九维团队-绿队(改进)| 向安全左移迈进

admin 2022年10月9日18:56:00评论58 views字数 1924阅读6分24秒阅读模式

九维团队-绿队(改进)| 向安全左移迈进


一、背景


攻防演练愈演愈烈,防守方规则逐渐开始关注0day挖掘丢分、关键基础设施权限丢失、敏感数据被获取、个人信息被获取等维度,这代表着网络安全未来的落脚点将更多集中在此。


作为防护方的各单位需要充分考量、评估本单位的网络安全要素,将“安全左移”思想应用到安全体系建设中,赋予本单位信息系统完整的“安全生命周期”,形成预见、规划、建设、验证的能力模型,以相对较低的成本实现较大的安全能力提升效果。


二、设计目标


针对0day漏洞、关键基础设施保护、敏感数据保护、个人信息保护等维度,参考ISO27001体系、“关键基础设施保护法”、“个人信息保护法”、“SDL模型”、“DevSecOps模型”中的关键要素,形成集数据安全、安全开发、供应链安全等百家之长的宏观安全左移建设模型,通过安全开发和供应链安全提升0day漏洞、关键基础设施防护能力;通过数据安全提升敏感数据和个人信息保护能力。


九维团队-绿队(改进)| 向安全左移迈进


三、实施方法


“数据安全”左移


1.数据安全管控

1)业务需求提炼过程中,可提前明确数据要素,以金融行业为例,C1~C3级别数据的差异判断和区分;

2)开展数据定级、数据加密要求、数据流转流程、数据权限划分等,及时开展数据管控平台选型、数据加解密组件


2.测试数据分离

测试账号、源码,禁止在生产系统发布。


“安全开发”左移


1.系统安全需求与设计

越权防护:

设置token、cookie、uid等用户标识字段,防止越权数据访问。


防重放:

设置随机数/挑战码,或timestamp时间戳等字段,防止request请求随意伪造。


Js前端加密与混淆:

参考https加密流程,设置非对称加密和对称加密业务通信方式,防止攻击者轻易分析数据、伪造数据。


九维团队-绿队(改进)| 向安全左移迈进


Step流程后端校验:

前端数据不授信,建立后端校验机制,防止流程绕过。类似“薅羊毛”前后端数据不一致的防护校验方式。


九维团队-绿队(改进)| 向安全左移迈进


2.系统安全编码

设置输入输出安全编码或过滤器,详解XSS的html编码为什么能阻止代码解析:虽然浏览器可以解析url编码、html编码等,但是html解码是在DOM树建立后执行的。故html解码之后得出的恶意代码只能被当作DOM树中一个节点的具体字符内容,而不会当做DOM节点做执行(该过程类似防范SQL注入的prepare预编译操作)。


严格限制request请求包中用户可修改的参数名称、个数,仅开放确需用户同步的信息字段。


3.系统配置安全

严格限制服务器主动出网策略,包括DNS、ICMP等,防范数据渗漏动作,以DNS为例,包括常见的DNS子域名数据夹带(如dnslog)、DNS TXT类数据外发等。


“供应链安全”左移


1.系统组件安全

1)慎重选择java中间件、java组件、php组件等作为关键应用组件,注意升级、补丁;

2)采购第三方产品或使用开源产品(参考2021年底sonarqube案例)前,应充分考量、评估漏洞(后门、权限、账号等)。


四、安恒信息解决方案


1.数据安全分级平台

AiSort数据安全分级及风险管控平台基于网络嗅探技术,可自动寻找发现网络环境中存在的海量数据和锁定保护对象,通过全方位扫描,给予出当前漏洞分析、数据库配置检查和账号权限梳理等风险评估,并给出加固建议。支持的数据库包含并不限于:


关系型数据库:Oracle、DB2、MySQL、MariaDB、SQLServer、PostgreSQL、MsSQL、Informix、Sybase、Cache;

非关系型数据库:ElasticSearch、MongoDB、ClickHouse;

大数据组件:MaxCompute(ODPS)、GaussDB、Greenplum、Hive、Hbase、

Kafka、高斯DB(GAUSS100、GAUSS200);

云数据库:DRDS、RDS;

文件传输协议:FTP、SFTP


2.数据安全合规评估

参考DSMM成熟模型、“数据安全法”等开展数据安全合规评估及体系建设咨询。


九维团队-绿队(改进)| 向安全左移迈进


3.安全开发一体化平台

结合完整DevSecOps体系诞生的安全开发一体化平台,助力安全开发咨询和DevSecOps体系建设。


九维团队-绿队(改进)| 向安全左移迈进


4.软件供应链安全咨询

根据上下游供应链流转属性,开展供应链安全咨询,包括安全采购/引入机制建设、漏洞集中管理(代码审计、成分分析、漏洞检测等)、持续运营等,形成闭环的供应链安全体系建设。





—  往期回顾  —

九维团队-绿队(改进)| 向安全左移迈进

九维团队-绿队(改进)| 向安全左移迈进

九维团队-绿队(改进)| 向安全左移迈进

九维团队-绿队(改进)| 向安全左移迈进

九维团队-绿队(改进)| 向安全左移迈进



关于安恒信息安全服务团队
安恒信息安全服务团队由九维安全能力专家构成,其职责分别为:红队持续突破、橙队擅于赋能、黄队致力建设、绿队跟踪改进、青队快速处置、蓝队实时防御,紫队不断优化、暗队专注情报和研究、白队运营管理,以体系化的安全人才及技术为客户赋能。


九维团队-绿队(改进)| 向安全左移迈进

九维团队-绿队(改进)| 向安全左移迈进
九维团队-绿队(改进)| 向安全左移迈进

原文始发于微信公众号(安恒信息安全服务):九维团队-绿队(改进)| 向安全左移迈进

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月9日18:56:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   九维团队-绿队(改进)| 向安全左移迈进http://cn-sec.com/archives/1339699.html

发表评论

匿名网友 填写信息