技术培训 | 探秘互联网企业的安全建设



  • 主题:探秘互联网企业的安全建设

    时间:9 月 1 日 20:00 —— 21:30

    地点:QingCloud 技术分享群,文末有二维码。

    讲师:

    0_1472631412634_20160728QingCloud2016-分会场6-孙维伯 (1)_meitu_1.jpg
    孙维伯,青藤云安全高级安全专家

    业界顶尖的白帽子,在青藤负责安全服务咨询,在入职青藤之前,孙维伯在国内领先的安全公司作为安全专家参与了多个重大安全项目,具有多年服务金融、运营商、互联网行业的安全服务、应急响应和渗透测试经验,对互联网企业如何从零起步构建完善的安全体系有深刻见解。

    本期内容介绍:

    如何向公司上下传递安全防护的价值?如何从零到一,把安全部门从三五条枪建设成强力团队?如何从最小资源依赖构建一套契合企业需求的安全体系?如何持续将安全风险控制在基础线以下,青藤安全专家孙维伯邀你一起探讨互联网企业的安全建设中的各种需求与困惑。

    提问福利:


    『微信评论区』提出问题并被采纳的同学将有机会获得青云QingCloud T 恤一件,数量有限,赶快来提问吧~



  • 大家好,今天给大家分享下企业网络安全防护体系的建立。
    当今面临的网络安全问题很多,由于竞争关系、利益驱动企业成了最容易受攻击的目标。
    最常见的如DDOS:

    0_1472819446044_01f32cfcccfec01e5b40eda993ba1a0b.jpg

    这种攻击往往有国际的政治目的,比如最大的匿名者组织,曾经用DDOS攻击打垮了菲律宾的国家DNS,致使整个国家的网络瘫痪。
    另外这些年来持续的APT渗透也尤为显著,如华为的窃听门事件:

    0_1472819480126_e18c62c273521067ac6c7022b1f97263.jpg

    除了这些之外,由于网络安全事件具有突发性的特点,所以新漏洞的出现,往往波及面会比较广,而且结果严重。
    如心脏出血漏洞,淘宝网也受到了影响:

    0_1472819501065_13e5ff349ad5bf2004da6245a0a05637.jpg

    这个事件发生的时候,好多圈内人开玩笑的说不是在买硬盘,就是在买硬盘的路上。(这个漏洞可以导致没执行一次请求不到1s的时间,取回2个淘宝的账号密码)

    阿里当然在第一时间做出了响应,对漏洞紧急修复,存在问题的网站紧急下线。

    当然后期新闻报道是这样的:

    0_1472819525244_3e402bf819b85f67703a9f4b21d5295f.jpg

    原来这是一个美国早就掌握了多年来的0day,于是我们不禁会问:

    0_1472819541615_2d9d10e917fbc2504454bcaec5da3868.jpg

    再来看目前国内的安全形势也不太乐观,企业上经常出现各种各样的问题,有开发导致的,有运维导致的,也有人员的安全意识导致的:

    0_1472819562075_02866c6cf08c69373511aed65251998b.jpg

    0_1472819582356_56b2c6cfdbaf18cd1350982e02d8ab60.jpg

    应用漏洞,常用开发框架漏洞,随处可见的弱口令,这些都影响着企业的安全。

    所以回过头来我们看,面临着层出不穷的安全事件,新的漏洞在不断的被暴露出来,企业的安全建设一定是一个动态持续的过程,在建立安全体系后经过动态的调整变化,并不会使安全事件或者说是漏洞消失,而是一个持续处于一个稳定状态的过程,

    0_1472819609646_e9bdeaeedc07c72ee6d7ed57d7049dca.jpg

    那么企业安全该如何去建设?从无到有如果快速的拥有一套成熟的安全体系?

    首先,企业安全要落实一件事情,就是人的问题,安全需要由专业的人员来负责,把专业的事情交给专人去做:

    0_1472819628792_695a799909fd76f9f1e308c700ff77f1.jpg

    确定相关的责任人后,再明确安全投入的方向,最终需要将安全与自身业务结合落地。

    有的企业是做互联网电商的,有的是互联网金融P2P领域的,每个企业的业务都有自身的特点,贴切自身业务的安全才是最合适的。

    这时候经常会有企业问,如何才能找到安全的专业人员?

