偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

中小企業(yè)應該如何建立自己的防御體系

安全 應用安全
對于企業(yè)面臨的安全問題依然很嚴峻,盡管你的網站采用https,但是這也避免不了病毒帶來的對業(yè)務的影響。面對龐大的安全體系,筆者將盡可能給大家從不同維度描述、講解。

前言

在某一天的深夜,作為安全從業(yè)人員,穿著大褲衩子,坐在門前,點燃一根煙(畫面自己想象)開始思考企業(yè)如何打造自己的安全體系,雖然這不是作為月薪3k該考慮的問題,但是畢竟當初筆者的從業(yè)理想是想成為道哥一樣的人,為安全行業(yè)貢獻自己的一份力。于是寫下自己的想法,對于中小企業(yè)我希望能夠完善自己的安全體系,花最少的錢做好安全這件事;對于安全人員我希望大家多考慮企業(yè)面臨的危險點,而不只是會開一個掃描器做一個定時任務、開一個dirsearch就睡覺的那種!

[[348622]]

隨著國家現(xiàn)在化、信息化的不斷推進,同時5G時代的來臨,很多企業(yè)開始慢慢數字化轉型,我們感受到了信息化給我們帶來的方便與快捷,不管是衣食住行都比較以前都有了青銅到黃金的提升,這點上筆者深有體會!那么在這個高速發(fā)展的信息化道路上,不容忽視的一個大問題就是安全問題!!!我相信很多人和筆者一樣收到過一些某某貸、售房等推銷的電話,那么我們就不得不質問一個問題了,在如今我們每天都在面對手機的時代,上個廁所都在刷抖音的時代,我們的個人信息怎么得到保障?誰來保障?國家是不是應該頒布安全行業(yè)規(guī)則?

對于企業(yè)面臨的安全問題依然很嚴峻,盡管你的網站采用https,但是這也避免不了病毒帶來的對業(yè)務的影響,對于國家也是提出了沒有網絡安全就沒有國家安全,加大了企業(yè)安全問題的整頓,我們知道我們的等保1.0到2.0有了改變,變得比以前嚴了,增加了對物聯(lián)網、云的等保工作,同時也加大了對一些不整改的企業(yè)的懲罰,同時不同行業(yè)也出臺了適合自己的安全管理體系,筆者曾經閱讀過《銀行安全管理體系》確實不錯,大家有時間可以看看??梢钥闯霭踩珕栴}已經不是一個企業(yè)能避免的問題了。面對龐大的安全體系,筆者將盡可能給大家從不同維度描述、講解。

面臨的問題

  • 架構:運維 業(yè)務 應用 內部
  • 運維:服務器配置問題 未更新補丁 采用有漏洞的中間件及服務 弱口令等
  • 業(yè)務:活動促銷 賬號體系 交易體系 風控體系等
  • 應用:web漏洞 app漏洞
  • 內部:安全意識不足 辦公網補丁 wifi密碼 釣魚郵件
  • 老板信息 政府領導人名單 學生學號 公司工號 等敏感信息

安全體系建立(防守)

這是一個本人規(guī)劃的一個安全架構設計圖(勿噴)獻上這個的原因是我希望大家在看這篇文章有個參考,在架構設計的時候,安全部門就應該參與并融入一些安全觀念,比如考慮后期的抗D方案架構設計。網站是否負載均衡分流,是否上CDN,在架構設計方面應該考慮分層思想、邊界防御、縱深防御(主機安全比如ossec、應用安全比如waf、邊界安全比如snort)等思想!網絡方面我們應該考慮設備的冗余,交換機采用HA部署方式。網站結構方面是否采用站庫分離、前后端分離。同時全層的架構設計也應該結合等保2.0來設計,這樣也方便后期的等保過級。

假如以上就是一個公司的網絡拓撲圖,我們應該從哪些方面做好設計,下面將一一給大家分享下我個人的觀點。我覺得企業(yè)應該從以下三個維度進行不斷提升自己的安全防御能力。

1. 基礎安全方面:對于基礎安全我們可以從四個方面做。

(1) 數據安全體系:數據集中化、訪問權限管理、數據防泄漏(DLP、USB控制)、敏感信息泄露(GIthub scan)、數據備份、數據安全審計、內部文件加水印等,做到數據的安全監(jiān)控,從讓攻擊者進不來、拿不走、看不懂、能溯源方面制定不同安全策略。

