.你就拿到了通向未来CISO的钥匙!

掌握企业安全建设的1+1+N, 你就拿到了通向未来CISO的钥匙! 企业安全未来方向在哪里? 经常有安全的朋友吐槽: 1、信息安全涉及的东西太多,从法律合规、网络、服务器、开源组件、办公设 备、开发、云、大数据,甚者以后的智能设备,现在科技变化这么快,什么都需 要懂,学不完; 2、现实中也没有百分百的安全,经常背完这个“锅”,又要背下一个“锅”,做 安全的太难了,未来企业的信息安全到底应该怎么做? 从中国企业正在发生的变化看未来安全的方向? 1、当前产业正在发生什么变化? 中国改革开发40+年,经历了制造业的大发展,也经历了互联网的高速增长。但是双方都想惦记着 对方的一亩三分地,互联网企业想在高端制造分一杯羹,制造业又想用互联网思维提升企业生产管理水 平,这种软件与硬件的强化融合,造就了产业互联的大趋势,这种趋势下科技赋能业务,业务不断科技 化,成本不断降低、效率不断提升产品不断创新,这就是当前产业正在发生的变化。 2、未来5年企业信息安全会朝什么方向发展? 安全伴随科技而生。在产业互联转型的大趋势下,信息安全就是生产安全,安全必须融入业务。企 业的安全人员也要基于企业的信息化和科技架构绘制安全业务全景图。 未来安全业务架构-一句话安全 从以上的分析,我们可以了解到几个基本信息: 1、未来5年产业互联网转型是个大趋势; 2、安全伴随科技而发展; 3、安全需要融入业务就像质量之于产品,安全需要成为业务的一部分。 基于这些,我提出了一句话的安全业务架构:安全的员工,使用安全的设备,经过动态的鉴 权,精细化的授权,访问安全的系统。 一句话安全如何落地? 如果我们认为至此就可以开心地跟公司说出伟大的目标,那就想多 了,因为业务永远是第一位的,安全团队需要想好一切。 1、如何通过技术落地一句话安全? 2、一句话安全建设的路径和阶段如何? 3、需要多少时间和人力才能完成一句话安全的建设? 一、一句话安全必须以产品思维落地:1+N,实现安全业务的信息化、自动化、数据 化,甚者智能化。 1指的是一个安全运营平台-安全ERP:这个平台主要是处理安全业务的主逻辑,实现安全业务的信息化和数据化。 1)作业中心,着重风险闭环,通过信息化产品固化安全作业,降低对熟练人工的依赖。主要内容含全面的资产管理、风险的闭环 处置。 2)稽查中心,着重人工触发的风险稽查任务。主要内容含SRC、安全评审、例行检查、专项检查。 3)数据安全中心,着重数据在使用流转过程中的风险管理。内容含业务导数管理、DBA敏感操作管理、大数据平台安全、敏感数据 轨迹。 4)预警中心,着重应急响应,通过及时的告警数据,提高应急响应的速度和全面性。预警中心内容含:终端日志、账号日志、网 络日志、服务器日志、应用安全日志、授权日志、数据安全日志、安全设备日志、以及可疑场景类告警,如攻击类、泄密类、违规 类等。日志分析也是多层次分阶段实现的,从简单的告警规则,到聚合类分析,再到利用AI模型的自动分析。 5)报表中心,着重风险趋势和效能分析,实现企业风险的透明化、安全团队任务的透明化。主要内容含:产品安全质量报表、办 公安全报表、系统运营过程中的风险分布图、数据安全报表、安全人员效能分析报表、用户行为分析报表及轨迹数据等。 6)评分中心,着重企业安全水平评价,尝试通过各领域的风险指数以及能力指标评估企业安全成熟度。主要内容含员工安全素 养、攻击者视角的防护能力、内部人员违规泄密的管控能力、日常运营能力、应急响应速度,以及风险发现的自动化率等。 一、一句话安全必须以产品思维落地:1+N,实现安全业务的信息化、自动化、数据 化,甚者智能化。 N指的是围绕一句话安全架构,能够与安全ERP对接的各类安全产品,实现安全业务的产品化、自动化。 1)终端安全系统,该系统解决的是业务系统之外数据的安全管理、以及设备使用过程中的安全合规监管,涉及的内容非常多,此类 产品的开发涉及到OS比较底层的技术。日志和异常入安全ERP中处理。 2)员工安全系统,着重通过信息化提升员工安全素养,主要包含安全场景互动、安全培训考试、安全测试复核等模块。每个员工的 状态会放到安全ERP中处理。 3)鉴权中心,着重员工接入系统前的安全及合法验证。主要包含员工账号、设备、位置、行为等的识别和执行,具体如何是安全合 法,每个企业可以根据企业的要求自行配置。日志和异常入安全ERP中处理。 4)授权中心,这个产品做成什么样子取决于企业IT水平的现状。如果你的企业有应用门户,并且应用大都是自研的,那就可以做到 模块、行、列的细粒度授权。如果是网关形式,那只能考虑基于域名、IP、协议等的授权。日志和异常入安全ERP中处理。 5)应用安全自动化,这类系统大家都知道,其中每个具体风险的处置,会放到安全ERP中处理。 6)基础安全自动化,这个系统

