本书分为三部分,第一篇是理论部分,第二篇为技术部分,第三篇为实践部分
第二部分--技术篇
一、办公网络安全
为什么要讲办公网安全,因为现在的渗透方式很多都是曲线迂回,对生产网络没有办法的时候通过绕到办公网,然后渗透到生产网的方式攻入内部,所以说办公网的安全也是非常重要。传统的中小企业对于办公网安全最多就是划分一个VLAN,安装一个杀毒软件就完事了。那么对于生态级或平台级企业如何做办以网络安全呢?
一、划分安全域
根据办公PC的重要程度来划分安全域:重度PC、中度PC、轻度PC。像研发、运维人员对于电脑配置和网络环境要求比较高,这类PC就应该划入重度PC,对于客服、销售人员平常只用上一下CRM等系统就可以划到轻度PC。对于服务器和办公网环境必须划分安全域,随着服务器数量的增多还需要划分安全子域。对于员工桌面环境,可以划分安全子域。
二、终端管理:补丁管理、组策略、HIPS、NAC网络准入
基于BYOD的移动办公环境,需要严格对访问进行限制。必要时可以上保垒机对于运维操作进行审计。补丁方面可以利用第三方的软件类似有LANDdesk等,或者微软自带的WSUS等。组策略可以根据主机中固策略做。
三、DLP
主要是研发和财务方面的数据非常重要,不能轻易就流出本公司,可以上此类的数据防泄密产品。像赛门铁克之类的。
四、UTM、FW、IPS、AC、防垃圾邮件、网关防病毒等
通过在边界部署相关设备对办公网络进行监控,像上网行为管理可以对办公网的员工进行监视。办公边界部署安全设备可以有效阻拦垃圾邮件和病毒。
五、VPN
远程访问最好是要只允许访关保垒机,通过保垒机进行登录后才能进行操作。
六、介质管理
像分保要求一样,对于U盘口进行封堵,最好是机箱上锁。对于移动介质做审计。
二、网络安全
一、NIDS
像绿盟、启明这样的公司主要提供针对传统企业的安全防护,像NIDS、NIPS等。这个主要是站在乙方的角度来看问题。像平台级的公司可能会老虑开源的SNORT来做网络层面的监控。甚至是全站全流量的监控。
二、T级DDOS防御
DDOS终深防御体系:第一层ISP近源清洗,第二层CDN硬抗/云清洗,第三层DC级近目的清洗,第四层OS/APP层搞CC。增加带宽也是抗D的一种有效方式。
三、WAF
cname部署、module部署、网络层部署\混合部署
三、漏洞扫描
周期性的漏洞扫描对于业务系统的安全还是非常重要的,对于互联网企业来说可以构建分布式的漏扫平台对全网业务系统进行扫描。通过调 API实现大规模扫描。不过本书对于漏扫描述比较简洁 ,大概也是因为漏扫的技术含量在大件看来不是很高的缘故吧。
四、代码审计
代码审计这一章也描述得比较简单,讲了自动化的审计产品---Coverity
五、移动应用安全
移动互联网时代,基于手机端APP的安全越来越重要,移动端的安全有什么要注意的地方?移动端的安全其实也或多或少用传统的WEB安全那套来进行安全管控,像沙箱机制,代码审计,安全加固等,作者简单描述了两种移动端的主流系统安桌和IOS,针对这两种系统的一些安全应对方法。作者在业务架构分析中提到要明确业务逻辑的判断哪些是放在服务端哪些是放客户端在架构设计时就要进行明确。
六、基础安全措施
基础部分的安全措施主要是:安全域的分划,访问控制策略做好,做好主机端的漏扫加固操作,同时管理方面的制度也要建设好。做好服务器4A(账户、审计、授权、访控)这里作者提到要注意办公网络和生产网络的权限控制,避免通过办公网作跳板攻入生产网。对于主机的安固可以从底层内核层来进行加固操作。同时还要做好补丁管理、日志审计、网络层面的ACL。
七、入侵感知体系
1、主机入侵检测,利用开源产品OSSEC等,其实有点类似于HIDS产品。上类开源产品如果真要能适合生产业务和需要,得进行二次开发,特别是一引起插件。
2、RASP
目前主流的WEB开发框架是基于PHP和JAVA语言,作者详细介绍了PHP RASP和JAVA RASP的检测方法和技术架构
3、业务层面的主要是检测Webshell的能力:基于静态文件的检测、基于流量的检测则是通过分析HTTP请示的数据进行分析。
4、数据库层面的话主要是对数据库作审计:旁路型(传统乙方厂商最常见的部署方式)、主机型、代理型
5、建议入侵数据分析平台,类似于360的天眼系统。或者基于ELK自行开发的。大数据首先是要选择好架构,对于收集的数据要进行精简和结构化。去重和去躁音后再进行存储。然后要进行多维度关联分析。总结为:入侵事件数据化---入侵检测模型化----事件分析平台化。
6、对于僵尸网络如何进行防护
7、安全运营
八、防御架构原则
攻防对抗主要体现在三个层面:信息对抗、技术对抗、运营能力对抗。信息对抗:知已知彼、情报优势;技术对抗:高维防守、建立优势、工程化;运营能力对抗:闭环运营、执行力
互联网企业核心需求:快速检测、有限影响、快速溯源、快速恢复。
攻击者视角三种方式:一种是直接正面进攻,先获得上层应用的权限,然后上传webshell,间间获得系统shell,最后提权获得rootshell。这是一般最常的攻击方式。第二种是从正面进攻无果后,从周围信任域开始下手,像灾备或镜像站点、可会话中间人、相同内网、密码满足同一规律、互联互通信任关系等。获取一占后再折返用第一种方式攻击。第三种是直接针对生产网络不行的时候通过社工的方式,针对管理员或办公网的APT攻击,水坑攻击。
互联网安全架构设计原则
1、纵深防御
2、多给防御
3、降维防御
4、实时入侵检测
5、伸缩性、可水平扩展
6、分岸上式IDC
7、支持自动化运维
8、低性能损耗
9、能旁路则不串联
10、业务无感知
11、去“信息孤岛”
12、TCO可控
九、安全管理体系
1、相对管理体系全集
传统厂商一般用的安全管理体系是ISMS,互联网公司可以结合自身可以ITIL+SDL+SAMM为骨架的方式。
2、组织
3、KPI
4、外部评价指标
攻防能力、视野和方法论、工程化能力、对业务的影响力
5、最小集合
对于创业型公司,在流程层面需要应对以下几个方面:
1、建立事前的安全基线,各种安全编程规范、运维配置规范等;
2、事中的发岸上&变更环节的安全管理;
3、事后的救火机制;
4、把救火逐步转化为防御机制或对现有安全策略升级的流程
5、整个公司或至少业务线级中国日报 周期性风险评估,
资 产管理、发布和变更流程、事件处理流程、安全产品研发、第三方合作(SRC)平台同样非常重要
10、隐私保护
第一部分 理论篇
第3章 甲方安全建议方法论
1、从零开妈,三张表:第一张表:组织结构图,第二张表:线上产品(服务)和交付团队的映射 ,第三张表全网拓朴图、物理部署图、各系统间的调用关系、服务治理结构、数据流关系等。
ITIL SDL ISO27001