安全体系建设-基础安全

  • 安全层级
  • 建设步骤
  • 组建安全团队
  • 工作内容
  • 生产
  • 办公
  • 安全平台
  • 日志分析平台
  • 安全事件处理平台
  • 其他安全工作
  • 安全事件处理流程
  • 事前
  • 事中
  • 事后
  • 安全监控
  • 资产识别
  • 资产识别维度
  • 纵深监控
  • 监控策略
  • ATT&CK
  • 数据安全、业务安全、风控体系


安全层级

安全体系的建设需要进行分级,粗略的分为以下三个层级。

  1. 基础安全
    第一阶段大部分公司关注的层级,充当应急的角色,在不断的应急中了解公司的架构、业务情况,并再次基础上建立安全防御体系,也是给企业打好基础的阶段,这一阶段主要的对手为传统意义上的黑客。
  2. 安全流程和制度
    随着第一阶段的查缺补漏,安全防御体系基本建立完成,这是就可以考虑通过流程/制度的方式规范员工的行为。
  3. 业务安全
    安全最终服务于业务。因为业务安全也是安全团队比较重要的工作内容,当然这应该是建立在基础安全和流程制度比较完善的情况下。

建设步骤

  1. 了解整体的安全需求及保护对象
    安全人员进入公司,首先要做的就是了解公司的安全需求。例如,历史安全事件,公司各种业务的运作模式、明确公司核心资产,然后沿着保护对象开展层次防御工作。
  2. 建立整体安全建设视角

基础安全

基础架构与设施安全

应用安全

IT安全

安全管理与合规

安全研发

安全运营

容器安全

WEB安全

办公安全

安全管理

安全工具/系统/平台/服务自研

安全系统/平台运营

主机安全

客户端安全

供应链安全

安全合规

开源/商业产品/二次开发

持续攻防对抗

网络安全

安全审计

安全教育/培训

物理安全

安全品牌建设

合规与数据安全

合规与数据安全

等级保护

ISO27001

GDPR

数据安全

业务安全

业务安全

账号安全

交易安全

内容安全

运营安全

业务风控

组建安全团队

了解了安全工作的内容,便需要组建安全团队。针对每一项内容开展工作,虽然有很多“一个人的安全部”,但安全建设思路都是一样的。安全架构如下:

  • 基础安全:
    1、生产安全
    2、漏洞挖掘
    3、办公安全
    4、云安全
  • 安全开发:
    1、系统开发
    2、安全产品
    3、代码审计
    4、安全测试
  • 移动安全:
    1、IOS方向
    2、Android方向
  • 业务安全:
    1、账号体系
    2、支付、交易体系
    3、风险控制
    4、商户安全
    5、数据安全
    6、隐私/合规
  • 安全运营:
    1、应急响应中心
    2、安全制度
    3、安全培训
    4、安全监控
    5、数据分析
    6、项目推进/协调

工作内容

根据不同的业务,工作内容有所不同,简单的举例生产和办公的部分工作内容。

生产

  • 应用安全:
    1、SDL(WEB+APP)
          安全SDK、API
          应用安全架构设计
          WAF
          内部系统违规开放监控
          端口扫描
    2、RASP
          APP加固
          盗版、钓鱼APP检测
          APP破解监控
  • 主机安全:
          堡垒机
          HIDS
          蜜罐
  • 网络安全:
    1、网络访问控制
          全站全链路HTTPS
          NACL失效监控与告警
          流量劫持监控
          网络划分隔离
    2、全流量镜像
          NIDS
          端口扫描(高危+全量)
          DDOS攻击检测与防御

办公

  • 身份认证与权限管理:
          SSO+双因素认证
          合理划分权限+审批流
          日志记录+行为审计
          离职自动删除权限
          岗位变动、权限重新划分
  • 终端安全:
          防病毒+补丁管理
          HDLP(主机数据防泄漏)
          NDLP(网络数据防泄漏)
          EDR
          域控
          终端基线
          行为管理
  • 网络安全:
          全流量镜像
          NIDS
          无线入侵检测
          网络准入