  • 2021-06-22
  • 阅读139
  • 下载0
  • 11页
  • pdf

零信任实践.从远程办公开始

联软与零信任网络访问 ~2004 网络访问控制 (NAC)架构 2004 Jericho Forum 去网络边界化,限制基于网络的隐式授权 2010 Forrester提出 “Zero Trust”概 念 2014 Google发布 “BeyondCorp” 2017 O’Reily出版 <Zero Trust Networks> 2019 NIST SP 800-207 Draft 2004 中国最早的NAC厂商 2012 基于终端代理的进程级 网络访问授权 2011 基于角色的场景化 动态最小授权 2013 EMM 可信接入代理 人员、设备、应用 分层独立授权 2015 无口令战略 PC 移动智能设备联动 2017 基于零信任架构的SDP 产品 2019 UEM统一端点管理战略2020 华为、安恒零信任生态 SDP+UEM的软件定义 访问战略 美国国家标准与技术研究院 发布SP800-207: Zero Trust Architecture 草案第二版本。 2020年: 构建可控的互联世界 构建可控的互联世界 联软一直致力于推动零信任的发展 今年,CSA大中华区率先在国内推出零信任专家 认证CZTP,CZTP是零信任领域首个面向个人的 安全认证。 官方授予联软:种子讲师 一名,认证讲师 两名。 入选 《CCSIP 2020中国网络安全产业全景图》 标准的制定与赋能 大量客户实践 构建可控的互联世界 构建可控的互联世界 NIST NCCoE 《实现零信任架构》草案版 (2020年3月发布) NIST NCCoE 《实现零信任架构》正式版 (2020年10月发布) 零信任最新变化:从理念走向落地 构建可控的互联世界 构建可控的互联世界 零信任主要落地方向与产品 构建可控的互联世界 SDP 与 零信任 Gartner:ZTNA=SDP NIST:SDP作为ZTA推荐实现方案 CSA:SDP是零信任的最高级实现方案 构建可控的互联世界 构建可控的互联世界 技术层面 ? 代理程序支持哪些操作系统 ? 是否支持SPA ? 是否集成UEM,对设备进行安全状态评估 ? 是否集成UEM作为数据采集,集成UEBA 进行上下文分析,进行持续信任评估 以上来自Gartner 2020 ZTNA市场指南 ROI层面 ? 是否可以解决已存在的安全现实问题和 发现未知的安全威胁? ? 是否可以在未来一定时间范围为信息化 系统的发展持续提供安全保障? ? 是否可以顺畅对接现有安全投资,在此 基础上还需要多大的持续安全投入? ? 是否可以满足上级机构和国家对于信息 化系统的安全检查要求? 实施层面 整体规划、分步建设、逐步验证 ? 以终为始确定愿景 ? 根据业务重要程度及风险影响进行优先 级排序 ? 优先在新场景中验证 零信任架构增强 ? 现有的NAC/EPP/AV/EDR/SIEM/威胁情 报等安全建设对零信任起到增强的作用 ? 要充分考虑集成和融合 以上来自中国信通院 企业评估ZTNA(SDP)从哪些方面来考虑 构建可控的互联世界 构建可控的互联世界 联软SDP产品架构 加密隧道 控制平面 数据平面 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 可信API代理 个人/企业设备 业 务 访 问 CRM OA 邮件 业务C 业务A 业务B 私有云 公有云 数据中心 外部应用 接口调用个人计算环境 多域安全沙箱 本地磁盘 多域安全沙箱 可信接入代理 UEBA 威胁情报 SIEM IAM 态势感知 资产管理 安全应用 个人应用 可信接入代理 SPA1 计算环境 物理环境威胁 环 境 感 知 全面身份化 基线 行为 持续信任评估 基线 应用 设备 人员 234 数据安全组件 端点安全组件 安全分析组件 身份与访问管理组件 构建可控的互联世界 SPA SPA 非法终端 SPA验证通过 控制器开放TCP端口 控制器不做回应 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 个人计算环境 安全计算环境 本地磁盘 安全计算环境 默认不相信任何连接,对核心资 产进行隐藏: ? 满足最小授权 ? 缓解对核心资产的扫描探测 ? 缓解DDos攻击 ? 缓解漏洞利用 ? 缓解非法爬取价值 安全应用 个人应用 1 合法报文 构建可控的互联世界 全面身份化 SPA 身份人员身份 账号密码 多因素 生物特征 员工状态 验证正确 扫码登录 指纹在职 设备归属 设备os 设备标识 软件标识 BYOD Windows 硬件ID 助手ID 证书校验 安全版本 通过通过 设备身份 应用身份 控制平面 数据平面 临时、动态身份标识 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 构建可控的互联世界 环境感知 SPA 物理位置 曾经登陆 登陆时间 上海是正常 普通环境

