*本文原创作者:LJ_Monica,本文属FreeBuf原创奖励计划,未经许可禁止转载
一年一度的跳槽季又到了,很多圈内的朋友之前是在安全公司这样的乙方工作,随着年龄的增加,手速变慢,头发变少,身体感觉被掏空。等下,好像有点跑题。那么言归正传,再加上加上家庭的压力,所以很多小伙伴都有跳槽到甲方的想法。
0x01背景
这种想法产生的原因无外乎以下几点:
1.当了那么多年乙方,被甲方爸爸虐的体无完肤,也想转变下体会下当“爸爸”的滋味。
2.进入甲方可能会挣的比在乙方多一些,如果是热门行业或者新兴行业说不定还能拿到一定得股权。
3.逐渐有了家庭的压力,希望能够有更多的时间陪陪家人,而不是无休止的给客户加班做项目。
那从乙方到甲方,虽说都是干安全的工作,但是其实关注的重点是不一样的,有的甚至在面试的时候碰壁,有的勉强面试通过,可是初入甲方,开始新工作后也不适应,也有的伙伴所在公司安全就一人,只要是跟安全相关甚至不想关的工作都必须干。那么甲方安全到底怎么开展?应该做些什么工作呢?
首先,先确定甲方企业安全建设的目标。
甲方企业安全建设的目标就是要实现业务的整体安全,赋能业务产线,将安全从传统的成本中心转变成业务中心(部门),使安全工作可管、可控、可视,最大化的保证业务运行。
围绕这个目标开展以下工作。
0x02企业安全建设的三方面
围绕企业安全建设的目标,应该从技术、管理、合规三个大的方面进行工作开展。
一、安全技术层面:物理安全、网络安全、主机安全(服务器和终端)、应用安全、数据安全(大数据安全)、云安全
二、安全管理层面:安全管理机构、安全管理制度、人员安全管理、系统建设安全管理、系统运维安全管理
三、安全合规层面:信息安全等级保护、GDPR、ISO/IEC27001、BCMS、PCI-DSS等。
通过对安全技术层面的建设,可以确保企业线上业务的整体技术防护能力达到一个新的高度,形成纵深防御技术架构;通过对安全管理层面的建设,可以形成成熟的安全管理体系,使成功经验变得可复制;通过对安全合规层面的建设,既可以符合国家层面或行业层面的安全要求也可以检查自身是否存在安全风险和短板。三者结合,相辅相成,共同组成了整体企业安全体系,使得企业在安全方面能够实现风险看得见、事件管得住、管理落了地。
0x03企业安全建设的阶段
企业如果在安全方面基本是空白的话,那么可以按阶段、分步骤有序的进行,循循渐进,避免眉毛胡子一把抓,到头来什么也做不好。针对安全工作开展,我总结了以下三个阶段。
一、“救火”阶段
此阶段重点关注外部安全威胁、关注网络攻击、资产识别、入侵、漏洞、病毒、安全事件的处置和应急响应。
对于中小型企业或者安全工作刚起步的企业,第一步工作是要做好外部网络攻击的防护,因为此时外部威胁对企业造成的损害远大于内部或其他方面造成的损害。此阶段要以信息系统资产为基础开展如下工作:
Ø 发现识别所有资产,对资产进行分类梳理,查找脆弱点,降低风险,做到资产可控、风险可视。
Ø 购买或采用开源安全设备如防火墙、WAF、IDS/IPS、防病毒、VPN等进行网络、主机和应用层面的安全加固,提升防护的基线水平。
Ø 进行基线配置核查和加固,如口令口令复杂度和生存周期核查加固、访问控制策略(ACL、文件和目录的权限、账户权限)核查和加固、端口开放核查和加固、系统版本核查和升级等。
Ø 开展渗透测试,分为外部互联网访问节点、内网办公节点和业务生产网节点,发现存在的脆弱点,有针对性地进行加固。
二、稳定阶段:
此阶段重点关注内部安全和数据安全,同时不断更新完善外部安全。包括终端安全、上网行为管理、数据安全各生命周期、安全审计、SDLC、攻防演练平台(红蓝军对抗)、应急演练等。