安全平台

日志分析平台

日志分析平台,具有收集、存储、查询以及关联分析等作用,目前接触到的分为两大方向。
一、开源或自研
开源常用的为ELK套件,filebeat将日志文件数据,通过kafka打入logstash,清洗处理后,通过kibana界面,调用Elasticsearch 查询数据,数据建立索引后存储在Elasticsearch 。

二、商业
目前接触到的是splunk,相对来说费用比较贵,可以通过syslog或者一些组件将日志打入splunk,在splunk进行关联分析和书写规则进行告警等,具体不展开叙述。可以查询官网相关文档了解。

安全事件处理平台

对于外部发现的漏洞,内部检测的漏洞以及最新漏洞进行推进修复的一个工单系统,结合安全事件的告警,进行跟踪。以及日常值班安全事件处理的记录。

其他安全工作

  • 漏洞挖掘和上线检测
  • 内部红蓝对抗
  • 内部安全技术支持
  • 安全培训、内外部安全运营
  • 合规审查
  • 应急响应

安全事件处理流程

事前

  • 收集信息
  • 标准化
  • 建立基础数据
  • 风险评估
  • 端口、漏洞扫描
  • 病毒、木马扫描
  • 渗透测试
  • 补丁更新
  • 配置管理
  • 网络划分
  • 事件响应团队安排及处理流程
  • 日志收集
  • 日志分析
  • 安全预警体系
  • 安全监测体系
  • 安全防御体系
  • 安全审计体系
  • 安全培训
  • 账户登录及权限管理
  • 跨部门沟通协作

事中

  • 关键路径分析
  • 响应机制
  • 防御及影响评估
  • 流量、行为、攻击分析

事后

  • 日志分析
  • 调查取证
  • 事件复盘
  • 安全加固

安全监控

资产识别

有效做好资产识别是企业资产安全建设的基石。对于大部分企业的安全团队而言,这几乎是一项不可能完美完成的工作。很多公司有很完善的上线流程,但是没有相应的下线流程,很多不用的业务没人维护,这也不仅浪费资源,也存在非常大的安全隐患。
因此,对于资产识别,一定是一个动态的过程,无法一劳永逸。

资产识别维度

  • 运行的服务及开放的端口
  • 资产所有者
  • 漏洞与补丁情况
  • 域名、URL、IP对于情况
  • URL变量以及变量接受的类型范围
  • 资产等级划分
  • 安装agent及运行情况
  • 历史攻击记录
  • 主机基础信息(ip、系统、主机名、所属位置)

纵深监控

从网络到主机,从内部到外部,从主动扫描到被动触发。建立多层监控体系。
简单的用设备覆盖,举例子:
WAF
堡垒机
防火墙
漏扫
EPP
EDR
等等。。。。

监控策略

常见的几种监控策略:

  • 关键词识别
    监控最基础的版本,但也是最实用的技术,对攻击载荷的特征收集,大部分的攻击可以被识别和拦截,缺点是小号性能较大,且误报比较多。
  • 关联分析
    通过ip关联形成一个事件,减少告警的噪音问题,提高监控的准确度。目前很多SOC和SIEM系统朝着这个方向探索。
    举例几个简单的关联分析的维度:
    IP关联、漏洞关联、行为关联。
    关联分析可能会用到的算法Apriori、FP-growth算法等。
  • 频率分析
    比如爆破web目录,短时间内会出现大量的404错误,还有短时间内多次登录VPN密码错误等。
  • 机器学习
    机器学习,暂时没研究到那个等级,等有成果了,再说吧。。。

ATT&CK

攻击链六个阶段:侦察跟踪、武器构建、载荷传递、漏洞利用、安装植入、命令与控制、目标达成。

1、了解攻击的方式与方法,可以针对性的防御与监控
2、检测防御的覆盖范围,结合相关技术对于对应的攻击技术防御评估。
3、评估防御差距,明确某种攻击方式的识别率和覆盖率。
4、评估监控体系的成熟度,评定监控系统的检测能力,以及响应能力。
5、对于威胁情报的补充和扩展,对于发现的相关的APT攻击手法和战术补充进现有威胁情报。

数据安全、业务安全、风控体系

以后再补充。