    安全的专业人员通常都需要具备各个方面的专业技能,安全是一个很复杂的技能,也是一门手艺。

    比如各样的手艺人?

    0_1472819690292_df6c105f77537a502a49d4aa17e64b3e.temp.jpg

    不同的艺人的有不同的特点,安全的技能和其他的艺人技能一样,也是一门技艺。

    企业找安全的人员一定要注意:1.遵纪守法,安全是个高危行业,就每天押运金库的保安员一样,不能监守自盗。2.人员的自身素质过硬,最好是有过相关的从业经验。3.人员的知识面要全,做安全一定要有较宽的知识面。最好是上知天文,下晓地理,能掐会算(不要打我……)

    人员到位后,接下来企业就该投入了,想要建设好安全,一定要舍得投入,在正确的方向上有一比恰当的安全投入,这些投入点一定是自身业务安全最需要的薄弱点,比如做网站的,可能需要建立一套WAF,做游戏的行业最怕DDOS攻击要有相应的流量清洗(这也就是刚才提问的问题)

    当然钱也不能乱花,不然买来一堆的设备只能变成玛奇若防线

    0_1472819746298_22e8fa0a56b91845f41770b8a0dcf009.jpg

    常见的安全防护产品布局:

    0_1472819773657_56a6ae8cce79fbb2f2e8ad7e56b57194.jpg

    这种产品能解决一切安全问题?

    比如有WAF就能低于黑客的防御了?

    0_1472819799723_f76e5cfcb058241be9ad7074c6fceb06.jpg

    攻守双方永远是持续的对抗,WAF的规则防御存在被绕过的风险,如:

    0_1472819821024_f2aa235efe3d1d40337cda62ed6ef774.jpg

    传统的安全目前已经不能满足企业网络内部资产动态变化的需求。

    目前随着大量的敏捷开发,业务量大量的更迭扩大,资产难以监管已经成了首要的问题。

    这个时候就需要一套持续的安全体系来跟随企业内部资产动态的变化而做出持续的安全响应。

    比如青藤云再做的自适应的安全体系:

    0_1472819853795_4e03bc641f5b80cdb2fbaac9c39387b9.jpg

    这里对自适应安全体系做一个介绍:

    应急事件响应

    • 持续响应,将欠安全设置为常态,从“救火”的状态转变为持续安全响应
    • 采用自适应安全架构,多种安全能力联动。

    需要2个恰当的例子,形象的说明“联动”这件事,它们之间是如何联动的?

    下面描述的传统方案的问题,如果前面针对互联网企业没有提到,在此要讲一下。

    • 风险分析

      • 目的
        清晰的了解当前的状况。有哪些资产?有没有弱密码?有哪些漏洞?系统配置有没有风险?等等
        明确安全投入的方向
        检验安全投入的效果,使其清晰可量化。(风险降低是指标,可以量化)
      • 传统方案的问题
        • 周期长,很久才进行一次风险分析
        • 分析的还不准
        • 操作成本高
    • 攻击防御

      • 目的,快速有效的搭建起防御体系
      • 传统方案的问题,都是单一的解决方案,不是按需来使用配置的,不能满足不同用户快速变化的需求。
    • 入侵检测

      • 目的,持续的监控分析恶意醒悟,一旦发现入侵立即响应处理
      • 传统方案的问题
        • 报警很多,需要专门有人维护。报警多有一个原因是对风险的评估不准确,很多误报
        • 成本高(SIEM类产品),产品本身很贵,需要海量存储空间又提高成本,而且需要额外购买规则
    • 回溯分析

