段,包括安全平台建设、安全工程开发等。
(3)运营也称为运行或运营安全,运营是将各方面技术紧密结合在一起的过程,是一种主动防御的体系和机制,包括风险评估、监控、审计、入侵检测、跟踪告警、响应恢复等。 -
四个焦点领域,也称为四个信息安全保障区域,这就是安全分区的标准化描述:局域计算环境(Local Computing Environment)、区域边界(Enclave Boundaries)、网络和基础设施(Networks & Infrastructures)、支撑性基础设施(Supporting Infrastructures)。这四个领域构成了完整的信息保障体系,在每个领域范围内,IATF都描述了其特有的安全需求和相应的可供选择的技术措施。IATF提出这四个焦点域的目的是让人们理解网络安全的不同方面,以全面分析信息系统的安全需求,考虑恰当的安全防御机制。
四个焦点域中,局域计算环境包括服务器、客户端及其上所安装的应用程序、操作系统等。区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合。网络和基础设施提供区域互联,包括操作域网(OAN)、城域网(MAN)、校园域网(CAN)和局域网(LANs),涉及广泛的社会团体和本地用户。支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持基础,包括KMI / PKI(密钥管理架构 / 公钥架构)及检测响应等。不管网络规模的大小,都可以套用这个标准对网络结构进行安全分区。基于这四个焦点领域,结合IATF纵深防御的思想,就可以进行网络安全防御,从而形成保障框架。
以网络和基础设备的保护为例,常用的保护措施包括但不限于:
(1)合理规划确保骨干网络可用性
(2)使用安全的技术架构,例如在使用WIFI时考虑安全的技术架构
(3)使用冗余设备提高可用性
(4)使用虚拟专网VPN保护通信
基于美国国家安全系统信息保障的最佳实践,NSA于2014年6月发布《美国国家安全体系黄金标准》(Community Gold Standard v2.0,CGS2.0),CGS是社区黄金标准的缩写。
CGS 2.0 标准框架强调了网络空间安全应当具备的四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应与恢复(Respond & Recover)。这些功能聚焦于提供可信的网络空间所需要的能力和方案。
其中:
(1)治理功能为企业全面了解整个组织的使命与环境、管理档案与资源、确保全体员工参与进来并能够被通知、建立跨组织跨机构的安全韧性提供指南和保障;
(2)保护功能为机构保护物理和逻辑环境、资产和数据提供指南;
(3)检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南;
(4)响应与恢复功能则为建立针对威胁和漏洞的有效响应机制提供指南。
CGS框架的设计使得组织机构能够应对各种不同的挑战,为决策者提供了考量信息安全的全局视角。该框架没有像开处方那样给出单独的一种方法来选择和实施安全措施,而是按照逻辑,将对组织结构的理解和已有的基础设施作为框架基础,并协同防御与检测来保护企业安全。
5. 自适应安全架构自适应安全框架(Adaptive Security Architecture, ASA)是 Gartner 于 2014年 提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。传统安全体系框架在面对新的威胁和攻击时已经显得落伍,ASA的主要目标是解决越来越具有针对性和技术含量更高的网络安全威胁。
ASA主要由 4 部分组成:阻止(Prevent)、检测(Detect)、响应(Respond)、预测(Predict),该框架可通过持续的安全可视化和评估来动态适应不断变化的网络和威胁环境,并不断调整和优化自身的安全防御机制。
-
阻止(防御):主要通过加固、隔离、拦截等手段提升攻击门槛,并在受影响前拦截攻击。
-
检测:用于发现那些逃过防御网络的攻击。主要通过感知探头(Sensor)发现绕过防御措施的攻击,减少攻击所带来的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
-
