【企业安全】企业安全威胁简述

企业面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的安全隐患。往往在不经意间,又可能引入新的安全因素,也有可能在输出产品时给其他企业带来安全风险。大而言之,企业的威胁从个人理解的角度出发,大致可以分为以下几点:

  • 输入威胁
  • 内部威胁
  • 外部威胁
  • 输出威胁

**** 输入威胁分析 ****

  • 输入:第三方软件系统上线
  • 输入:第三方硬件设备入网
  • 输入:第三方开源框架与组件

企业常常需要向其他公司采购软、硬件设备,或采用第三方开源框架与组件进行开发。相关部门如果缺乏安全意识,就很有可能不经过任何安全相关评估,将安全风险带到公司,比如:买到即上线。然而对于一些稍有安全意识的公司,会对引入的产品进行安全评估,起初是这样一种情形:费&累

等待信息安全组沟通、验证回归漏洞完毕后,继续走流程购买付款,然后系统正式上线。在整个过程中,可见安全已经介入但出现较晚,导致的后果就是“费时费力帮别人家的产品做安全”。除此之外,再分享一个不靠谱的现象:飘&虚

曾有供应商提起,他们的系统经过某银行严格安全检查,并成功入驻,还向我们展示了部分检测报告。但在我们进行安全测试时,结果却不十分理想。刨根问底一番探究后,才弄明白:原来那银行使用绿盟主机漏洞扫描器,对供应商产品所在地址进行了主机漏洞扫描(在主机前还架设了防火墙,隔着墙扫的),而非对其产品进行安全评估。

难怪隔行如隔山,此类大跌眼镜、没有把安全落到实处的情形,估计还有不少。那问题来了,如何有效的对输入威胁进行有效控制?显而易见的是需要将安全提前,在业务方进行需求分析时,便把安全因素加入其中,成为需求的一个环节,在产品选型时可由安全组相关同事进行把关,可参考是否具有第三方安全机构出具的报告,可询问是否自行做过安全测试等保证产品安全性的流程。如果需要更进一步的确认,可以进行“抽样”式安全测试,对涉及到敏感数据环节或重要操作进行安全评估。

**** 内部威胁浅析 ****

企业内部威胁主要来自于人,如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量,比如:

&内鬼泄露内部机密信息资产&内部人员主动攻击外部其他系统&内部系统沦为肉鸡被动攻击外部其他系统&内部网络混乱,比如访客网络与办公网甚至生产网未做隔离&内部员工安全意识薄弱,被钓鱼或社工等攻击&公司内部安全管理制度缺失,员工随意带电脑外出公司或带机密文件出公司……

实际遇到的情况会比列出来的多、复杂的多、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到企业欠缺之处的根源,从源头进行修补。没有制度就制定并推行制度,安全意识不足就全员推送安全意识并坚持下去。以安全意识为例,可从视培读写四个方面开展:

**** 外部威胁粗析 ****

竞争对手的长期觊觎,导致雇佣黑客攻击的恶意竞争;

业务发展壮大安全跟不上,导致不法分子的获利攻击;

公司架构采用主流与非主流框架,出现0day时的攻击;

……

“与其落后挨打,不如主动求变”,企业的安全建设只有主动将救火阶段慢慢的转到安全建设,才能在遭受外部攻击时稍微淡定一点。

**** 输出威胁剖析 ****

  • 技术输出:分享到外部的技术文档与其他资源存在安全缺陷,被其他人员当做模板使用。
  • 产品输出:本身产品存在安全隐患,导致恶意攻击者恶意利用漏洞,或私藏后门开关按钮被外部发现且恶意利用。

公司产品(系统)严格控制经过安全测试后,再投入生产及交易。有条件的或时机成熟的公司,落地版的SDL走一遍,不仅是对客户负责,更有可能避免了以后某一天遭到曝光或攻击带来的麻烦。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菩提树下的杨过

MSDN官方的ASP.Net异步页面的经典示例代码

示例1.演示异步获取一个网址的内容,处理后显示在OutPut这一Label上 using System; using System.Web; using S...

1955
来自专栏张善友的专栏

Using sqlite with .NET

The other day I found that there is a .NET wrapper for sqlite. sqlite is a very ...

2208
来自专栏成长道路

JDBC动态SQL语句连接orcale数据库的工具类

import java.sql.Connection; import java.sql.DriverManager; import java.sql.P...

2430
来自专栏闻道于事

商城项目整理(三)JDBC增删改查

商品表的增加,修改,删除,订单表的增加,确认,用户表的查看,日志表的增加,查看 商品表建表语句: 1 create table TEST.GOODS_TABL...

5415
来自专栏积累沉淀

Hive2.0.0操作HBase 1.2.1报错解决

首先看错  org.apache.hive.service.cli.HiveSQLException: Failed to open new session: ...

2319
来自专栏飞扬的花生

日志帮助类

 1.代码 using System; using System.Collections.Generic; using System.Linq; using S...

1879
来自专栏海说

Java应用中常见的JDBC连接字符串(SQLite、MySQL、Oracle、Sybase、SQLServer、DB2)

Java应用中常见的JDBC连接字符串 Java应用中连接数据库是不可或缺的,于是便整理一些可能用到的JDBC的jar包及其相匹配的URL,以备日后查阅。 1)...

2680
来自专栏xingoo, 一个梦想做发明家的程序员

windows程序设计-第四章 system1.c

/*---------------------------------------------------- SYSMETS1.C -- System M...

22810
来自专栏我和未来有约会

silverlight向服务器post数据类

using System; using System.Net; using System.Windows; using System.Windows.Co...

1955
来自专栏跟着阿笨一起玩NET

C# 通过HttpWebRequest在后台对WebService进行调用

http://www.cnblogs.com/macroxu-1982/archive/2009/12/23/1630415.html

2722

扫码关注云+社区