| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 安全建设的任务 -> 正文阅读 |
|
[网络协议]安全建设的任务 |
引言之前介绍了安全的本质和安全建设的原则,了解了安全的本质是对数据的机密性、完整性、可用性的防护能力;安全建设的原则主要是:关注结果,关注整体,最小化原则,发挥优势,保持乐观。那安全建设应该做什么呢?这就是本文的主要内容,安全建设的任务。这些任务是在安全本质和安全建设原则的基础上提炼而来。安全的内容涵盖很多方面,企业的规模和性质也各不相同,本文提到的任务尽量忽略各个企业的特点,找到一些对所有企业都普遍适用的任务。这些任务包括:设定目标、决策、人的培养、资产管理、收集检测和响应。 一、设定目标毋容置疑,在安全建设中最重要的一个任务应该是设定目标。这里的目标,主要是指企业对安全的合理诉求和期望。在企业发展的过程中,可以根据发展阶段对目标进行调整,设定不同的目标。每个公司的业务不一样,资源不一样,对安全的诉求也是不一样的。 对大多数国内的国企,政府等企事业单位,最基本的需求是要符合《网络安全法》的要求,满足等级保护制度中相应级别的要求,所以他们的最基本目标是满足网络安全法,过等保;金融、证券等牌照行业,需要接受严格的政府监管,除了最基本的网络安全法之外,还要受到直接主管部门的制度要求,所以他们的要求除了过等保外,还要符合业内的政策要求;同时,由于企业的发展严重依赖业务的持续稳健,所以需要以建设保障业务安全运行为目标。对于满足法律法规行业要求的这些目标统称为合规目标,这些几乎是过去20多年驱动网络安全市场增长最重要的因素,对安全市场的贡献大约在70%以上。 随着HW行动的开展,以及勒索病毒等安全事件的发生等,很多单位从原来的仅仅为了合规要求,随便买些合规设备,过渡到认真考察对比谁家的产品防护效果更好,从而决定采购,这些改变的目的就是为了在HW中取得更好名次以及实际使用中取得较好的效果。 对于很多互联网行业,由于对业务很重视,所以安全建设的主要目标是为了保证业务运行,但他们的系统中保存了很多重要的民生资源,所以也需要过等保,但他们的安全建设主要目标并不是为了过等保。 还有很多中小企业IT建设永远是满足业务需求为先,要先让业务能跑起来,等到业务功能满足得差不多了,IT预算空出来一部分,才会考虑安全建设的问题。这种特性有点像奢侈品,只有当其基础需求充分满足后,才会考虑更昂贵的投入,提前奢侈消费的还是属于少数人。其实他们的安全目标没有考虑太仔细,或者考虑了,但是由于经费问题只做最少量投入。 不管怎么说,设定目标是安全建设的第一步的任务,只有安全目标设定后,才有可能围绕安全目标进行建设,建设的过程可以参考安全建设的原则。 二、决策在设定好安全目标后,就需要做决策。任何公司的资源都是有限的,投入到安全建设上的资源就更少了,根据IDC数据,美国网安投入大约占整个IT投入的4.78%,中国只有1.84%。在资源有限的情况下,做什么不做什么就是非常重要的选择了。 做决策有多种方法可以选择,下面介绍几种最常用的决策方法,但哪个适合自己还需要根据情况来定。 决策的系统化方法GPA
利弊分析和矩阵分析 利弊分析是试着用简单的利或弊来分析,虽然很多事情不能简单的用利或弊来衡量,但简化思考可以快速把握住问题关键。矩阵分析是二维利弊分析,比如时间管理的紧急和重要矩阵分析。 ? 决策树和概率树
沉没成本 从经济角度来说,任何已经发生的成本都不应该影响到你对未来的决策。唯一能影响未来决策的因素,只有简单粗暴的两种选择的利弊分析。 三、人的培养网络安全是技术更新迭代最快的行业之一,同时由于我国针对网络安全的相关教育起步较晚,高校网络安全实践型人才储备不足,缺乏精通尖端网络安全技术的专业教师团队,高校对于网络安全实践场景普遍缺乏,导致学生普遍存在理论知识多而实战能力弱的特点,所以在安全建设的过程中要重视对人的培养。 据调查,网络空间安全人才数量缺口高达140万,而网络安全人才培养的数量远远满足不了社会需求,目前每年网络安全学历人才培养数量不足3万。在这种情况下,更要重视公司内部人员的培养。 因为某些特定企业有它的特殊性存在,比如说电网、石油石化、管道和燃气、水利等等,这些场景又是国家的关键基础设施。对于此类机构的安全建设,需要了解企业的业务和网络环境,这些内容对外部团队来说,一般很难做到充分了解,就很难用通用的安全知识解决企业内部的问题。 企业内相关专业人才缺失带来的问题,导致了很多问题的并发,也是整个企业安全管理过程中最难的一个点。社工渗透、数据管控、漏洞突发、策略配置和响应等很难发挥到有效水平。花钱买设备就能得到保护的思想是不成立的。而像2020年因为疫情需要大量远程办公的情况下,对于服务器紧急漏洞,安全人员去现场也不太现实。因此人和围绕人的安全建设,是整个企业的痛点。 对一个企业来说,它资深的攻防技术、安全人员,各种资源对抗是不平衡的。训练形式单一,实战经验比较落后。