当第一阶段取得阶段性成果后,企业业务系统基本能够安全地运行,抵御大部分恶意代码或网络攻击。此时,我们需要将工作重心由外部安全威胁防护转移到内部安全和数据安全层面。俗话说:“家贼难防”,如果出现“内鬼”,那么一切防护措施就形同虚设,而且会造成严重危害。同时,不断完善第一阶段的外部安全防护工作,形成闭环。
1.部署终端安全管控和上网行为管控系统,针对不同的业务部门或岗位职责设置设置不同的安全策略,尤其是掌握高密级数据或核心资料的人员(如财务、高管、运维、人力、开发等)。
2.采用网络准入和域控对接入企业内部网络进行限制,防止非法人员非法接入企业内网进行渗透和数据盗取。
3.对数据各生命周期(数据采集、数据传输、数据处理、数据分析、数据共享、数据销毁)阶段进行安全防护,开展SDLC活动,保证数据安全。
4.对整体网络架构和业务系统及数据系统进行优化,设置冗余架构和备份容灾系统,包括:电力、网络线路、服务器、应用系统、数据备份。
5.考虑安全审计功能,开启设备或系统本身的审计功能以及部署专门的审计设备,对进出网络的流量和行为进行审计,保证发生安全事件后能够溯源追踪,同时为下一阶段做态势感知、威胁情报和大数据分析提供基础数据。
6.关注安全动态,特别是已公布的漏洞、病毒预警等信息,进行验证和复盘,同时对标企业自身进行检查和防护。
7. 建立攻防演练平台,开展红蓝对抗。目的是提高内部人员安全技术能力的同时也提高业务系统的安全性,培养人员和发现安全风险一举两得。
8. 制定应急预案,并定期进行应急演练,包括模拟实际业务中断和沙盘推演或桌面演练。
三、提升阶段:
此阶段重点是精细化和可视化的安全运营。基于前两个阶段的安全建设和能力提升,实现安全业务工作的常态化和可视化。包括:构建可视化的态势感知平台、ISOC、SRC(安全应急响应中心)、威胁情报库、自研安全系统(WAF、完整性检测及防篡改、堡垒机、资产管理、漏洞扫描平台等)、安全比赛、安全教育培训、合规等。
前两个阶段将外部安全和内部安全进行了整体建设,安全能力水平基本上达到了优秀水平,那么为何还要进行这个阶段呢?这个阶段就是提升和拔高的阶段,就是要将安全能力进行聚合并向外输出,将安全这个传统的“成本中心”向“业务中心”进行转变。同时,实现安全的终极目标:安全可视化和安全工作日常化。
1. 利用前两阶段的日志和审计信息、告警信息、运行信息、收集的漏洞、病毒信息、设备的运行信息等构建企业自身的安全管理系统(SOC)和态势感知系统以及威胁情报系统,并将结果再次输入到企业安全建设发展工作中去,形成良性循环。
2.组建安全应急响应中心(SRC),对内部和外部进行开放,以获得更多的安全情报和安全体检,发现业务更多的安全风险,丰富自身的态势和威胁情报系统。
3.开展自行研发安全系统工作,这个时候为了更大程度提高安全防护水平,需要针对具体的业务系统自行研发有针对性的安全防护系统,加固业务安全。比如自行开发WAF、防篡改、堡垒机、资产管理和漏扫系统。
4.主办或承办安全比赛,开展安全培训工作,提升知名度吸引更多的安全人才,同时将安全能力向外输出,获得经济收益。
5.开展各种国家或行业层面的安全合规工作,比如等保、GDPR、PCI-DSS等,确保符合法律法规要求。
0x04安全技术
安全技术是企业安全建设的基石,只有将安全技术的各个方面都覆盖到,才能保证不会出现业务安全短板。
物理安全:物理访问控制、防雷、防潮防水、防静电、防火、温湿度控制、电磁干扰(电磁屏蔽)、电力供应、物理防盗防破坏、监控等。
