1.1 甲方安全建设方法论
1.1.1 从零开始:
1.集齐三张表:1)组织架构图 2)产品与交付团队映射,风险管理方法论主次产品成本区别对待 3)全网拓扑、物理拓扑
2.线上后门排查
3.一开始的安全不能全线铺开,而是集中做好三件事:1.事前的安全基线;2. 事中的监控能力 3. 事后的响应能力。
一边熟悉业务、一边当救火队长、一边筹建团队
1.1.6 STRIDE威胁建模
它把外部威胁分成6个维度来考察系统设计时存在的风险点,分别为:spoofing假冒、tamper篡改、repudiation否认、information disclosure信息泄露、Denial of service拒绝服务、elevation of privilege权限提升
应用开发安全标准文档:访问认证、输入验证、编码过滤、认证鉴权、加密、日志。
数据流关系图、时序图
1.1.7 ISO27001
安全标准、安全理念,木桶短板理论
堵漏洞是微观对抗,标准是宏观建设
itil 运维侧 sdl 研发侧 iso270001
1.1.8 流程与反流程
流程是用来解决人容易犯错的问题
1.1.9 业务持续性管理
bcm是一个较高层次的管理机制,通常对应到公司层面,它使企业认识到潜在的危机,制定响应、业务和连续性的恢复计划,总体目标是提高企业的风险防范能力。包括:项目管理-》风险分析和回顾-〉业务影响恢复-》恢复策略-〉计划实施-》测试和演练-〉程序管理
威胁建模关注的是具体的系统,bia关注的是公司的业务。
bcp,业务持续性计划
1.1.10 应急响应
首要目标是恢复sla
1.1.11 TCO&ROI
安全负责人最可能影响ROI的几个因素:
-
缺少系统化蓝图,导致头痛医头脚痛医脚
-
对管理体系和工具链建设没有整体认知,选择在错误的时间点做正确的事
-
把安全工作当成checklist,而不是风险管理工作,凡事要求决定安全而不能接受相对风险
-
弱于判断安全建设在实践环节的好与坏,搞不清楚某个安全机制在业界属于什么水平
-
个人的职场步调与公司发展的阶段不一致,公司处于快速扩张期,而自己则采取保守谨慎的策略
-
只管内勤,不管外联
作为一个风险管理者的角色,而不是直接产生利润的职能,其向上管理可能会有一定的难度,在风险取舍方面要跟上下提前达成一致。
2. 技术篇
2.1 防御架构原则
攻防对抗主要是三个层次的对抗:信息对抗、技术对抗、运营能力对抗
信息对抗建设从数据化建设开始,数据化建设指企业自身安全风险数据建设与分析,需要根据基线数据、拓扑数据以及业务数据梳理清楚可能存在的攻击路径与攻击面。
运营能力主要体现于风险闭环,即”同样的问题不能犯两次“
2.1.1 纵深防御体系架构
网络+应用+系统内核
整体企业的安全架构是由多层次的安全域和对应的安全机制构成,要保护关键数据,就要层层设防,这样就不太可能被攻击者得手一点就全部失守
多维防御、降维防御、实时入侵检测、伸缩性可水平扩展
2.2 基础安全
2.2.1 安全域的划分
生产网络&办公网络,aws安全白皮书
2.2.2 系统安全加固
归为安全基线
网络访问控制
补丁管理以及日志审计
2.2.2
服务器4A,账户、认证、授权、审计
2.3 网络安全
2.3.1 网络入侵检测
NIDS
DDOS防护
链路劫持
WAF
2.4 主机入侵感知
HIDS
RASP
数据库审计
2.4 漏洞扫描
漏洞扫描、入侵感知、应急响应是技术维度日常工作中最重要的3个部分
2.5 移动安全
互联网公司的安全体系基本上以运维安全、应用安全、业务安全三管齐下,而移动安全在应用安全中占据半壁江山。
SDL的主要实践对象就是移动应用。
2.6 代码审计
2.7 办公网络安全
安全域划分
终端管理
安全网关:堡垒机、行为审计
研发管理
远程访问
apt&蜜罐
dlp数据防泄漏 data loss prevention
2.8 安全管理体系
信息安全全集
安全部门组织架构
KPI:覆盖率、覆盖深度、检出率(漏报误报)、反应时长、排查时长、修复时长
外部评价指标:攻防能力、视野和方法论、工程化能力、对业务的影响力
最小集合:小公司(事前的安全基线、事中的发布管理、事后的救火机制),最后把救火机制转化为防御机制,不管审视业务线的周期性风险评估
资产管理:有了基础的资产管理以后,对资产做分类分级,既有信息安全的需求,也有bcm的基础需求,同时还有隐私保护的需求
发布变更流程管理
事件处理流程ITIl
安全产品研发
开放与合作,SRC
2.9 隐私保护
数据分类
访问控制
数据隔离
数据加密
密钥管理
安全删除
匿名化
内容分级
2.10 业务安全与风控
对抗原则,具体为:解决大部分问题,就算及格;增加黑产的成本;永远的情报;数据是基础;纵深防御,使用漏斗模型,由机器处理最原始的数据,人工审核做最后一道防线;
账号安全,强账号体系VS弱账号体系,步骤:注册、登陆、密码找回、多因素认证
电商类,恶意下单、黄牛抢单、刷优惠券和奖励、反价格爬虫、反欺诈(盗号、刷好评、骗贷)
2.11 大规模纵深防御体系
数据流视角
服务器视角
idc视角
安全的底线:入侵者能随意操纵数据库/用户数据;得到shell,无论是普通用户还是root
2.12分阶段的安全体系建设
宏观过程:基础安全策略实施;系统性建设;业务安全;
清理灰色地带
建立应急响应能力&运营环节
如对你有,记得转发分享,点个在看哦
点击左下角阅读原文学习更多渗透测试教程
推荐学习教程
CTF网络安全大赛学习从入门到精通教程、工具、writeup合集
2018-2019零基础渗透测试web安全攻防网络安全漏洞讲解培训视频教程
2018-2019安卓逆向Android安全反编译脱壳加固IDA调试实战培训教程5套
2019企业级网络安全与等保2.0视频教程【行业剖析+产品方案+项目实战】
全新企业级Linux高端运维实战高薪就业课程高可用架构+负载均衡+企业安全
python从基础到网络爬虫数据分析人工智能机器学习深度学习24套视频教程
2019新软考网络信息安全工程师备考实战教程 软考安全工程师串讲
【教程】升级版HCIA-Security V3.0认证课程 华为ICT领域网络安全工程师教程
深度学习之神经网络 CNN/RNN/GAN 算法原理+实战视频教程
免责声明
本公众号资源均通过网络等合法渠道获取,该资料仅作为技术学习交流使用,其版权归出版社或者原作者所有,本公众号不对所涉及的版权问题负责。如原作者认为侵权,请留言联系小编,小编立即删除文章,谢谢。
扫描关注乌云安全
快戳阅读原文!获取更多视频教程
本文始发于微信公众号(乌雲安全):干货|互联网企业安全高级指南总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论