点击蓝字 关注我们
企业安全运营
实践分享
前言
美国很多信息安全管理者都遵循一个安全管理理念,即“修复漏洞是安全工作的基石”,所以他们会特别重视漏洞的发现和修复。虽然在理论上这种管理理念并没有错误,但在实践中却存在不少问题,因为我们面临的安全威胁不仅仅只有漏洞。
在日常安全运营活动中,通常还会遇到暴力破解、挖矿木马、勒索病毒、针对应用的攻击行为,比如说攻击者利用应用代码中存在缺陷,进行sql注入、跨站、命令执行等;以及内部人员的违规操作,比如使用公共github库和组件未授权导致的敏感信息泄露等问题。
日常演练结果显示,在所有发现的问题中,只有4.35%是带有CVE编号的漏洞,其余安全问题主要还是暴力破解、代码缺陷、错误配置、三方供应商存在的特有漏洞等。因此,在实践中,我们的安全运营工作不应在漏洞方面进行过度的资源投入,也需要将有限的资源投入到威胁监测和事件响应中去。
安全运营理念
基于最佳实践,我们提出了以技术、业务、管理作为基石(基本安全要求),支撑资产管理、脆弱性管理、威胁管理、事件管理四个主要管理内容,用于应对安全事件、实战化攻防对抗和监管要求的安全运营理念。
这里先简单介绍一下我们安全运营理念中基石和内容的来源。基石中的技术和管理来源于等级保护,在等保中将安全要求分为了技术层面和管理层面,技术层面包含物理、网络架构、设备安全等,管理层面包含人员管理、运维管理等,该业务层面主要来自于企业所面临的特有业务风险,用于承载业务特有的安全要求。
四个管理内容主要来源于ISC2内部分享的“基于保护者视角的安全运营中心”总结的最佳实践(该最佳实践主要是总结了国标36958 网络安全等级保护安全管理中心技术要求的相关内容),这四个管理内容定义了安全运营工作至少要做到的四个工作。除此之外,还可以对主动防御、安全可视化、态势感知能内容进行扩展。
安全运营的实现
可以参考nist推出的网络安全框架,将安全运营的实现划分成五个阶段。
Step1 确定安全目标
通常,我们在安全上的投入并不是越多越好,安全工作一定要符合成本效益原则。因此,为了避免过度建设,先要确定我们的安全目标,及需要满足的安全要求。在这个过程中,可以参考国家标准GBT22239等级保护基本要求和国际标准iso27000,同时结合自己的业务特性,形成自己需要达到的安全要求。如果我们的安全目标是抵御一般攻击行为,建议可以主要参考等保二级要求;如果安全目标是有组织的攻击行为,建议可以主要参考等保三级要求。等保要求和iso27000最主要的区别在于,等保内容写的比较细,但是范围比较窄,ISO27000写的范围比较大,但内容很粗。因此,建议结合使用关联互补。
Step2 进行差距分析
有了要求之后,就需要开展差距分析工作,通过差距分析,可以创建一个路线图并定义实施的优先级、差距程度和预估成本。这样有助于我们后续编制建设方案和规划安全投入。
至于如何定义优先级,笔者依然建议采用风险评级的方式,通过风险来进行优先级排序,建议可以参考图中的这两个高风险指引来识别和定义高风险。
同时,安全建设一定要符合成本效益原则,根据工作重要程度、与标准的差距程度和开销多少制作制定建设计划。
Step3&4
制定建设计划&开展安全建设
在制定建设计划和开展安全建设工作时,建议按照安全目标进行分三期建设。一期主要关注外部威胁、高风险项目和数据安全,二期关注内部安全问题,补齐防护短板,三期建设安全管理中心实现安全运营的闭环。
关于安全建设要做的事情,建议大家可以重点关注“边界防护&区域隔离”、“入侵检测&防护”、“主机安全”、“业务安全”、“脆弱性管理”和“安全管理”。
Step5 持续性安全运营
安全运营工作并不是在建设完全结束之后才开始,而是要遵循三同步原则:同步规划、同步建设、同步使用。那么,在建设过程中,就需要开展持续性的安全运营工作。建设初期,建议大家围绕安全事件开展安全运营工作。事前进行安全建设、处置脆弱性,降低安全事件发生的概率,事中进行持续性的安全监测,快速发现安全事件,同时快速分析定位和采取处置措施,事后在对事件进行复盘分析,改进安全运营方案,减少安全事件给业务带来的影响。
往期精彩合集
● 联想全球安全实验室热招AI安全领域精英,欢迎志同道合的小伙伴加入!
● LLM越狱防御术
长
按
关
注
联想GIC全球安全实验室(中国)
原文始发于微信公众号(联想全球安全实验室):企业安全运营实践分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论