企业安全

资产安全需要考虑的问题

1. 内网中重要资产在哪里?
2. 内网有多少系统可以访问这些资产?
3. 这些系统是否做过全面的安全检测?是否有统一的登录鉴权
4. 这些系统的登录和操作日志是否有日志记录和分析?
5. 内网中有多少开放的API?
6. 这些API是否有统一的安全的鉴权?
7. 这些API的调用是否记录日志?分析?
8. 员工统一登陆账号是否有集中的风险监控?

如何看待 APT 攻击

1. 评估公司是否会遭受APT攻击?
2. 评估公司是否更易遭受精简版APT攻击
3. 真的遭受APT攻击，现有体系是否有用?规划有用的体系投入比需要多少?
4. 做好基础工作
5. 做好最紧急的工作，一做到底，落实到实处
6. 适当的情况下建设APT防御体系，对APT攻击怀有敬畏之心
7. 正视现有攻防环境的不对等，需要做到极致的细微处，否则对真正的APT攻击是无效的

安全能力叠加演进

1. 架构安全：在系统规划、建设和维护的过程中充分考虑安全防护—自身足够强
2. 被动防御：在无人介入的情况下，附加在系统架构上可提供持续威胁防御或威胁洞察的系统--提高攻击门槛，将大多数攻击拒之门外
3. 积极防御：分析人员对处于防御网络中的威胁进行监控、响应、学习和应用知识的过程—发现有针对性攻击或者未知的攻击面、防御弱点
4. 情报：收集数据并将数据转化为信息，并将信息进行生产加工—对对手有足够的了解，产生针对性的情报
5. 进攻：对抗攻击者进行法律反制措施、自卫反击行为—威慑和反制

企业安全架构

SOAPA（安全运营与分析平台架构）、反恶意沙箱（系统沙箱、应用沙箱）、NTA（网络流量分析—非法外联、异常访问、违规操作、木马心跳、数据窃取）、UEBA（用户行为分析）、EDR（端点检测与响应技术--检测操作系统级行为和可疑进程、发现威胁行为及时响应和阻断）、资产管理（手动录入、文件导入、主动扫描、被动识别）

企业面临的安全挑战

1. 持续不断的网络攻击
2. 员工和第三方敏感数据泄漏
3. 有限的资源和安全人才
4. 低效的工具
5. 海量内部告警缺乏有效排序
6. 外部威胁缺乏有效的收集手段
7. 大量的解决方案只能解决单点问题
8. 越来越多的安全问题发生在企业边界之外

数据安全

数据分类

1. 客户和员工信息：个人身份信息、金融卡号信息、网络账户密码、网络行为数据
2. 商业秘密：商业计划、规划&方案、客户资料、会议纪要
3. 知识产权：源代码、产品设计、专利

风险控制

品牌风险

1. 网络钓鱼：假冒网站、假冒 APP、假冒社交媒体账户、假冒邮件
2. 社交媒体言论：言论过度传播、假冒的言论
3. 品牌滥用：山寨网站、假冒社交媒体资料、假冒伪劣商品和礼品卡

数字风险防护能力

1. 对仿冒网站、仿冒 APP 、仿冒社交媒体账号、垃圾邮件账号等监测发现能力
2. 对上述监测到的事件进行快速关停的能力
3. 将企业拥有的 IP 和域名从黑名单中剔除的能力
4. 企业软件或 APP 被识别位病毒后，能够剔除误报的能力
5. 将公开渠道出现的敏感数据快速下线的能力
6. 对供应链全面安全监控的能力

网络威胁

目标分类

1. 以客户为目标：恶意软件、仿冒品、咋骗
2. 破坏可用性：DDOS、勒索软件
3. 政治动机：网站篡改
4. 抢占资源：挖矿软件

红蓝对抗

红队

检测黑客攻击、发现隐藏痕迹、检测数据窃取、检测新型 TTP 攻击

威胁防御：看见能力、应急响应调查、恶意软件分析、取证、威胁情报、溯源、开发防御产品、SIEM、持续改进、威胁检测

蓝队

模拟真实黑客攻击、隐藏痕迹、模拟窃取数据、发现新型 TTP

威胁发现：SAAS 安全对抗、系统安全、网络安全、云产品安全、APT、社会工程学、虚拟化安全、沙箱逃逸安全、多租户隔离安全、基础设施安全

白队

基础设施防御、保证用户数据安全措施