普普安全資訊一周概覽(1029-1104)

作者:

時間:
2022-11-04
01



如何架構(gòu)數(shù)據(jù)安全管理體系




1.數(shù)據(jù)采集階段:內(nèi)部采集系統(tǒng)中新生成的數(shù)據(jù),需要對采集設(shè)備進(jìn)行訪問控制,確保數(shù)據(jù)安全,外部采集要明確數(shù)據(jù)采集規(guī)范、制定采集策略、完善數(shù)據(jù)采集風(fēng)險評估等。

2.數(shù)據(jù)傳輸階段:需要對數(shù)據(jù)傳輸接口進(jìn)行管控,對數(shù)據(jù)進(jìn)行分類分級,使用合適的加密算法對數(shù)據(jù)進(jìn)行加密傳輸。

3.數(shù)據(jù)存儲階段:建立存儲平臺,制定存儲介質(zhì)標(biāo)準(zhǔn)和存儲系統(tǒng)的安全防護(hù)標(biāo)準(zhǔn)。

4.數(shù)據(jù)處理階段:明確數(shù)據(jù)脫敏的業(yè)務(wù)場景和統(tǒng)一使用適合的脫敏技術(shù)。根據(jù)不同的場景統(tǒng)一脫敏的規(guī)則、方法,評估提供真實數(shù)據(jù)的必要性和脫敏技術(shù)的使用。

5.數(shù)據(jù)共享階段:建立數(shù)據(jù)交換和共享的審核流程和監(jiān)管平臺,確保對數(shù)據(jù)共享的所有操作和行為進(jìn)行日志記錄,并對高危行為進(jìn)行風(fēng)險識別和管控。

6.數(shù)據(jù)銷毀階段:數(shù)據(jù)的銷毀要符合數(shù)據(jù)銷毀管理制度,對銷毀對象、原因和流程需要明確,在整個銷毀過程中要進(jìn)行安全審計,保證信息不可被還原,并驗證效果。






普普點評





網(wǎng)絡(luò)的是數(shù)字經(jīng)濟(jì)發(fā)展的基石和重要組成部分,它的快速發(fā)展衍生了許許多多的信息和數(shù)據(jù),數(shù)據(jù)也成為了數(shù)字經(jīng)濟(jì)時代下的重要資產(chǎn)。網(wǎng)絡(luò)安全和數(shù)據(jù)安全也牽動企業(yè)的心,并成為重要的關(guān)注點。要想保護(hù)數(shù)據(jù)安全,企業(yè)需要構(gòu)建數(shù)據(jù)安全管理體系,以上所述六個階段展現(xiàn)了數(shù)據(jù)安全管理體系的生命周期,從建立到銷毀,進(jìn)行全生命周期的搭建和管控。





02



企業(yè)常見內(nèi)部威脅的應(yīng)對方法



1、企業(yè)應(yīng)開展網(wǎng)絡(luò)安全意識培訓(xùn),通過監(jiān)控影子IT、實施安全文件共享最佳實踐和權(quán)限、堅持使用補(bǔ)丁最佳實踐、要求通過VPN或零信任框架等安全措施,來管理員工的網(wǎng)絡(luò)行為。

2、企業(yè)可以要求用戶使用強(qiáng)密碼/密碼短語、多因子或雙因子身份驗證,并定期審查訪問以驗證用戶的訪問權(quán)限。

3、在管理方面,企業(yè)可以通過員工面談、簽到和調(diào)查來加強(qiáng)透明度;在IT方面,企業(yè)應(yīng)定期舉辦網(wǎng)絡(luò)安全培訓(xùn),加強(qiáng)警示教育。

4、企業(yè)應(yīng)確保讓離職員工知道他們不能帶走公司財產(chǎn),并執(zhí)行離職流程,以便在員工離職后終止其訪問權(quán)限。

5、企業(yè)應(yīng)使用最小特權(quán)原則來限制員工可以訪問哪些應(yīng)用程序、網(wǎng)絡(luò)和數(shù)據(jù)。此外,還可以使用監(jiān)控機(jī)制、零信任網(wǎng)絡(luò)訪問等來檢測異?;顒印?/span>

6、企業(yè)應(yīng)確保第三方值得信賴,需查看第三方背景,確保對方可靠后才允許其訪問;應(yīng)落實完備的第三方風(fēng)險管理計劃;定期審核第三方賬戶,以確保工作完成后系統(tǒng)權(quán)限被終止等。






普普點評





高科技企業(yè)的內(nèi)部威脅論早已廣泛傳播和引起眾多業(yè)內(nèi)人士的共鳴,越來越多的數(shù)據(jù)、案例向我們展示了企業(yè)內(nèi)部的威脅對企業(yè)整體信息安全的影響,信息安全中“個人”是最難控制的安全風(fēng)險因素,它就像一顆埋藏在組織中的炸彈,只不過不知道如何時引爆。因此,在安全管理實踐中組織應(yīng)時刻保持警惕,認(rèn)真審視和對待內(nèi)部人員威脅。





