企业安全浅析与实践
[TOC]
0x00 前言
随着近些年来网络攻击(APT)不断增多,以及勒索蠕虫病毒的出现,导致传统企业安全并不能适应现在网络安全环境的需求,加之国家颁布了相应的法律法规,更是给一些不注意网络安全的企业带上了紧箍咒,并且带动网络安全行业进一步发展变化,所以传统威胁依旧存在,新的威胁与风险层出不穷,这给企业安全带来更多挑战。
企业安全是什么?可以概括为:从广义的信息安全或狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。
网络安全法,通用数据保护条例GDPR任为首要且重要的指导性政策
企业安全并不是仅仅靠一些安全设备以及一些过时或者从未付出实践的一些流程规章制度就能实现的,也不是发现漏洞然后修复漏洞,再设置一下防火墙之类的工作;
简单的渗透测试攻防对抗只是企业安全的一部分
面对2019年愈发严峻的安全形势,企业不仅要严防精心策划的外部攻击,也不能排除来自内部的安全隐患。
过于超前、浮在表面没有落地方案的新概念,这些声音对企业安全实操都缺乏积极的意义。
企业安全体系架构与威胁应对流程,是企业保障业务安全、应对威胁、确保稳定发展的关键。
从架构设计规范中上升到安全标准体系、通用安全基线
企业安全的根本目的,是保障企业的业务连续性,保证企业利益相关者生命、财产安全的延续。与单纯的渗透测试、攻防对抗相比,企业安全往往要兼顾更多环节,更需要有大局观。在实践中,越来越多的企业意识到,企业安全不仅关乎技术,更关乎体系化的安全架构与设计。此前的报告也显示,我国安全行业中整体安全建设的战略规划类安全人才和机构设计类安全人才最为短缺。
在企业安全建设中,需要注意以下根本问题:
1、信息安全应建立在信息系统整个生命周期中所关联的人、事、物的基础上,综合考虑人、技术、管理和过程控制,不是局部问题而是整体问题;
2、安全需要考虑成本因素,保护的成本必须和保护的资产价值形成有效的比率;
3、随着整个社会对信息化的依赖,信息安全所维系的不仅仅是对组织的支持和辅助,已成为企业的命脉及核心竞争力。
企业安全需要基于信息安全大环境,结合企业所处行业、IT投入、业务需求等实际情况,参考可靠的安全架构体系,自上而下地建立能在企业内部落地的安全策略与安全流程,并在流程中应用合适的技术与产品。同时,还要在实践中不断改进,以便获得最大程度的保障。
企业安全按企业类型划分分为:
- 传统企业安全
- 互联网企业安全
安全架构随整个业务架构水平扩展,保证高可用性
1. 互联网与传统企业区别
互联网企业和传统企业在安全建设中的区别? 简单的说,传统企业偏重管理,简单的比喻就是“三分技术,七分管理”,而互联网企业偏重技术,三七开可以倒过来(其实并不准确);
传统企业安全特征如下: (1)IT资产相对固定。 (2)业务变更不频繁。 (3)网络边界比较固定。 (4)IDC规模不会很大,甚至没有。 (5)使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品(解决方案)通常可以搞定。
大型互联网企业特征如下: ● 海量IDC和海量数据。 ● 完全的分布式架构,架构层面主要是高性能、高可用性、(水平)扩展性、TCO(ROI)。 ● 应对业务的频繁发布和变更。
传统企业的安全建设 从安全建设上来看,传统企业的安全建设是:在边界部署硬件防火墙、IPS/IDS、WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设SOC,当然购买的安全硬件设备可能远不止这些。在管理手段上比较重视ISMS(信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足大量的合规性需求。
互联网企业的安全建设
互联网可分为生产网络和办公网络,即便Google声称取消内网也是针对办公网络而非生产网络。互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重。但是某些传统企业可能完全没有生产网络而只有办公网络,那么网络安全也就变成办公网络的网络安全。随着社会“互联网+”进程的加速,很多传统企业也会有自己的生产网络,最终都变成和互联网公司一样的形态。所以对于那些在给传统企业客户提供咨询和解决方案的乙方的工程师,如果不学习互联网安全,也迟早会陷入困境。
互联网企业的生产网络中,安全解决方案基本上都是以攻防为驱动的
不同规模企业的安全管理:
- 创业型公司:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现
- 大中型企业:有专职的安全人员或安全团队,建设上重视效果和ROI,会具备初步的纵深防御能力
总结:
- 传统企业安全建设可以部分沿用到互联网安全建设,对于现在的网络安全形势来说并不能完全继承;
- 传统企业到互联网企业,最终会从量变到质变就是安全部门开始根据自身的业务需求来自己造轮子的时代;
生态级企业vs平台级企业安全建设的需求
生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别。
主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现。
企业安全涵盖了五大领域基本包括:
- 网络安全
- 业务安全
- 安全体系建设
- 风控合规及审计
- 业务持续性管理
云环境安全: 云计算的本质是改变企业需求方通过传统的渠道获取IT资源的形式,企业客户会更希望通过云化的方式来获取和整合安全的解决方案 例如SaaS(Security as a Service),这就要求安全产品或解决方案本身需要支持虚拟化、软件化、分布式、可扩展性,并且利用大数据和人工智能,利用云端无限的计算和存储能力,缓解传统安全解决方案中数据的离散、单点的计算能容不足,信息孤岛和无法联动等问题。
