【企业安全】企业安全威胁简述

企业面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的安全隐患。往往在不经意间,又可能引入新的安全因素,也有可能在输出产品时给其他企业带来安全风险。大而言之,企业的威胁从个人理解的角度出发,大致可以分为以下几点:

  • 输入威胁
  • 内部威胁
  • 外部威胁
  • 输出威胁

**** 输入威胁分析 ****

  • 输入:第三方软件系统上线
  • 输入:第三方硬件设备入网
  • 输入:第三方开源框架与组件

企业常常需要向其他公司采购软、硬件设备,或采用第三方开源框架与组件进行开发。相关部门如果缺乏安全意识,就很有可能不经过任何安全相关评估,将安全风险带到公司,比如:买到即上线。然而对于一些稍有安全意识的公司,会对引入的产品进行安全评估,起初是这样一种情形:费&累

等待信息安全组沟通、验证回归漏洞完毕后,继续走流程购买付款,然后系统正式上线。在整个过程中,可见安全已经介入但出现较晚,导致的后果就是“费时费力帮别人家的产品做安全”。除此之外,再分享一个不靠谱的现象:飘&虚

曾有供应商提起,他们的系统经过某银行严格安全检查,并成功入驻,还向我们展示了部分检测报告。但在我们进行安全测试时,结果却不十分理想。刨根问底一番探究后,才弄明白:原来那银行使用绿盟主机漏洞扫描器,对供应商产品所在地址进行了主机漏洞扫描(在主机前还架设了防火墙,隔着墙扫的),而非对其产品进行安全评估。

难怪隔行如隔山,此类大跌眼镜、没有把安全落到实处的情形,估计还有不少。那问题来了,如何有效的对输入威胁进行有效控制?显而易见的是需要将安全提前,在业务方进行需求分析时,便把安全因素加入其中,成为需求的一个环节,在产品选型时可由安全组相关同事进行把关,可参考是否具有第三方安全机构出具的报告,可询问是否自行做过安全测试等保证产品安全性的流程。如果需要更进一步的确认,可以进行“抽样”式安全测试,对涉及到敏感数据环节或重要操作进行安全评估。

**** 内部威胁浅析 ****

企业内部威胁主要来自于人,如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量,比如:

&内鬼泄露内部机密信息资产&内部人员主动攻击外部其他系统&内部系统沦为肉鸡被动攻击外部其他系统&内部网络混乱,比如访客网络与办公网甚至生产网未做隔离&内部员工安全意识薄弱,被钓鱼或社工等攻击&公司内部安全管理制度缺失,员工随意带电脑外出公司或带机密文件出公司……

实际遇到的情况会比列出来的多、复杂的多、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到企业欠缺之处的根源,从源头进行修补。没有制度就制定并推行制度,安全意识不足就全员推送安全意识并坚持下去。以安全意识为例,可从视培读写四个方面开展:

**** 外部威胁粗析 ****

竞争对手的长期觊觎,导致雇佣黑客攻击的恶意竞争;

业务发展壮大安全跟不上,导致不法分子的获利攻击;

公司架构采用主流与非主流框架,出现0day时的攻击;

……

“与其落后挨打,不如主动求变”,企业的安全建设只有主动将救火阶段慢慢的转到安全建设,才能在遭受外部攻击时稍微淡定一点。

**** 输出威胁剖析 ****

  • 技术输出:分享到外部的技术文档与其他资源存在安全缺陷,被其他人员当做模板使用。
  • 产品输出:本身产品存在安全隐患,导致恶意攻击者恶意利用漏洞,或私藏后门开关按钮被外部发现且恶意利用。

公司产品(系统)严格控制经过安全测试后,再投入生产及交易。有条件的或时机成熟的公司,落地版的SDL走一遍,不仅是对客户负责,更有可能避免了以后某一天遭到曝光或攻击带来的麻烦。

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

美国、欧盟、日本隐私政策解读

2245
来自专栏云市场~精选汇

腾讯E证通小程序 大陆居民扫码就能通关

微信小程序成为当下热门话题,下面从多个方面来谈谈腾讯E证通小程序入口,腾讯E证通小程序二维码。

1.7K3
来自专栏云计算D1net

新的隐私保护对于云业务可能意味着什么

想象一下,如果IT人员或所在的公司在云端或其他SaaS(存储即服务)平台上存储有争议的信息,并且突然之间,美国联邦调查局或警方因此将其扣押。一夜之间,其或其所在...

3054
来自专栏北京马哥教育

漫画告诉你什么是DDoS攻击?

根据《2015 H1绿盟科技DDoS威胁报告》指出,如今大流量网络攻击正逐渐呈现增长趋势,前不久锤子科技的发布会以及9月12日苹果官网宕机的案例就印证了这一点。...

34711
来自专栏人工智能快报

DARPA将探索如何利用人工智能保护网络安全

在网络安全专家能够发现并修复计算机软件的“零日”漏洞之前,黑客可对这些漏洞利用的平均时长长达312天。美国国防部高级研究计划局(DARPA)正在致力于开发新的人...

3287
来自专栏嵌入式程序猿

风靡的树莓派,今天你玩了吗?

以前关注过树莓派的消息,但是一直没有接触过,偶然的机会拿到了树莓派3的板子,感觉功能还是很丰富的,自树莓派3 (raspberry pi 3)发布以来,确实赢...

2809
来自专栏人称T客

国外24款云ERP 软件点评推荐 | 榜单

T客汇官网:tikehui.com 编译 | 徐婧欣 ? 本文对关于云平台上 ERP 软件进行了比较并提出了综合性观点,参与比较的有 24 种产品,分别从常规...

53010
来自专栏企鹅号快讯

黑客展示如何攻击飞机和汽车

1997年,知名黑客杰夫·莫斯创立了黑帽子大会,历经17年的发展,黑帽大会已经成为信息安全领域的风向标,每年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。 ...

21110
来自专栏量子位

十个优衣库仓库理货员,只有一个能留下,机器已经上岗了

在优衣库,机器人代替人类工作已经成为了现实。最近,优衣库和物流公司大福(Daifuku)合作,用一套自动化系统改造了仓库,改造后的仓库能让优衣库减少90%的仓库...

1052
来自专栏FreeBuf

可视化DDoS全球攻击地图

DDoS攻击通过分布式的源头针对在线服务发起的网络消耗或资源消耗的攻击,目的是使得目标无法正常提供服务。DDoS攻击主要针对一些重要的目标,从银行系统到新闻站点...

5196

扫码关注云+社区