一、背景
攻防演练愈演愈烈,防守方规则逐渐开始关注0day挖掘丢分、关键基础设施权限丢失、敏感数据被获取、个人信息被获取等维度,这代表着网络安全未来的落脚点将更多集中在此。
作为防护方的各单位需要充分考量、评估本单位的网络安全要素,将“安全左移”思想应用到安全体系建设中,赋予本单位信息系统完整的“安全生命周期”,形成预见、规划、建设、验证的能力模型,以相对较低的成本实现较大的安全能力提升效果。
二、设计目标
针对0day漏洞、关键基础设施保护、敏感数据保护、个人信息保护等维度,参考ISO27001体系、“关键基础设施保护法”、“个人信息保护法”、“SDL模型”、“DevSecOps模型”中的关键要素,形成集数据安全、安全开发、供应链安全等百家之长的宏观安全左移建设模型,通过安全开发和供应链安全提升0day漏洞、关键基础设施防护能力;通过数据安全提升敏感数据和个人信息保护能力。
三、实施方法
“数据安全”左移
1.数据安全管控
1)业务需求提炼过程中,可提前明确数据要素,以金融行业为例,C1~C3级别数据的差异判断和区分;
2)开展数据定级、数据加密要求、数据流转流程、数据权限划分等,及时开展数据管控平台选型、数据加解密组件。
2.测试数据分离
测试账号、源码,禁止在生产系统发布。
“安全开发”左移
1.系统安全需求与设计
越权防护:
设置token、cookie、uid等用户标识字段,防止越权数据访问。
防重放:
设置随机数/挑战码,或timestamp时间戳等字段,防止request请求随意伪造。
Js前端加密与混淆:
参考https加密流程,设置非对称加密和对称加密业务通信方式,防止攻击者轻易分析数据、伪造数据。
Step流程后端校验:
前端数据不授信,建立后端校验机制,防止流程绕过。类似“薅羊毛”前后端数据不一致的防护校验方式。
2.系统安全编码
设置输入输出安全编码或过滤器,详解XSS的html编码为什么能阻止代码解析:虽然浏览器可以解析url编码、html编码等,但是html解码是在DOM树建立后执行的。故html解码之后得出的恶意代码只能被当作DOM树中一个节点的具体字符内容,而不会当做DOM节点做执行(该过程类似防范SQL注入的prepare预编译操作)。
严格限制request请求包中用户可修改的参数名称、个数,仅开放确需用户同步的信息字段。
3.系统配置安全
严格限制服务器主动出网策略,包括DNS、ICMP等,防范数据渗漏动作,以DNS为例,包括常见的DNS子域名数据夹带(如dnslog)、DNS TXT类数据外发等。
“供应链安全”左移
1.系统组件安全
1)慎重选择java中间件、java组件、php组件等作为关键应用组件,注意升级、补丁;
2)采购第三方产品或使用开源产品(参考2021年底sonarqube案例)前,应充分考量、评估漏洞(后门、权限、账号等)。
四、安恒信息解决方案
1.数据安全分级平台
AiSort数据安全分级及风险管控平台基于网络嗅探技术,可自动寻找发现网络环境中存在的海量数据和锁定保护对象,通过全方位扫描,给予出当前漏洞分析、数据库配置检查和账号权限梳理等风险评估,并给出加固建议。支持的数据库包含并不限于:
关系型数据库:Oracle、DB2、MySQL、MariaDB、SQLServer、PostgreSQL、MsSQL、Informix、Sybase、Cache;
非关系型数据库:ElasticSearch、MongoDB、ClickHouse;
大数据组件:MaxCompute(ODPS)、GaussDB、Greenplum、Hive、Hbase、
Kafka、高斯DB(GAUSS100、GAUSS200);
云数据库:DRDS、RDS;
文件传输协议:FTP、SFTP
2.数据安全合规评估
参考DSMM成熟模型、“数据安全法”等开展数据安全合规评估及体系建设咨询。
3.安全开发一体化平台
结合完整DevSecOps体系诞生的安全开发一体化平台,助力安全开发咨询和DevSecOps体系建设。
4.软件供应链安全咨询
根据上下游供应链流转属性,开展供应链安全咨询,包括安全采购/引入机制建设、漏洞集中管理(代码审计、成分分析、漏洞检测等)、持续运营等,形成闭环的供应链安全体系建设。
原文始发于微信公众号(安恒信息安全服务):九维团队-绿队(改进)| 向安全左移迈进
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论