    • 风险分析和检测是重点,而不是在拦截。要突出强调这个观点。

    • 有完整安全流程制度保证落地执行

    我们从企业内部收集企业的资产信息,做持续的风险分析,然后根据不同的业务系统进行加固和隔离从而进行攻击防御,同时进行持续的入侵检测。

    最后面临存在的安全问题,对发现的安全风险做持续的修复以及出现的安全事故进行回溯分析和还原整个路径。

    在出现安全事故时做到第一时间感知到系统存在的风险,对入侵的攻击事件做日志还原,还原攻击者究竟做了哪些,然后对发现的问题进行漏洞的修复。

    在出现安全事故时做到第一时间感知到系统存在的风险,对入侵的攻击事件做日志还原,还原攻击者究竟做了哪些,然后对发现的问题进行漏洞的修复。

    除了建立企业内部的青藤云安全自适应安全体系外,安全还需要专业的人员去落地。

    如从人员的角度去看,安全是分为这四大维度:

    0_1472820035482_8566181f8c7333503e95824dc3148ef7.jpg

    不同的维度需要安全人员具备不同的技能。

    当有了相关的防护体系和人员技能后,我们还需要对不同的业务系统进行安全评估

    安全评估的方面很多

    通常的安全评估涉及到了:漏洞扫描、配置检查、渗透测试、代码审计等:

    0_1472820064874_82cecfe73f867d9a7e98ca15299372a6.jpg

    安全评估的对象也很多,如可以对网站、手机APP、智能硬件设备等进行全面的安全评估

    安全评估只是发现问题再去修复的角度。

    当安全评估建立起来后,还需要对开发进行持续的约束,这个时候从开发介入安全就尤为的重要

    比如开发中的安全生命周期的,建立完善的开发安全体系

    为什么要从开发介入安全?

    发现安全问题去解决不就可以了吗?

    从产品修复的成本来看,事后发现问题再去修复往往要投入的成本比从开发阶段介入安全大的太多了

    0_1472820122698_6ff42ec04455b8bf1f7d6f463f6b683b.jpg

    当在设计阶段就加入的安全建模识别风险时,一个企业的开发就具有了安全开发的模型和思维。

    谈完了安全开发以后,我们再来看安全基线体系,每个企业都会有自身的安全基线体系。

    这些基线体系的建立过程也需要长期的动态建立:

    0_1472820149508_c31a32bca4bad1d63287a2f209dd2293.jpg

    当业务安全从安全评估,开发安全,到安全基线体系三大体系建立完成后。

    其企业的安全建设才初具规模。

    但是,最重要的问题来了

    0_1472820178303_d1d9203d1e8ee95218e9986cd8855241.jpg

    安全最基础的问题是人

    企业内部人员的安全意识培养和教育显得尤为的重要

    比如邮件钓鱼以及社工等手段窃取公司的重要信息。

    通常企业的财务,行政人员的安全意识较差,经常会收到冒用领导发来的问询企业内部财务,行政信息的邮件,这些人员不假思索的便把整个企业的信息发给了标题为:某某总问询的邮箱中。

    还有今年年初最火的邮件勒索病毒:

    0_1472820211490_e5e02568530daface83fb58fb2280ca7.jpg

    企业刚开始没有人点击,当企业的安全管理员提示大家不要点击后,却有一堆人中招了,硬盘被加密锁住了,时候去询问这些人员时候,得到的答复却是处于好奇,就像看看邮件病毒长啥样……

    所以 企业安全制度的最后一个环节是人员安全意识,一个企业一定要有自己的安全规章制度去落实

    刚才想给大家看下我们内部的规章制度

    发现有些太敏感,所以以后脱密后再发给大家参考了。。。

    最后给大家提供一些日常安全办公的参考:

    0_1472820241116_83342f1db8e6cd12a78fd8397779a40e.jpg

    企业日常需要从这些方面去加强。

    最简单的比如移动存储

    U盘不能随便插我们知道。

    但是U盘里的文件是可以被很容易的恢复的。

    其实这种恢复的资料不仅局限于U盘,比如iphone,有专门的iphone资料恢复软件。

    好多人把照片,录像等存储过类似资料的iphone删除后转让给了二手商家。

    这些资料如果被恢复了 对个人 的影响是巨大的。

    之前有明星出过类似的事件。

    最后重要的客户资料要加密存储

    比如我们公司使用的加密软件:

    0_1472820271467_025ce84f2d09a1a79087bcec9be25c9c.jpg

    或者使用bitlocker对驱动器加密:


登录后回复
 

与 青云QingCloud 社区 的连接断开,我们正在尝试重连,请耐心等待