【企业安全】企业安全威胁简述

企业面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的安全隐患。往往在不经意间,又可能引入新的安全因素,也有可能在输出产品时给其他企业带来安全风险。大而言之,企业的威胁从个人理解的角度出发,大致可以分为以下几点:

  • 输入威胁
  • 内部威胁
  • 外部威胁
  • 输出威胁

**** 输入威胁分析 ****

  • 输入:第三方软件系统上线
  • 输入:第三方硬件设备入网
  • 输入:第三方开源框架与组件

企业常常需要向其他公司采购软、硬件设备,或采用第三方开源框架与组件进行开发。相关部门如果缺乏安全意识,就很有可能不经过任何安全相关评估,将安全风险带到公司,比如:买到即上线。然而对于一些稍有安全意识的公司,会对引入的产品进行安全评估,起初是这样一种情形:费&累

等待信息安全组沟通、验证回归漏洞完毕后,继续走流程购买付款,然后系统正式上线。在整个过程中,可见安全已经介入但出现较晚,导致的后果就是“费时费力帮别人家的产品做安全”。除此之外,再分享一个不靠谱的现象:飘&虚

曾有供应商提起,他们的系统经过某银行严格安全检查,并成功入驻,还向我们展示了部分检测报告。但在我们进行安全测试时,结果却不十分理想。刨根问底一番探究后,才弄明白:原来那银行使用绿盟主机漏洞扫描器,对供应商产品所在地址进行了主机漏洞扫描(在主机前还架设了防火墙,隔着墙扫的),而非对其产品进行安全评估。

难怪隔行如隔山,此类大跌眼镜、没有把安全落到实处的情形,估计还有不少。那问题来了,如何有效的对输入威胁进行有效控制?显而易见的是需要将安全提前,在业务方进行需求分析时,便把安全因素加入其中,成为需求的一个环节,在产品选型时可由安全组相关同事进行把关,可参考是否具有第三方安全机构出具的报告,可询问是否自行做过安全测试等保证产品安全性的流程。如果需要更进一步的确认,可以进行“抽样”式安全测试,对涉及到敏感数据环节或重要操作进行安全评估。

**** 内部威胁浅析 ****

企业内部威胁主要来自于人,如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量,比如:

&内鬼泄露内部机密信息资产&内部人员主动攻击外部其他系统&内部系统沦为肉鸡被动攻击外部其他系统&内部网络混乱,比如访客网络与办公网甚至生产网未做隔离&内部员工安全意识薄弱,被钓鱼或社工等攻击&公司内部安全管理制度缺失,员工随意带电脑外出公司或带机密文件出公司……

实际遇到的情况会比列出来的多、复杂的多、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到企业欠缺之处的根源,从源头进行修补。没有制度就制定并推行制度,安全意识不足就全员推送安全意识并坚持下去。以安全意识为例,可从视培读写四个方面开展:

**** 外部威胁粗析 ****

竞争对手的长期觊觎,导致雇佣黑客攻击的恶意竞争;

业务发展壮大安全跟不上,导致不法分子的获利攻击;

公司架构采用主流与非主流框架,出现0day时的攻击;

……

“与其落后挨打,不如主动求变”,企业的安全建设只有主动将救火阶段慢慢的转到安全建设,才能在遭受外部攻击时稍微淡定一点。

**** 输出威胁剖析 ****

  • 技术输出:分享到外部的技术文档与其他资源存在安全缺陷,被其他人员当做模板使用。
  • 产品输出:本身产品存在安全隐患,导致恶意攻击者恶意利用漏洞,或私藏后门开关按钮被外部发现且恶意利用。

公司产品(系统)严格控制经过安全测试后,再投入生产及交易。有条件的或时机成熟的公司,落地版的SDL走一遍,不仅是对客户负责,更有可能避免了以后某一天遭到曝光或攻击带来的麻烦。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

2 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

一洞观全球:看各国网络战防御能力

1284
来自专栏菜鸟程序员

下载 | 美政府发布《未分类漏洞权益VEP宪章》 增加0Day漏洞审查及披露的透明度

1072
来自专栏企鹅号快讯

博览安全圈:印度10亿公民信息仅售8美元

【IT168 资讯】为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件。 1、黑客盯上平昌冬奥会 2018年2月9日,第23届...

19610
来自专栏FreeBuf

漏洞盒子发布《2015上半年度金融行业互联网安全报告》

作为世界第二大经济体的中国经济,一举一动总是会成为全球瞩目的焦点。2015年中国股市如同乘坐了过山车一般在股民惊悚的叫喊声中度过了不太平的半年。而中国在上半年还...

1947
来自专栏FreeBuf

网络犯罪分子今年都在搞什么飞机?来看欧洲刑警组织的最新评估报告

如果你每天都关注 FreeBuf 报道的安全资讯,对于全球范围内全年的网络犯罪趋势应该是大致心里有数的,毕竟那些黑客攻击大事件都相当轰动,比如像是 WannaC...

2067
来自专栏大数据文摘

2015上半年度金融行业互联网安全报告

2497
来自专栏安恒信息

路透社报告称美国政府是“0day”漏洞最大的买家

在利用0day漏洞去展开网络攻击,中国不是唯一的“恶魔”。根据路透社的报告,在一个蓬勃发展的由黑客和安全公司开发和销售入侵工具的灰色市场,美国政...

2604
来自专栏大数据文摘

国家黑客的9个特征

1305
来自专栏FreeBuf

人的大脑也可以被黑客入侵?这不是危言耸听

比利时天主教鲁汶大学的一位学术安全研究人员团队发现,大脑植入物非常不安全,因为它们都使用了无线接口。

964
来自专栏企鹅号快讯

CSA发布12大顶级云安全威胁

如今,云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是与此同时,它也引发了一系列新的安全威胁和挑战。随着越来越多的数据进入云端,尤其...

2415

扫码关注云+社区