物理安全可以说是所有业务系统安全的支撑,如果在物理层面发生安全问题,那将是将是直接性或者毁灭性的打击。物理安全基本上说的就是机房或数据中心的物理层面的安全,尤其是防潮防水和防火方面,因为之前做项目见识了太多的机房被水侵蚀和被火侵蚀的案例,直接造成了大量的经济损失,甚至是刑事责任。其他方面参照机房建设标准严格执行,并落实到位。
网络安全:链路冗余、带宽和设备性能、系统版本升级、CDN、高防、流量清洗、安全基线配置、ACL规则细化、IDS/IPS、WAF、审计(网络审计、数据库审计)、边界安全、远程访问加密、资源监控等。
网络作为业务系统运行的桥梁和通道,其安全的重要性不言而喻。虽然随着安全设备的部署及安全防护水平的提高,传统的网络攻击变得门槛更高,但是安全攻防永远是进行互相博弈的,不能放松。在网络安全层面需要从从可用性、完整性、保密性三方面进行建设。
可用性:设置冗余链路,保证业务不因运营商的事故而中断;保证带宽和网络设备的吞吐量能够满足业务高峰需要,避免出现网络拥堵和瘫痪的情况。
完整性:设置详细的ACL、配置IDS/IPS、waf、审计等设备,保障数据在网络中不被非法篡改。
保密性:提供网络加密设备如VPN或加密机等,确保在网络传输过程中对数据进行加密,不被非法窃取。
主机安全:身份鉴别和认证加强(堡垒机和多因子鉴别)、账号权限控制、文件权限分配、安全审计、冗余备份、防病毒、资源监控限制、远程访问限制、端口和服务关闭、完整性和入侵检测、系统版升级、终端安全(准入、安全管理、DLP)等。
主机安全方面,做好自身安全基线核查和自身加固,为业务运行提供高效、安全、稳定的计算环境和存储环境。
应用安全:基于web的安全包括防sql注入、xss攻击防御、CSRF及SSRF攻击防御、文件上传、文件包含防护、越权防护、逻辑漏洞防护、敏感信息泄露防护等。基于APP的安全包括:数据传输加密、代码混淆、加壳、完整性校验、身份认证等。
在应用层面,建议开展SDL工作,从系统生命周期全面考虑安全。同时,对应用系统采用代码审计和安全测试两方面,最大化发现各种安全漏洞。针对OWASP Top 10漏洞和常见的其他漏洞检测和防护这里不一一细述,以后可以做个专题。
数据安全:遵循DSMM涉及数据采集安全、数据传输安全、数据存储安全、数据分析安全、数据共享安全、数据销毁安全、数据备份恢复安全等。
数据安全遵照数据安全生命周期安全开展建设工作,保证从数据产生到销毁整个链条的安全,不放过任何一个环节。
0x05安全管理
安全管理架构:设置网络安全委员会(领导牵头等)、汇报机制、安全管理机构的支持等。
安全管理制度:制定各种安全管理制度和奖惩措施、构建安全体系。
人员安全管理:从入职到离职的安全意识教育、安全技能普及和提升、安全制度执行和考核。
系统建设安全管理:系统建设工程安全管理(安全设计架构、安全模型建立和评估、安全编码、安全测试等)生命周期的安全管理。
系统运维安全管理:上线后系统运维的安全管理从网络、主机、应用和数据的安全防护来执行安全制度和要求。
俗话说:“安全是三分技术,七分管理”,可见安全管理的重要性,对于安全管理机构、人员安全、安全管理制度、安全建设和安全运维体系和制度的建立,可以参照ISO/IEC27001等要求。但是安全管理最重要的不是制定许多安全制度,然后束之高阁,而是要能够有效的落地和执行。
以上就是我的一点关于企业安全建设的看法和总结,或多或少会有不足的地方,只要有一点或几点能够对大家带来作用,就不白费我亲手码这么多字。欢迎各位多多指出不足之处并和我进行交流,一起提高,一起进步。
*本文原创作者:LJ_Monica,本文属FreeBuf原创奖励计划,未经许可禁止转载