安全企业很多时候要以业务为主,技术人员技能的提高需要比较长的时间。公司安全建设不能为了攻而攻,而是为了防而攻。为了提升企业的整体防御能力,用更高级的攻击手法,在实践中去验证。随着一些国家法律的颁布,对于网络安全人员来说是有益的。现在只能通过模拟演练去实现,因此,在实战中的工作,由于缺少有效的真实的实战环境,这也导致了企业内部人才的成长比较难。 在人才的培养和引进方面需要打破一些固有的思路,因为很多高水平的黑客是处于对技术的爱好自学成才的,这也是许多专业黑客因为学历很难前往大型企业的原因。在管理上对安全人员的培养可以用人带人的方式进行,这样可以共同提高,强化团队作战能力。个人经验到整体团队积累,可以形成快速迭代。 四、资产管理在企业IT管理中,比如运维、安全、业务等,摸清家底无疑是第一步。这里的资产管理是泛IT资产,不是传统意义上的我有多少台设备。泛资产是指对组织有一定价值的软硬件信息。包括传统的服务器、IP地址、系统进程、业务进程等,也包括如APP、公众号、数字凭证、品牌、人员(如员工邮箱地址)、知识产权、组织信誉,社交媒体、微信公众号、微博等;还包括企业的安全策略、运维策略、串联业务线等都可能存在逻辑漏洞,同时也包括弱密码、安全补丁、版本升级等。 不幸的是资产管理在国内外都没有做好,也是个老大难的问题。有很多单位甚至连物理资产都没有完全搞清楚。那怎么做资产管理呢?有个比较好的网络安全资产管理的标准NIST CSF可以来参考。 NIST CSF标准是国内外安全领域都十分认可的框架。其中包括五个框架核心功能:识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)和恢复(Recover)。
这五个框架核心功能的内容很广,同时也包括了风险管理、事件处置等,但我个人认为对大多数企业来说,能做好识别工作就可以超出很多同行了。 当然还有些别的事务性任务,比如策略配置等,这些任务可以单独列出来,但我倾向于放在资产管理中的保护这个类别中。 由于资产管理涵盖的范围和内容都比较多,后续可以单独对资产管理进行介绍。 五、???????收集检测和响应看到这个标题很容易的联想到自适应安全架构,但我个人认为自适应架构并不适用于所有公司,也许只对一些规模比较大、对安全非常重视的公司适用。这里的内容和NIST CSF标准的内容有些重复,但站的角度还是不一样的,这里主要从风险的角度来看,并且适应于大多数的企业。 ? 收集:收集的前提在于了解资产,然后确定资产风险。那如何确定风险呢?我们可以从一个假设的问题开始分析:当出现什么事情时会导致公司瘫痪。这个问题需要结合公司业务站在公司整体的角度考虑才能明确。当风险确定后,需要对风险进行相对量化,比如量化成高中低三个级别。然后根据风险等级识别数据源,最后根据数据源确定收集的内容。 通常情况收集的信息主要包括流量、日志、进程的访问行为。这里是一个从粗到细的过程。流量信息中包括全包数据、会话数据、统计数据、摘要字符串数据。
日志数据主要包括由设备、主机或者业务程序生成的原始日志信息和这些系统产生的告警数据。原始日志信息包括web中间件产生的日志文件、路由器产生的连接、拒绝会话的信息、VPN的身份验证信息、windows日志信息等;告警数据一般是违反了系统的某些安全策略产生的。具体采集可以参见《日志如何采集》。 进程的访问行为是一种更高级的数据,它主要包括进程间调用信息,进程创建和访问文件的信息,进程访问api的信息等。这些数据主要在操作系统内部,难以采集,一般会借助edr、杀毒软件、终端管理软件等做些辅助采集。 检测:主要是发现那些正在攻击或者已经攻击成功的行为,攻击成功主要是逃避了防御措施,通过检测要尽早发现失陷主机,减少威胁的持续时间。因而检测能力在整个安全建设的过程中至关重要。检测最重要的内容是安全分析能力:整个安全建设的核心是持续收集数据,包括网络、终端、应用程序和用户活动。然后根据分析模型进行持续的检测。可以通过关联规则模型、统计模型,结合外部威胁情报、甚至是机器学习来提高检测的准确性,最终及时发现失陷威胁的事件。 检测的过程一般包括:
响应:是对检测发现的问题进行调查并补救,提供取证分析以及溯源分析(大多数时候重点在找到失陷的原因,并不一定需要锁定具体攻击者),进而对防御措施进行改进,避免今后发生此类事件。 总结本文介绍了安全建设的主要任务,这些任务应该可以适应所有对安全建设有需求的行业。这些任务都是长期的、动态的,只是频率不一样。比如目标不需要经常设立,但是需要定期检查目标是否有变化;对人的培养需要长期坚持,养成有意识无意识的对人进行培养的习惯;决策、资产管理、收集检测和响应需要经常做,甚至是天天做。只有这样才能逐步把安全建设好。 相关分享: |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/27 13:10:42- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |