企业安全
资产安全需要考虑的问题
- 内网中重要资产在哪里?
- 内网有多少系统可以访问这些资产?
- 这些系统是否做过全面的安全检测?是否有统一的登录鉴权
- 这些系统的登录和操作日志是否有日志记录和分析?
- 内网中有多少开放的API?
- 这些API是否有统一的安全的鉴权?
- 这些API的调用是否记录日志?分析?
- 员工统一登陆账号是否有集中的风险监控?
如何看待 APT 攻击
- 评估公司是否会遭受APT攻击?
- 评估公司是否更易遭受精简版APT攻击
- 真的遭受APT攻击,现有体系是否有用?规划有用的体系投入比需要多少?
- 做好基础工作
- 做好最紧急的工作,一做到底,落实到实处
- 适当的情况下建设APT防御体系,对APT攻击怀有敬畏之心
- 正视现有攻防环境的不对等,需要做到极致的细微处,否则对真正的APT攻击是无效的
安全能力叠加演进
- 架构安全:在系统规划、建设和维护的过程中充分考虑安全防护—自身足够强
- 被动防御:在无人介入的情况下,附加在系统架构上可提供持续威胁防御或威胁洞察的系统--提高攻击门槛,将大多数攻击拒之门外
- 积极防御:分析人员对处于防御网络中的威胁进行监控、响应、学习和应用知识的过程—发现有针对性攻击或者未知的攻击面、防御弱点
- 情报:收集数据并将数据转化为信息,并将信息进行生产加工—对对手有足够的了解,产生针对性的情报
- 进攻:对抗攻击者进行法律反制措施、自卫反击行为—威慑和反制
企业安全架构
SOAPA(安全运营与分析平台架构)、反恶意沙箱(系统沙箱、应用沙箱)、NTA(网络流量分析—非法外联、异常访问、违规操作、木马心跳、数据窃取)、UEBA(用户行为分析)、EDR(端点检测与响应技术--检测操作系统级行为和可疑进程、发现威胁行为及时响应和阻断)、资产管理(手动录入、文件导入、主动扫描、被动识别)
企业面临的安全挑战
- 持续不断的网络攻击
- 员工和第三方敏感数据泄漏
- 有限的资源和安全人才
- 低效的工具
- 海量内部告警缺乏有效排序
- 外部威胁缺乏有效的收集手段
- 大量的解决方案只能解决单点问题
- 越来越多的安全问题发生在企业边界之外
数据安全
数据分类
- 客户和员工信息:个人身份信息、金融卡号信息、网络账户密码、网络行为数据
- 商业秘密:商业计划、规划&方案、客户资料、会议纪要
- 知识产权:源代码、产品设计、专利
风险控制
品牌风险
- 网络钓鱼:假冒网站、假冒 APP、假冒社交媒体账户、假冒邮件
- 社交媒体言论:言论过度传播、假冒的言论
- 品牌滥用:山寨网站、假冒社交媒体资料、假冒伪劣商品和礼品卡
数字风险防护能力
- 对仿冒网站、仿冒 APP 、仿冒社交媒体账号、垃圾邮件账号等监测发现能力
- 对上述监测到的事件进行快速关停的能力
- 将企业拥有的 IP 和域名从黑名单中剔除的能力
- 企业软件或 APP 被识别位病毒后,能够剔除误报的能力
- 将公开渠道出现的敏感数据快速下线的能力
- 对供应链全面安全监控的能力
网络威胁
目标分类
- 以客户为目标:恶意软件、仿冒品、咋骗
- 破坏可用性:DDOS、勒索软件
- 政治动机:网站篡改
- 抢占资源:挖矿软件
红蓝对抗
红队
检测黑客攻击、发现隐藏痕迹、检测数据窃取、检测新型 TTP 攻击
威胁防御:看见能力、应急响应调查、恶意软件分析、取证、威胁情报、溯源、开发防御产品、SIEM、持续改进、威胁检测
蓝队
模拟真实黑客攻击、隐藏痕迹、模拟窃取数据、发现新型 TTP
威胁发现:SAAS 安全对抗、系统安全、网络安全、云产品安全、APT、社会工程学、虚拟化安全、沙箱逃逸安全、多租户隔离安全、基础设施安全
白队
基础设施防御、保证用户数据安全措施
楼主残忍的关闭了评论