响应:主要通过漏洞修补、设计和模型策略改进、事件调查分析等措施来恢复业务并避免未来可能发生的事故。
-
预测:通过防御、检测、响应结果不断优化基线系统,逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到阻止 和检测功能,从而构成整个处理流程的闭环。
ASA和其他安全架构的不同之处主要体现在 预测 这一部分上。通过对已知的威胁情报、入侵攻击进行分析和学习来自动调整其他3个环节,不断适应环境变化,从而使企业能够应对各种不同的安全挑战。预测新型威胁和自动化响应是自适应安全架构的主要特色。高级分析能力是下一代安全保护的基础,我们可以通过机器学习和人工智能(AI)的相应手段来提高分析能力,比如UEBA(用户实体行为分析)。
6. IACD (1)前言安全自动化是安全从业者的梦想。
安全主要解决两方面问题:时间问题(速度越来越快)和空间问题(规模越来越大)。安全归根结底是要在时间和空间这两个维度上,提高自动化防御的有效性。
提高自动化水平:提高整个防御体系的自动化程度进而优化人力成本;提高整个安全防护体系对威胁的响应速度,即发现可疑行为,并快速将防护和响应策略分发到相应的防护设备。这包括两种主流方法:
(1)SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应):代表性SOAR平台为Phantom(https://www.phantom.us/);
(2)OODA循环(Obeserve-Orient-Decide-Act,观察-调整-决策-行动):代表性OODA框架为IACD(集成自适应网络防御框架)。
SOAR(Security Orchestration, Automation and Response,安全编排、自动化和响应) 作为安全自动化的实现技术,已经广为人知。
如果非要说说 IACD(集成自适应网络防御,Integrated Adaptive Cyber Defense) 与SOAR的区别,笔者认为,SOAR更像一个具体技术平台,而IACD更像一种网络空间防御框架和理念。简言之:SOAR是术,IACD是道。而且,目前的SOAR主要应用于企业级场景,而IACD则一直瞄准跨企业场景的应用。两者更多的是配合关系。
如果仔细思考企业级和跨企业级之间的区别,就会发现协调联动是关键所在。因为企业级安全通常考虑的是企业内部环境,责任主体明确,环境完全可控,不太需要考虑外部安全协作问题;而跨企业级安全则通常考虑的是国家级别或行业级别的整体环境,环境不大可控,必须考虑不同责任主体之间的相互协作关系。
实际上,IACD横跨了企业级、行业级、国家级的网络空间防御。事实上,IACD由DHS(美国国土安全部)、NSA(国家安全局)、约翰·霍普金斯大学应用物理实验室(JHU/APL)联合发起。其中,DHS恰恰就是美国联邦安全的主要负责单位,NSA是最重要的技术情报部门,APL是美国最主要的科研机构之一。三强联手,将网络空间防御框架做到极致,也就不是什么难事了。
但是,如果说IACD和SOAR的技术已经成熟,恐怕还为时尚早。就像人工智能和自动驾驶的成熟度一样,必将是一个不断发展演进的过程。安全不简单,安全无止境。在安全自动化这条路上,尤其如此。
(2)IACD(集成自适应网络防御,Integrated Adaptive Cyber Defense)IACD基于OODA(Observe-Orient-Decide-Act,观察-调整-决策-行动)循环:IACD试图将物理世界中传统的控制和决策方法,转换用于网络空间。IACD概念将OODA循环活动转换为感觉-理解-决策-行动,并设想通过一个公共消息系统在这些活动之间共享信息。
IACD框架由传感器组成,传感器引入共享和可信信息,以触发编排服务,来响应网络事件。IACD框架包括以下8个组件:
上图是有内在顺序的,整体上是按照 顺时针 方向进行,即从传感器(S接口)->传感器接口->理解分析框架(SMAF)->决策引擎(DME)->响应行动控制器(RAC)->执行器接口(A接口)->执行器。
还需提醒的是,所谓的编排服务(OS)是图中右边虚线框中的所有五个组件的集合,而不仅仅是其中的编排管理(OM)。