(2) 安全技術體系:辦公內網(網絡隔離、補丁管理、文件共享管理、上網行為管理AC、多層防火墻部署方式以及ACL策略制定、終端防病毒軟件防護、防病毒網關、防釣魚郵件解決方案基于惡意鏈接和可執(zhí)行程序特征、WIFI接入點以及強度覆蓋安全)、服務器安全(堡壘機、主機漏掃、web漏掃、HIDS、ids基于全流量檢測產品、高交互蜜罐、虛擬專用網、基線不同應用、系統(tǒng)標準制定、中間件安全加固、補丁升級測試主機、服務器定時備份、內部DNS建立、埋點目錄監(jiān)控、webshell監(jiān)控體系建立)、身份認證、日志管理可視化分析展示、安全審計。

Hifish蜜罐:

Splunk日志可視化:

代碼審計Fortify:

漏掃體系:

GitHub監(jiān)控:

內部DNS:

Jumpserver:

主機Firewalld:

(3)安全管理體系:管理制度(針對不同部門制定不同安全制度)、施行責任制、合規(guī)、安全意識培訓(很重要)、安全開發(fā)SDL( 在代碼開發(fā)前進行全程跟蹤,從開發(fā)前的不同部門個人的安全培訓到上線前的靜態(tài)審計、動態(tài)測試、黑盒測試、最后進行安全部署上線)、安全運營(資產巡檢、安全產品日產運維、防泄漏監(jiān)控githubScan、安全事件分析研判、0day規(guī)則制定)、第三方產品安全監(jiān)控

(4)應急響應體系:不同安全事件響應、BCP團隊建立、災難恢復計劃。

2. 安全體系:GDPR數據保護條例(數據客體義務)、ISO27000、等保

3. 業(yè)務安全:反詐騙監(jiān)控方案(基于手機短信特征監(jiān)控)、擼羊毛、批量注冊

攻擊方向分析

對于攻擊方向,最常見的就是通過黑盒測試,因為最近幾年HW越來越火,也成為了檢驗系統(tǒng)是否安全的一種評判標準,我這里大概說說攻擊常用的滲透方式,同時作為一名公司的信息安全工程師也應該定期對各業(yè)務系統(tǒng)進行模擬hacker進行滲透測試。

  • Web安全滲透:框架漏洞、中間件漏洞、文件上傳、服務器端信息泄露、跨站xss、sql注入、web安全基礎、劫持攻擊、業(yè)務邏輯漏洞、代碼執(zhí)行、命令執(zhí)行、文件包含、解析漏洞、系統(tǒng)服務組件漏洞。
  • 后滲透:權限提升、權限維持、內網漫游、橫向滲透、域滲透
  • 代碼審計:命令執(zhí)行、url跳轉、任意文件上傳、目錄穿越、Struts2框架漏洞、Spring框架漏洞、SQL注入、xss漏洞、java代碼審計環(huán)境、軟件安全開發(fā)、XXE漏洞、SSRF漏洞

總結

對于企業(yè)的防御離不開攻擊方式的了解,只有掌握這些攻擊方式和常見漏洞以及合規(guī)的管理方式,這樣才能讓我們企業(yè)的系統(tǒng)免受攻擊的風險。安全從來都是一個紅藍對抗的事。

 

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2009-03-17 10:27:15

ITIL中小企業(yè)摩卡軟件

2013-07-22 09:20:28

甘肅移動云計算

2013-12-23 17:14:29

2012-06-14 16:15:34

存儲NAS系統(tǒng)

2014-03-18 11:33:04

云服務IT管理員

2010-01-27 10:23:30

中小企業(yè)服務器選購

2012-12-07 09:15:25

中小企業(yè)MPLSVPN

2022-02-17 20:24:09

中小企業(yè)物聯(lián)網

2009-06-16 09:33:17

Linux備份工具

2013-12-31 10:38:22

大數據

2013-11-12 15:06:50

服務器服務器配置

2009-06-16 09:23:11

中小企業(yè)Linux備份工具

2010-07-29 10:32:24

VPN設置

2009-02-20 12:09:10

數據備份數據安全NAS

2011-07-13 15:32:48

2009-05-08 10:39:46

2010-04-19 09:29:49

2012-01-09 10:03:52

2019-06-03 06:09:02

2012-12-13 14:07:26

中小企業(yè)安全企業(yè)安全
點贊
收藏

51CTO技術棧公眾號