信息安全体系管控

安全意识

安全指标管控体系

mindmap
  root)安全考核指标(
    B))系统风险管理((
      主机入侵监控
      主机\中间件漏洞管理
      配置管理
    E))数据安全管理((
      对外数据交换
      敏感数据加密
      敏感数据屏蔽展示
      App/SDK隐私保护
      个人数据授权管理
      数据出境安全
    A))开发风险管理((
      上线前安全扫描
        fortify
        App加固
        专项安全系统(如安恒明鉴的漏洞扫描与web安全分析)
      上线后漏洞管理
      	量下降
      	无逾期修复
      SDL(安全开发生命周期)流程机制
      	SDL线上化率
      	流程至少包含安全测验、需求评审、安全设计、安全测试
      渗透测试机制
      	所有版本上线前都要提交渗透测试
    C))应急响应与风险控制((
      信息安全事件
      蓝军模拟与攻击发现
      通用漏洞及时修复
      触犯信息安全红线
      安全响应及时率
      高风险复现
      	安全标准不执行
      	专项整改不到位
      	同一类型问题反复出现(如弱口令,越权,xss,sql注入)
    D))员工风险管理((
      信息安全违规
      账号权限每月梳理
      终端安全管控
    F))业务风险管理((
      业务风险监控
      业务风险防控
        潜在攻击场景(如活动秒刷)部署统一验证码
        评论发帖场景接入合规过滤
      黑名单上报机制

立体问题立体解决

  • 面向开发人员发布代码安全指南。但此无法对抗人员主观错误发生(赶进度顾不上安全完备,或者就是理解不透错误技术实现)
  • 建立检查和卡点机制
    • 默认安全框架组件
    • 嵌入基础设施的代码安全检查(静态扫描+动态安全检查)

OWASP-Top10

  1. 注入:不受信任的数据作为命令或查询的一部分发送到解析器时,会产生注入SQL注入、OS注入和LDAP(轻量级目录访问协议)注入缺陷。攻击者的恶意数据可诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。
  2. 失效的身份认证和会话管理:失效的破译密码、密钥或会话令牌,或利用其它开发中的缺陷来冒充其它用户的身份。
  3. 敏感信息泄露:攻击者可窃取或修改未加密的敏感数据(举例财务数据、医疗保健数据),以进行信用卡诈骗,身份盗窃或其它犯罪。因此要将敏感数据加密,这些数据包括:传输过程中的数据,被存储的数据以及浏览器交互数据。这点上提议应广泛启用HTTPS协议,并将cookie安全属性设置为HttpOnly(禁js访问)+ secure(仅限HTTPS传输)
  4. XML外部实体:许多较早或配置不佳的XML处理器 展开了XML文档中的外部实体引用,外部实体可通过URI文件处理器、未修复的SMB文件共享、内部端口扫描、远程代码执行等来实施拒绝服务攻击。比较有名的如 Billion Laughs攻击,通过递归定义实体构造109(10亿)个LOL字符,在极小数据传输中造成巨大内存消耗,导致OOM,CPU耗尽等系统崩溃。
  5. 失效的访问控制:未对通过身份验证的用户实施恰当的访问控制,攻击者可利用此缺陷访问未经授权的功能或数据。包括水平越权(同一权限等级内不同用户间,如A访问B的数据)、垂直越权(低权限用户执行高权限用户操作)。
  6. 安全配置错误:是数据中常见的缺陷,这些缺陷包含手动配置错误、不安全的默认配置,未及时修补或升级系统、框架、依赖项和组件。
  7. 跨站脚本:接纳不受信任的、未经恰当验证或转义的数据,或使用可动态创建js的浏览器API时,会出现xss缺陷。XSS缺陷能让攻击者在受害者浏览器中执行脚本,劫持用户会话,污损网站或将用户重定向至恶意站点。
  8. 不安全的序列化:恶意的序列化对象在反序列化过程中会导致远程代码执行,篡改对象数据等行为,以欺骗用户、进行注入攻击和提升权限。
  9. 使用含已知漏洞的组件:组件运行和应用程序相同权限运行,漏洞组件可能破坏应用程序防御,造成各种攻击,造成严重的数据丢失或服务器接管。
  10. 不足的日志记录和监控:不足的日志记录和监控使得攻击者更晚被识别和发现,开展进一步攻击。大多数缺陷研究显示,缺陷被检出时间通常超过200天,且通常不是被内部而是被外部检测方发现暴露。

上面红字点出的三个,属于开发风险管控中可以规避的臭名昭著的多见类型

安全场景的新趋势

2022年,安全访问服务边缘(SASE)和物联网(IOT)身份认证,已逐步开始火热。碎片化的资产管理保护需求和日趋规范的法律法规也是助推器。

2022中国网络安全技术成熟度

物联网身份认证需要考虑到物联网设备的潜在资源限制,所用网络的带宽限制,以及各种物联网实体间的机制性交互。

SASE可针对多种边缘访问情景,提供融合型广域网边缘和安全访问能力;IOT身份认证有助于大量IOT设备与国内个机构建立信任。

数据安全平台

背景

  • 传统的数据安全通过截然不同的产品来实现,DSP增加了数据的可见性和使用范围,也改进了数据控制方式(如未知行为)。

  • 数据安全治理(DSG)是保证合规的关键部分。

特征

  • 以数据发现和数据分类为起点,整合不同类型,存储孤岛和生态系统的数据保护需求
  • 使用后置绑定的访问控制来实现数据保护
    • 数据脱敏
    • 格式保留机密
    • 令牌化
  • 高阶
    • 数据活动监测
    • 数据风险评估

数据发现和数据分类

  • 根据模式匹配和相关敏感度级别,搜索数据并将数据归类,然后将结果记录在存储库中或作为文档中的标签。
  • 数据/数据库活动监测:检测更改并为权限升级/数据更改触发告警,以检测潜在的内外部恶意黑客活动,满足合规要求。
  • 数据脱敏:将数据转换成不可读或至少无法识别的格式,从而允许以合规方式处理数据。
    • 静态数据脱敏:用于为在一个/多个应用程序或进程中处理数据而创建数据集的不可识别副本的过程。
    • 动态数据脱敏:在应用或人员访问数据时,实时应用脱敏操作。
  • 数据库加密(字段/记录)或令牌化:字段级加密通过所有密钥管理,加密和解密操作来保护各个字段和文档。令牌化和格式保留加密会在数据字段加载到应用程序或数据存储时,将数据字段的值替换为替代值,从而保护数据字段
  • 数据风险分析:通过分析数据分类标签,数据访问权限,行为数据及数据存储的配置或漏洞,计算并展示数据风险评分和其它数据风险指标,以在数据泄露发生前主动补救安全和合规方面的不足。