IACD理念认为,如果能够在速度(时间) 和 规模(空间) 两个维度上实施OODA循环,则可以将网络防御时间从几个月缩短到几分钟到几毫秒。所以,IACD的目标是:通过 自动化 来提高网络安全防护的速度和规模;通过集成、自动化、信息共享,来显著改变网络安全防御的及时性和有效性。
IACD利用自动化的优势来提高防护人员的效率,让他们跳出传统的安全响应循环,更多地在 “网络安全防御循环” 中担当响应规划和决策的角色,以此增强网络防御的速度和范围。
7. 网络韧性架构网络韧性架构,即CR架构,CR是网络韧性(Cyber Resilience)的缩写。该架构基本上将信息安全、业务连续性和企业人员组织弹性结合在了一起。网络韧性架构的目标是使整个网络始终保持提供预期结果的能力,这意味着即使在常规运行机制失败时,在遭遇安全灾难或受到攻击之后,整个网络依旧可以正常运行。
最新的网络韧性架构的技术框架由NIST于2018年提供,技术点如下:
- 自适应响应(Adaptive Response):通过敏捷的网络行动方案来管理风险。包括动态更改配置、动态分配资源、自适应管理。
- 监控分析(Analytic Monitoring):持续和协调地监控和分析各种属性和行为。包括进行检测和损失评估、进行综合数据分析、进行取证分析。
- 协调保护(Coordinated Protection):确保保护机制以协调有效的方式运作。包括纵深防御、一致性分析、安全编排。
- 欺骗防御(Deception):误导攻击者,隐藏关键资产或将隐蔽的受污染资产暴露给对手。包括混淆手段、污染手段。
- 多样性(Diversity):使用异构性来最小化通用模式故障,尤其是使通用漏洞攻击造成的故障最小化。包括架构多样性、设计多样性、合成多样性、信息多样性、路径多样性、供应链多样性。多样性可以避免单一化造成的通用漏洞带来毁灭性的打击。
- 位置变换(Dynamic Positioning):分布式动态化重定位功能和系统资源。包括探头位置变换、资源位置变换、资产移动、碎片化、分布式化。
- 动态呈现(Dynamic Representation):基于网络事件和网络行动过程呈现当前任务或业务功能状态。包括动态地图和画像、动态化威胁模型、将任务依赖和状态可视化。
- 非持久性(Non-Persistence):根据需要在有限的时间内生成和保留资源。包括信息非持久性、服务非持久性、连接非持久性。
- 权限限制(Privilege Restriction):根据用户和系统元素的属性以及环境因素限制权限。包括基于可信的权限管理、基于使用属性的限制、权限动态化。
- 整治(Realignment) :使系统资源与组织任务或业务功能的核心方面保持一致。包括用途变更、减负、限制、替换、定制化。
- 冗余(Redundancy):提供多个受保护的关键资源实例。包括备份和恢复的保护、容量冗余、同步复制。
- 分段(Segmentation):根据关键性和可信度定义和分离系统元素。包括预定义分段、动态分段和隔离。
- 证实可信性(Substantiated Integrity):确定关键系统元素是否已损坏。包括可信性检查、溯源追踪、行为验证。
- 不可预测性(Unpredictability):随机或不可预测地进行更改。包括时间不可预测性、方式不可预测性。
网络韧性架构基于入侵的不可避免性,从如何在遭遇入侵后依然能够保证不至于受到毁灭性打击的角度来部署网络安全。它一方面强调系统增强自己的 抗打击能力,另一方面强调系统要在遭到破坏后具备 快速的恢复能力,是在原有安全容忍(Fault Tolerance)架构基础上的进一步发展。
第二章总结安全架构模型和框架为制定 企业安全架构 提供了理论依据。无论是自适应安全架构所强调的安全预测与调整能力,还是网络韧性架构所强调的能够适应不断变化的条件并能够承担风险且迅速从破坏中回复过来的能力,都是业界研究探索的最佳网络安全实践,这些安全架构没有绝对的好坏,安全管理者 可以根据企业发展现状来选择最适合自身的安全架构。
第三章 大型安全体系建设指南 3.1 快速治理阶段 1. 选择合适的安全负责人 2. 识别主要的安全风险互联网企业的安全风险大多来自 在线业务,同时 企业内部 也随时面临风险。
- 在线业务:包括Web安全风险、业务自身的安全风险及移动应用的安全风险。
(1)Web安全风险:Web漏洞、SQL注入、XSS跨站、越权、逻辑漏洞、JSONP注入、SSRF、XML实体注入、Java反序列化。Web框架漏洞、第三方组件漏洞。Web接口。
