甲方安全建设推进思路（转）

一、STEP1->合理的网络规划与边界防护：

　　这里其实是一个老生常谈的问题，虽然Google号称消灭网络边界很多年了，至少2015年我就听说过类似的概念，但是目前国内甲方尤其是重资产甲方是无法消灭网络边界的，在短时内也看不到消灭网络边界的可能性。因而合理规划网络环境，做好边界安全防护依然是最最基础的事情。

　　（1）合理规划网络拓扑并不局限于Inside、Outside、DMZ等传统划分，而是根据实实在在的网络联通需求，合理规划自己的布局。

　　（2）合理划分区域，在区域合理规划FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent（流量分析探针，用于APT攻击检测）等设备的部署，和互动互联。

　　（3）ACL配置：互相访问权限应该满足业务需求情况下，按照最小权限原则进行。所有的ACL配置以及相关变动需要保存历史记录，以便于审计。

　　（4）异地分公司通过VPN访问企业内部网络。且需要保证可靠的流量加密算法和足够强度的身份认证管理机制，例如双因子认证，动态认证等措施。

　　（5）云托管化的网络部署，应该在云上做虚拟的网路划分，对网络访问做满足需求下的最小权限分配。

　　（6）部署蜜罐、密网、沙箱的环境，诱导攻击者，发现攻击者、发现供给趋势，用于提供威胁情报、安全决策依据，并在一定程度上保护和隐藏机构内部信息网络。

 

二、STEP2->资产可信可控管理与漏洞管理：

　　对于很多依靠技术起家的互联网甲方目前的资产管理都是一团糟。何况大多数非IT行业的公司。所以对于资产的可信可控高效的组织管理是十分必要的。

　　（1）建立健全资产登记管理系统，这里的资产包含：

　　　　（硬件：计算机、网络设备、工控设备、物联网设备[自动售卖机、自助ATM、只能探头、监视器、摄像头、智能电视，智能办公用具等一切设备、税控设备]、移动互联终端）；

　　　　（软件：自研软件、开源软件、免费闭源软件、付费第三方软件等）；

　　　　（IT虚拟资产：域名、URL、Email、IP、Data->这里指的是所有数据的意思，包含业务和技术数据）

　　（2）定期周期化的做资产变动扫描探测，完善资产list。[需要发现扫描系统，及时发现资产，探测资产的OS、SOFTWARE、DEVICE 等信息，匹配安全情报和漏洞信息]（详情请参考资产发现系统研究）

　　（3）根据资产信息匹配最新的漏洞信息、攻防信息等安全情报，及时打补丁，短时间没有补丁的，可以寻找自己的安全团队或第三方安全团队做临时性安全措施。

　　（4）建立恶意信息库，或者购买第三方恶意信息库，包含但不限于恶意的IP、Domain、URL、Email、Hash 与自己的资产、不明样本进行匹配分析，实时最好。发现恶意攻击行为，恶意样本、陷落主机。

　　（5）及时安装补丁、升级版本，做好基础加固。

　　（6）基线配置检测，对于所有资产进行安全配置基线检查，根据实际结果进行修改，完善安全配置。

 

三、STEP3->日志收集的大数据分析审计与态势感知：

　　目前大数据与机器学习异常火热，态势感知感念方兴未艾，但是其本质就是日志的收集，整理，智能化分析、以及利用机器学习算法对访问行为建立画像，计算特征，区别正常流量行为与异常流量行为。

　　（1）建立完善详细的日志收集采集系统，例如ELK系统，或者使用Splunk。

　　（2）对大量甚至海量数据进行二次研发，精准分析，匹配规则，及时报警。例如yara规则。modsecurity规则、owasp规则等等。

　　（3）使用机器学习算法对日志进行黑、白、灰分类。实现更加精确的匹配，甚至进行预测未来攻击趋势。

　　（4）建立完整的日志实时传递，备份，保存机制。便于一旦出事可以进行及时的审计、溯源、回复。

 

四、STEP4->建立安全开发流程避免漏洞：

　　（1）第三方或者开源的软件需要进行安全测试或者实时关注其安全动态，例如有没有一直cve等等。

　　（2）自研系统使用的中间件应该做过安全检查，避免使用爆出cve漏洞的中间件，或者历史上爆出多个0day或者漏洞的中间件，例如struts2。漏洞库版本对照可以参照CPE。

　　（3）严格遵照安全开发流程，例如OWASP或者微软的SDL标准，避免使用危险函数等。

　　（4）开发需要经过安全培训。

　　（5）所有产品上线或者发布前，均需经过严格的可靠的安全测试。

 

五、STEP5->业务安全保障机制建立：

　　（1）建立健全内部安全规章制度。

　　（2）做好应急响应的各种储备工作。

　　（3）重要数据多好多种备份，尽量减小对业务的影响。