2022年安全架构总结

admin 2023年3月3日19:39:13评论10 views字数 919阅读3分3秒阅读模式

0x00 Referer

个人学习笔记,摘录于公众号:鸟哥谈安全,详情请 点击查看

0x01 2022年安全架构总结

1.1 端到端身份防御架构

身份的三层风险:

  • 高安全等级MFA绕过:比如买卖内部账号、钓鱼等
  • 身份伪造和冒用:比如JWT Token通过refresh 维持身份权限;窃取私钥;攻击身份认证协议等(后续会专门写个文章学习下)
  • 应用权限过大导致的大范围数据泄露:默认权限问题

落地架构(参照零信任架构学习

2022年安全架构总结

1.2 数据安全防御架构

关键字:全程票据、微服务、服务网格、Sidecar、SOA、零信任

PS:落地太难了

2022年安全架构总结
2022年安全架构总结
2022年安全架构总结

1.3 隐私安全

借鉴数据安全建设的顶层设计

  • 1、扩展数据源:各个云产品数据源、数据采集维度;
  • 2、覆盖数据安全能力:数据分类分级、敏感数据识别、数据标签、数据地图、数据防泄漏、数据脱敏、数据审计、数据访问异常等能力;
  • 3、满足合规和解决数据安全风险:隐私合规层面;

微软隐私安全产品Priva

2022年安全架构总结

1.4 数据安全顶层治理架构

注:牛皮!  (破音

2022年安全架构总结

0x02 2023年趋势展望

  • MXDR将会扩展到DataDR+DataSecOps:将XDR等反入侵服务和数据安全结合,通过扩展来构建能力,比如解决身份相关攻击的IPDR(CIEM、UEBA等);
  • Data Breach Simulation需求爆发:BAS理念,目前市面上已经有了,只不过将剧本在数据安全领域跑一遍;
  • 威胁情报(TI)+CAASM+EASM+DRPS+CTEM+BAS+反入侵分析组成新的平台:CAASM(内外部集成的攻击面管理)、EASM(外部视角的攻击面管理)、DRPS(数字风险监控)以及持续的威胁暴露评估(CTEM);
  • 应用安全平台(ASOC、ASPM):体系化建设思维;
  • XSPM会成为继XDR之后的又一个爆发领域:造词?
  • 云平台安全需加大投入,预测国外TOP3的云会出现大规模数据泄露事件:试目以替!
  • 身份攻击会成为全球TOP One入侵原因,身份产品迎来重大机遇:我不会告诉你企鹅SRC漏洞之王的挖洞秘诀就是123456
2022年安全架构总结
2022年安全架构总结

0x03 总结

手段不是目标,AI模型不一定比特征工程更准确,适合自己的才是最好的。从自身业务和场景出发,坚持做正确的事情。

2022年安全架构总结


原文始发于微信公众号(小宝的安全学习笔记):2022年安全架构总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月3日19:39:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2022年安全架构总结https://cn-sec.com/archives/1586475.html

发表评论

匿名网友 填写信息