  • 2021-06-22
  • 阅读146
  • 下载0
  • 32页
  • pdf

.浅谈大中型软件企业信息安全建设

浅谈大中型软件企业信息安全建设 2020年11月27日 科大讯飞安全架构师 钱君生 议题概要 在业界,谈论互联网、金融或运营商安 全建设的比较多,谈论大中型软件企业安全 建设比较少。实际上,大中型软件企业在当 下的IT企业中占有很大的比重,就大中型软 件企业的信息安全建设来说,与互联网企业、 金融企业存在着很大的差异性。本次分享将 结合大中型软件企业安全建设的过程,讨论 相关实践细节。 关于我 OWASP中国安徽区域负责人,现就职科大讯飞集 团公司,任安全架构师,是开源图书《BurpSuite 实战指南》、《API安全技术与实战》(机械工业 出版社)编写者。 Contents 01 大中型软件企业业务特点 业务形态以2B交付为主、产品 交付与项目交付并存…… 02 业务对安全建设的挑战 安全职责、预算、投入均 不对等、安全环境复杂…… 03 安全建设实践思路 多模型融合的安全体系、关键安 全策略…… 议题大纲 04 未来展望 未来想做的事…… 大中型软件企业业务特点 大中型软件企业业务特点 ? 业务形态以2B交付为主 ? 产品交付与项目交付并存 ? 客户对象主要是企事业单位 ? 业务开展以项目制形式 ? 通常需要开展招投标和采购活动 ? 系统集成和软件产品集成 ? 业界有甲方爸爸一说,客户在业务中占主导 地位 ? 企业的业务开展围绕收益展开 ? 在不断的项目交付过程中,积累自己的基础平台 或产品; ? 典型的产品如ERP、HRM、CRM、OA等 ? 围绕项目建设内容,采用产品交付+定制来完成 项目交付 业务对安全建设的挑战 1 安全职责、预算、投入均不对等 | ? 安全事件板子打在客户方,肉疼在厂商 ? 甲方爸爸关心安全,但往往没银子 ? 安全工作必须要做 ? 利润或收益减少,投入可能无收益 2 安全环境复杂难以标准化 | ? 不同的项目,环境不一样 ? 不同的客户,要求不一样 ? 不同的行业,标准不一样 ? 不同的预算,内容不一样 3 业界最佳实践参照样本缺乏 | ? 业界谈论金融、互联网企业多,谈论软件企业的少 ? 业界最佳实践参照样本少,有头部企业做得好,但很少公开说 ? 更多的是落后同时代的其他IT企业,在摸着石头过河 多模型融合安全建设思路 ? 安全建设思路围绕业务的生命周期开展 【图片来源/网络】 业务对象:信息系统 ? SAMM ? SDL ? 等保 ? ISSE 落地实施关键安全策略 分级分类策略 01 底线管控策略 02 DevSecOps管道化策略 04 数字化平台运营策略 05 公共组件策略 03 分级分类策略 ? 为什么要分级分类 ? 内外部安全要求不一样 ? 产品成熟度不一样 ? 安全投入不一样 ? 如何分级分类 ? 从定性和定量两个方面制定分类标准 ? 挑选对安全影响至为关键的指标 ? 常用指标项 产品成熟度 系统重要性 风险暴露面 监管要求 中断成本 业务连续性要求 指标项评分*指标权重 底线管控策略 ? 为什么要底线管控 ? 明确最低安全要求 ? 防止安全投入不足 ? 如何底线管控 ? 发布底线要求(精简、明确、利于执行、周期调整) ? 制定底线管理办法 ? 建立审查和惩奖机制 ? 常用底线管控样例 ? 合规性管控底线,比如:APP应用必须参考《APP违法违规收集使用个人信息行为认定方法》进 行上线前合规检测 ? 技术路线选型管控底线,比如:禁止使用GPL协议产品或代码;禁止使用fastjson ? 运维部署管控底线,比如:禁止存在高危漏洞的应用系统上线发布;禁止高危端口对互联网开放; 公共组件策略 安全组件库 系统A1 系统A2 系统… 系统An ESAPI 统一认证平台 防破解系统 API网关 安全文件存储 数据安全平台 业务模块1 业务模块2 安全组件1 业务模块1 业务模块2 安全组件2 业务模块1 安全组件n 业务模块1 业务模块2 安全组件n ? 专业的人做专 业的事 ? 通过安全组件 的复用,降低 软件架构的安 全风险 输入型攻击 身份认证 会话管理 访问控制 代码破解 API安全 文件与资源安全 数据隐私 安全审计平台 日志与审计 OWASP安 全验证类型 产品示例 安全组件n DevSecOps管道化策略 代码仓库 自动化测试 关键评审 开发人员提交代码 到代码仓库 自动化安全测试 质量管理 自动化发布 数据库 防火墙 云虚机 持续集成 持续发布 基础设施 数字化运营策略 安全BP:项目管理系统数据 质量工程师:质量审计数据 漏洞扫描平台:漏洞扫描系统数据 渗透测试工程师:人工渗透测试数据 DevSecOps平台 系统收集 系统收集 安全扫描平台 日常收集 数据汇集 数据分析 安全运营分析 决策/改进措施 ? 安全事件数、安全事件危害等级 安全事件 ? 线上发现问题数、底线管控