云环境带来的便利:
- 轻点鼠标就可以获取大量的计算、存储和网络资源
- 资源的获取变得弹性,需要时轻易获取大量甚至海量的计算资源,不用担心资产闲置和老化
- 不再需要专门的人员去IDC机房维护服务器,不需要大量的运维人员
- 完全聚焦于自己的业务,而不用费大量的精力维护基础设施
云安全的关注点主要是在于软件防护方面,其次是硬件防护层面;
这五大领域相互独立又错综交叉互相促进又互相克制,细分工作内容如下:
- 信息安全管理:制度、流程 整体策略等
- 基础架构与网络安全:制度、流程 整体策略等
- 基础架构与网络安全:IDC生产网络的各种链路、设备服务器、服务端程序、中间件、DB,漏扫 补丁修复 ACL 安全配置 N/H ips等
- 应用与交付安全:对各BG、业务的产品进行应用级风险评估代码审计透测试 代码框架的安全功能和应用级防火墙、IPS等,包括SDL等
- 业务安全:账号安全 交易风控 征信 反价格爬虫 反作弊饭bot程序 反欺诈反钓鱼 反垃圾信息 舆情监控 防外挂 打击黑产 安全情报 态势感知等
- 企业认证和合规标准:等级保护测评认证、国内的ISO2700x、国外的BS7799和BS25999等
- 企业级安全管理:战略级安全规划建设、安全预算、TCO/ROI等
但是在甲方,安全不是主营业务,归根结底,安全是一个保值型的后台职能,不是一个明显能创造收益的前台职能,是一个成本中心而非盈利中心。
企业安全管理:CSOs加了s表示他们是一个群体,这个群体从生态链的顶端联接着绝大多数从业者和安全厂商。
企业安全涵盖7大领域,如下所示:
(1)网络安全:基础、狭义但核心的部分,以计算机(PC、服务器、小型机、BYOD……)和网络为主体的网络安全,主要聚焦在纯技术层面。
(2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全。
(3)广义的信息安全:以IT为核心,包括广义上的“Information”载体:除了计算机数据库以外,还有包括纸质文档、机要,市场战略规划等经营管理信息、客户隐私、内部邮件、会议内容、运营数据、第三方的权益信息等,但凡想得到的都在其中,加上泛“Technology”的大安全体系。
(4)IT风险管理、IT审计&内控:对于中大规模的海外上市公司而言,有诸如SOX-404这样的合规性需求,财务之外就是IT,其中所要求的在流程和技术方面的约束性条款跟信息安全管理重叠,属于外围和相关领域,而信息安全管理本身从属于IT风险管理,是CIO视角下的一个子领域。
(5)业务持续性管理:BCM(Business Continuity Management)不属于以上任何范畴,但又跟每一块都有交集,如果觉得(3)和(4)有点虚,那么BCM绝对是面向实操的领域。有网易、支付宝、携程等企业,因为各种各样的原因业务中断,损失巨大都属于BCM的范畴。有人会问:这跟安全有什么关系?安全是影响业务中断的很大一部分可能因素,例如DDoS,入侵导致必须关闭服务自检,数据丢失,用户隐私泄露等。又会有人问:这些归入安全管理即可,为什么要跟BCM扯上关系,做安全的人可以不管这些吗?答案自然是可以不管,就好像说:“我是个Java程序员,JVM、dalvik(ART)运行原理不知道又有什么关系,完全不影响我写代码!”事实上,BCM提供了另一种更高维度、更完整的视角来看待业务中断的问题。对于安全事件,它的方法论也比单纯的ISMS更具有可操作性,对业务团队更有亲和力,因为任何以安全团队自我为中心的安全建设都难以落地,最终都不会做得很好。
(6)安全品牌营销、渠道维护:CSO有时候要做一些务虚的事情,例如为品牌的安全形象出席一些市场宣介,presentation。笼统一点讲,现在SRC的活动基本也属于这一类。
(7)CXO们的其他需求:俗称打杂。这里不要理解为让安全团队去攻击一下竞争对手的企业这样负面上的事情,而是有很多公司需要做,但运维开发都不干,干不了或者不适合干的事情,安全团队能力强大时可以承包下来的部分。
BCM在很多人眼里就是DR(Disaster Recovery,灾难恢复),DR其实只是BCM中的一个点,属于下层分支。不过这对技术领域的人而言是最直观的部分,DR在互联网企业里由基础架构部门或运维主导。不过强势的甲方安全团队其实也是能参与其中的,而BCP(Business Continuity Plan,业务持续性计划)中的很大一部分跟安全相关。
在互联网行业,安全工作可以概括为以下几个方面:
信息安全管理(设计流程、整体策略等),这部分工作约占总量的10%,比较整体,跨度大,但工作量不多。
基础架构与网络安全:IDC、生产网络的各种链路和设备、服务器、大量的服务端程序和中间件,数据库等,偏运维侧,跟漏洞扫描、打补丁、ACL、安全配置、网络和主机入侵检测等这些事情相关性比较大,约占不到30%的工作量。
应用与交付安全:对各BG、事业部、业务线自研的产品进行应用层面的安全评估,代码审计,渗透测试,代码框架的安全功能,应用层的防火墙,应用层的入侵检测等,属于有点“繁琐”的工程,“撇不掉、理还乱”,大部分甲方团队都没有足够的人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的SDL,这部分是当下比较有挑战的安全业务,整体比重大于30%,还在持续增长中。
业务安全:上面提到的(2),包括账号安全、交易风控、征信、反价格爬虫、反作弊、反bot程序、反欺诈、反钓鱼、反垃圾信息、舆情监控(内容信息安全)、防游戏外挂、打击黑色产业链、安全情报等,是在“吃饱饭”之后“思淫欲”的进阶需求,在基础安全问题解决之后,越来越受到重视的领域。整体约占30%左右的工作量,有的甚至大过50%。这里也已经纷纷出现乙方的创业型公司试图解决这些痛点。