(2)业务自身的安全风险:账户体系安全、交易体系安全、支付体系安全。
(3)移动应用的安全风险:跨域访问漏洞、远程代码执行漏洞。Android应用上的Log敏感信息泄露、Web HTTPS校验错误忽略漏洞、Provider组件暴露漏洞、Activity安全漏洞、使用不安全的加密模式等40多种漏洞风险。还有iOS应用上存在的未打开安全编译选项、不安全的随机数加密等几十种安全风险。另外,Android和iOS移动应用还存在二次打包、反编译、破解、外挂、数据加密等安全加固问题。
- 企业内部:员工、口令安全、钓鱼攻击和社会工程学的安全风险。
安全负责人的初期工作除了识别常见的风险,还应采取快速有效的针对安全隐患的处置措施,解决主要安全风险。
-
解决Web安全风险可采取的处理方式:
(1)全站清理Webshell后门,购买或采用开源WAF(Web应用防火墙,如ModSecurity等)快速解决OWASP十大安全问题。
(2)使用DAST(动态应用安全测试)、SAST(静态应用安全测试)、IAST(交互式应用安全测试产品)等对Web业务进行黑盒、白盒扫描和人工测试,解决线上主要漏洞。
(3)部署RASP(运行时应用自保护)时应当使用自保护产品对Web进行自免疫保护。
(4)提供安全代码过滤库和安全编码培训。 -
解决来自业务的安全风险可采取的处理方式:
(1)针对业务特点选择合适的第三方风控安全产品。
(2)从接入层、处理层和数据层构建自有的安全风控平台。 -
解决移动应用安全风险可采取的处理方式:
(1)APP漏洞扫描和安全加固。
(2)深入的人工安全测试。
(3)提供基础移动安全组件和安全编码培训、安全编码规范。 -
解决来自员工的安全风险可采取的处理方式:
(1)部署可以统一管理的EDR安全产品,在生产环境中统一使用堡垒机进行远程审计管理,采用DMS审计进行数据库访问。
(2)安全培训、背景调查、行为规范考试、安全审计。
(3)对重点人员建立隔离受控网络,统一访问互联网的代理服务器,确保包括HTTPS在内的网络流量可审计。
(4)建立基于机器学习的用户异常行为发现系统。 -
解决口令安全风险可采取的处理方式:
(1)弱口令扫描器。
(2)建设基于OpenLDAP的统一单点登录系统,并使用基于TOTP方案的动态口令双因素认证。
(3)建立更加严格的基于FIDO U2F认证协议的实体安全密钥登陆系统和BeyondCorp账户安全体系. -
解决来自钓鱼攻击和社会工程学的安全风险可采取的处理方式:
(1)员工安全意识培训。加强办公场地物理安全管控。避免使用第三方通信软件建立的工作群。
(2)强化对钓鱼攻击和社会工程学攻击的技术监控。沙箱技术进行隔离访问。远程安全浏览产品。
(3)加强BYOD设备的安全管理。
经过第一阶段救火式的快速治理后,企业中存在的大部分安全隐患基本被解除,所以第二阶段刻意系统地完善企业安全架构,将1.3节中所提到的 “将安全融于体系,建立自动化监控与响应系统” 的理念落地。这一阶段的工作归结为如下三个层面。
1. 依据 ISMS 建立安全管理体系Information Security Management Systems,ISMS,信息安全管理体系是组织在整体或特定范围内建立信息安全 方针 和 目标 ,以及完成这些目标所用 方法 的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。
信息安全管理体系(ISMS)是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。
ISMS已经成为被国际标准化组织认可的国际标准、ISO/ IEC27000系列标准定义了ISMS的要求,奠定了信息安全管理体系的认证基础。标准解释了整体 计划 – 执行 – 检查 – 行动(PDCA) 的方法,并为其实施提供了详细的指导。
ISMS 具体依据 PDCA 循环原则建立。
P即Plan:制定政策、目标、流程和程序。
D即Do:利用ISMS 政策对流程和程序进行控制。
C即Check:评估并交给上层审核。
A即Act:根据审核结果采取纠正和预防措施,不断改进上述系统。
ISMS提供了一个大而全的指导性要求框架,可用于企业建立安全管理体系。