  • 2021-06-22
  • 阅读141
  • 下载0
  • 16页
  • pdf

电子邮件攻击趋势与应对.最佳实践分享

电子邮件攻击趋势与应对 最佳实践分享 郑聿铭 Disclosure Case studiesandexamplesfromour experiencesand activities working for a variety of customers,anddo not represent our work for any one customerorset of customers. In many cases, facts have been changed to obscure the identity of our customersandindividuals associated with our customers. ?2019 FireEye ?2019 FireEye 邮件安全是老生常谈? Gartner 2019 Gartner 2020 ?2019 FireEye 电子邮件威胁现状 92% 的攻击从邮件开始 高级威胁持续快速演变 #1 vector for cyber attacks 邮件高级威胁分类 1. 仿冒攻击(BEC) 2. 恶意附件 3. 恶意链接URL ?2019 FireEye ?2019 FireEye 恶意软件攻击与无恶意软件攻击 7 MALWARE MALWARE-LESS 被阻止的攻击中没有 恶意软件 90%? 仿冒 ? CEO欺诈 ? 鱼叉式网络钓鱼 ? 供应链 欺诈 被阻止的攻击中 包含恶意软件 10%? 病毒 ? 勒索软件 ? 蠕虫 ? 间谍软件 ? 特洛伊木马 Source: FireEye (August 2018). Get One Step Ahead of Email Threats, Email Threat Report for January-June 2018. ?2019 FireEye 8 $125亿 全球因CEO欺诈而蒙受的损失 ?2019 FireEye 9 92% 攻击始于电子邮件 2810亿 每天发送的电子邮件 ?2019 FireEye 10 78 日 发现数据泄露的平均时间 $390万 平均每次泄露的损失 ?2019 FireEye 全球的企业电邮攻击 (BEC) 正在增长 11 Source: Beazley (March 2019). 2019 Breach Briefing. 133% 2017-2018 BEC 增长 2018 年被 BEC 针对的行业 Financial Institutions 金融机构 27% Healthcare 卫生保健 22% Education 教育 12% Professional Services 专业的服 务 11% ?2019 FireEye 您确定您的团队不会点击

  • 2021-06-22
  • 阅读184
  • 下载0
  • 36页
  • pdf