企业安全建设(草稿)

Feei <feei#feei.cn> 12/2017

1. 理解安全意义

1.1. 浅谈数据泄露

数据是互联网企业最重要资产之一

广泛传播的国内互联网厂商泄露的数据

在2011年开始,出现大批量的网站数据库被拖并泄露出来导致大范围传播。

多玩(830w)、IS语音(969w)、凡客(20w)、一号店(90w)、当当(101w)、爱拍(1100w)、猴岛(2683w)、178游戏(907w)、CSDN(642w)、7k7k小游戏(1913w)、嘟嘟牛(1610w)、人人网(476w)、天涯(3176w)、酒店开房记录(1999w)

泄露但未广泛传播的国内厂商数据

后续几年也陆续多家企业数据库被拖,但并未广泛传播。

微博、12306、网易、GMail、开心网、猫扑、太平洋电脑、千脑网盘、QQ群、土豆、美丽说、优酷、京东、趣店

国外的数据泄露事件

国外则更加严峻,泄露的数据量级也更大,影响面也更广。

Yahoo(10000000w)、LinkedIn(100000000w)、Equifax(14300w)、Uber(5700w)、Edmodo(7700w)、Verizon(1400w)、DRA(19800w)、Facebook(8700w)

数据泄露对于企业的影响

轻则影响股价、重则企业没落甚至倒闭。

除了产生直接对企业名誉上的负面影响外,还涉及持久的数据恶意利用问题。

常见的比如用来做撞库欺诈广告社工等等。

数据泄露原因

除了一些极端情况,比如Yahoo因为AWS bucket的密钥上传至GitHub中导致的,主要都是通过各类漏洞进入到企业服务器内部盗取数据。

防护数据泄露

防护数据泄露是一个体系化的建设,无法依赖某个点、产品或项目去解决,要以攻击视角目标视角结果视角进行相对应的防御。

1.2. 安全重视程度

数据泄露只是安全影响中的一种情况,没经历过可能还无法感受出威力。

行业重视程度

2017年05月出现的WannaCry勒索病毒影响全球,大量政府机关、医院、公司的电脑、服务器的文件被加密,只能交赎金才能换来密钥解密文件。导致医院停诊、政府机关无法办公、公司网站和服务瘫痪,甚至很多个人电脑也中了该病毒导致数据丢失。

2017年06月国家出台网络安全法,这是国内第一部针对网络安全的法律,显示出了网络安全领域的危害程度和影响。

习近平当选国家网络安全小组组长,并表示没有网络安全就没有国家安全。

所有中大型互联网公司都有安全部门。

企业内部安全重视程度

在企业内部,上层高管对于企业的安全重视程度和安全做的好不好成正比。如果不是自上而下的重视,会导致安全在后续的每一步都非常难推动。

2. 安全建设思路

2.1. 不同阶段的不同应对方法

早期
中期
后期

2.2. 安全准则

纵深防御

每类安全产品有其优势和弱势的地方,我们要利用好优势并使用其它安全产品来弥补弱势。

比如WAF用来应急新型漏洞比推进开发人员去修复要及时的多,但弱势是误报、漏报、新型漏洞等问题无法根治,此时则可以通过黑盒扫描器、主机监控、网络最小化策略等方式实现一层层的防御,来发现、监控或减缓影响。

木桶理论

安全建设是以木桶标准为基准的,即安全的能力是以最短板来确定的。无论你其它方向的安全做的多么的厉害,也无法彻底解决最薄弱的地方带来的风险。

由外而内

安全建设涉及的面太广了,必须有所取舍,外部风险大于内部风险。所以在早期建设的时候,不用过分的强调内部安全。

先底后上

可以通过框架层统一处理的问题,不要散到上层的业务逻辑层去修复。

能口不点

可以通过防火墙解决主机间的访问限制,不要散在主机层去做。

技术代替人工

能用技术手段解决的,绝不能依赖人工意识

2.3. 认清主要问题

甲方安全团队和乙方安全公司的关系?
  1. 甲方安全团队和乙方安全公司是一个互补的关系
  2. 乙方的安全产品只能覆盖通用场景
  3. 乙方安全技术能力或许比甲方安全团队高,但乙方却服务于几十数百家甲方公司
  4. 安全评估、安全推进与落地、安全运营等无法替代
企业内部运维、开发与安全的关系?
  1. 紧密合作互补的关系
  2. 运维依赖安全制定服务器、应用规范
  3. 安全依赖运维整改推进落地规范
  4. 开发依赖安全发现代码和应用中的漏洞
  5. 安全依赖开发修复代码中的漏洞
  6. 安全依赖开发在专业技术上的支持
安全团队在公司内部状态?
安全产品是自研、购买商业产品还是使用开源?

3. 安全建设实践

3.1 入侵生命周期

不止攻焉知防:以入侵视角做每一部分安全工作。

3.1.1. 移动端安全

3.1.2. 网络安全

3.1.3. 业务安全

3.1.4. 主机安全

3.1.5. 数据安全

3.1.6. 内部安全

3.2. 漏洞生命周期

3.2.1. 漏洞与情报发现

主动情报与漏洞发现

被动情报与漏洞发现

3.2.2. 应急响应小组

3.2.3. 漏洞管理与修复推进

3.2.4. 安全运营