2. 基于 BSIMM 构建安全工程的能力互联网企业业务的基石建立在软件上,而软件开发是一个系统工程,如何构建 软件安全工程 是每个互联网企业都必须考虑的课题。
BSIMM全称是Building Security In Maturity Model,即软件构建安全成熟度模型。是一种软件安全计划,是衡量软件是否安全的标尺。推荐企业选择BSIMM标准来实施自身安全开发建设。通过BSIMM可以很方便地将 “安全融于体系” 的理念落地。
构建安全成熟度模型 (BSIMM) 是一种数据驱动的模型,采用一套面对面访谈技术开展 BSIMM 评估,唯一目标就是观察和报告。企业通过参与 BSIMM 的评估,不仅可以更加具体的了解自身 SSI 的执行情况,还可以从行业视角明确所处的具体位置。
BISMM 模型,是一把衡量企业在 软件开发阶段 构建软件安全能力 的标尺。BISMM 具体由三大部分组成:
- 软件安全框架(SSF):支撑BISMM 的基础结构由划分为4个领域的12项实践模块组成。
- 软件安全小组(SSG):负责实施和推动软件安全工作的内部工作小组。
- 软件安全计划(SSI):一项涵盖整个组织机构的项目,用于以协调一致的方式来灌输、评估、管理并演进软件安全活动。
BSIMM 软件安全框架(SSF)包含四个领域 — 治理、 情报、 SSDL 触点、部署。这四个领域又包括 12 个实践模块,这 12 个实践模块中又包含 119 项 BSIMM 活动。
3. 参考 Google 云平台设计安全技术体系Google 云平台的基础安全设计采用了从硬件基础到服务、用户身份、存储、通信和运营的分层纵深防御架构,每层都有严格的访问和权限控制。
重点层次结构:
- 硬件基础安全
安全的启动栈和机器身份标识、硬件的设计和来源、物理场所的安全性 - 服务部署安全
服务身份标识、完整性和隔离、服务间访问管理、服务间通信的加密、最终用户数据访问管理 - 用户身份
认证、登陆滥用保护 - 数据存储安全
静态加密、数据删除 - 互联网通信安全
Google 前端服务、防御拒绝服务攻击、用户身份验证 - 安全运营
入侵检测、降低内部人员风险、员工设备及凭据安全、安全的软件开发
纵观Google 云平台的安全技术体系,可以看到其设计是基于 纵深防御架构 和 安全融于体系 的理念的。
3.3 全面完善与业界协同阶段经过第二阶段的系统安全建设后,企业已经基本形成了完整的安全体系,因此第三阶段的安全体系建设主要集中在 全面完善 和 业界协同 两方面,以实现在1.3节中所提到的 “以安全文化建设为中心,将安全融于体系,建立自动化监控与响应系统,持续进行攻防对抗与安全创新” 的新安全建设理念。这一阶段的工作归结为如下三个方面。
1. 强化安全文化建设 2. 完善安全韧性架构如何在被入侵成功的情况下依然能保障企业正常运转 正是安全韧性架构(Cyber Resiliency)要解决的问题。
大型互联网公司在系统安全体系建设完成后可以考虑进一步向完善安全韧性架构发展,建立适应不断变化的条件,以及能够承受风险并可以迅速从破坏中恢复的能力。
安全韧性架构主要实现4种能力:
- 预料能力。保持对入侵的知情准备状态。
- 承受能力。即使被入侵仍然可以继续执行基本任务或业务职能。
- 恢复能力。在入侵期间和之后恢复任务或业务功能。
- 适应能力。修改任务或业务功能的支持能力,以预测技术、运营、威胁环境中的变化。
网络安全的复杂性和基础设施的相互依赖性使得未来任何一家互联网企业都不可能靠自己解决所有的安全问题。我们的互联网业务相关支撑平台来自不同的公司与组织。因此,安全的未来是由大数据驱动的协同安全时代,需要个人、企业、国家共同参与治理。
协同安全时代需要威胁情报共享,需要共同制定行业安全标准,需要大企业开放自己的安全能力。
Part two:基础安全运营平台
参考链接
- 安全模型和业务安全体系IPDRR
- 如何理解企业安全能力框架(IPDRR)
- 不懂信息保障技术框架(IATF),还怎么做网络安全?
- 美国网络安全体系架构简介
- 美国网络安全体系架构
- 安全自动化和IACD框架
- 美国安全自动化和IACD框架
- 什么是信息安全管理体系?(ISMS)
- BSIMM(构建安全成熟度模型 version 10 ) 模型介绍
10.软件安全构建成熟度模型(BSIMM)十年:一文了解BSIMM10
