2022年安全架构总结

0x00 Referer

个人学习笔记，摘录于公众号：鸟哥谈安全，详情请 点击查看

0x01 2022年安全架构总结

1.1 端到端身份防御架构

身份的三层风险：

• 高安全等级MFA绕过：比如买卖内部账号、钓鱼等
• 身份伪造和冒用：比如JWT Token通过refresh 维持身份权限；窃取私钥；攻击身份认证协议等（后续会专门写个文章学习下）
• 应用权限过大导致的大范围数据泄露：默认权限问题

落地架构（参照零信任架构学习）

1.2 数据安全防御架构

关键字：全程票据、微服务、服务网格、Sidecar、SOA、零信任

PS：落地太难了

1.3 隐私安全

借鉴数据安全建设的顶层设计

• 1、扩展数据源：各个云产品数据源、数据采集维度；
• 2、覆盖数据安全能力：数据分类分级、敏感数据识别、数据标签、数据地图、数据防泄漏、数据脱敏、数据审计、数据访问异常等能力；
• 3、满足合规和解决数据安全风险：隐私合规层面；

微软隐私安全产品Priva

1.4 数据安全顶层治理架构

注：牛皮!  (破音

0x02 2023年趋势展望

• MXDR将会扩展到DataDR+DataSecOps：将XDR等反入侵服务和数据安全结合，通过扩展来构建能力，比如解决身份相关攻击的IPDR（CIEM、UEBA等）；
• Data Breach Simulation需求爆发：BAS理念，目前市面上已经有了，只不过将剧本在数据安全领域跑一遍；
• 威胁情报（TI）+CAASM+EASM+DRPS+CTEM+BAS+反入侵分析组成新的平台：CAASM（内外部集成的攻击面管理）、EASM（外部视角的攻击面管理）、DRPS（数字风险监控）以及持续的威胁暴露评估（CTEM）；
• 应用安全平台（ASOC、ASPM）：体系化建设思维；
• XSPM会成为继XDR之后的又一个爆发领域：造词？
• 云平台安全需加大投入，预测国外TOP3的云会出现大规模数据泄露事件：试目以替！
• 身份攻击会成为全球TOP One入侵原因，身份产品迎来重大机遇：我不会告诉你企鹅SRC漏洞之王的挖洞秘诀就是123456

0x03 总结

手段不是目标，AI模型不一定比特征工程更准确，适合自己的才是最好的。从自身业务和场景出发，坚持做正确的事情。