03



態(tài)勢感知定義



態(tài)勢感知包含了意識到附近發(fā)生什么事情,以至到明白資訊、事件及自身的行動怎樣影響目的及目標(biāo),包括了即時性和即將發(fā)生的影響。若有人對態(tài)勢感知擁有熟練的感應(yīng),他普遍對系統(tǒng)的輸入和輸出有更高度的知識,能夠掌控變數(shù)因而對情況、人、事件擁有'直覺'。缺乏狀態(tài)意識或狀態(tài)意識不足已被確定為人為錯誤事故的主要因素之一。所以,狀態(tài)意識在資訊流相當(dāng)高及差劣的決家可導(dǎo)致嚴(yán)重后果的工作范疇尤其重要,例如駕駛飛機(jī)、作為士兵及治療危重的病人。態(tài)勢感知的研究可分為三個方面:SA狀態(tài)、SA系統(tǒng)、SA過程。SA狀態(tài)指情況的實質(zhì)認(rèn)知。SA系統(tǒng)指態(tài)勢感知在隊伍及環(huán)境中物件之間的分發(fā)及在系統(tǒng)各部分之間的態(tài)勢交流。SA過程指SA狀態(tài)的更新及瞬間變化導(dǎo)致態(tài)勢的改變。擁有完整、準(zhǔn)確及實時的狀態(tài)意識在技術(shù)和情境復(fù)雜性對人類決策者成為問題的情景是至關(guān)重要的。態(tài)勢感知已獲確認(rèn)是一個關(guān)鍵卻常常是難以捉摸的基礎(chǔ),更是成功的關(guān)鍵因素。






普普點評






在網(wǎng)絡(luò)安全中,考慮態(tài)勢感知,對于威脅行動,能夠感知上下文中的威脅活動和漏洞,從而可以積極地保護(hù)以下內(nèi)容:數(shù)據(jù)、信息、知識和智慧免受損害。態(tài)勢感知是通過開發(fā)和使用經(jīng)常使用來自許多不同來源的數(shù)據(jù)和信息的解決方案來實現(xiàn)的。然后使用技術(shù)和算法來應(yīng)用知識和智慧,以識別指向可能、可能和真實威脅的行為模式。






04



網(wǎng)絡(luò)安全:新時代、新挑戰(zhàn)、新機(jī)遇



從客戶結(jié)構(gòu)上看,政府、金融、運(yùn)營商、教育等行業(yè)是安全廠商收入的主要來源;從客戶數(shù)量看,醫(yī)療衛(wèi)生、教育、政府和金融業(yè)的客戶數(shù)量實現(xiàn)較高增長。競爭格局分散一直是行業(yè)發(fā)展面臨的問題,但近年來逐步改善。2021年以來,國內(nèi)數(shù)字化轉(zhuǎn)型提速,合規(guī)要求也在趨嚴(yán),龍頭企業(yè)收入多數(shù)都實現(xiàn)了較快增長,預(yù)計行業(yè)集中度將進(jìn)一步提升。當(dāng)前,數(shù)字經(jīng)濟(jì)發(fā)展較為快速,數(shù)據(jù)量增長迅猛。但是,網(wǎng)絡(luò)犯罪正在侵蝕數(shù)字經(jīng)濟(jì)成果。當(dāng)前,網(wǎng)絡(luò)安全主要面臨著來自三個方面的挑戰(zhàn):第一,外部攻擊出現(xiàn)新的變化,勒索病毒攻擊更為頻繁且破壞力更強(qiáng),供應(yīng)鏈攻擊等新手段也在被APT組織持續(xù)利用,DDoS攻擊手法更為復(fù)雜多樣;第二,來自組織內(nèi)部的攻擊增多,且難以防護(hù);第三,合規(guī)要求明顯趨嚴(yán),《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等法律法規(guī)正在落地,行業(yè)來自合規(guī)方面的壓力增大。






普普點評






在我國數(shù)字化、智能化發(fā)展的大背景下,我國網(wǎng)絡(luò)安全行業(yè)也面臨著新變革。線上化、云化提速讓安全邊界變得更為模糊,安全防護(hù)的重心也在向數(shù)據(jù)安全遷移。同時,國內(nèi)網(wǎng)絡(luò)安全監(jiān)管進(jìn)一步趨嚴(yán),網(wǎng)絡(luò)安全法律法規(guī)與行業(yè)標(biāo)準(zhǔn)正在密集出臺。國內(nèi)網(wǎng)絡(luò)安全行業(yè)也正在順應(yīng)變化,加快技術(shù)研發(fā)投入,發(fā)力新安全領(lǐng)域,高景氣發(fā)展將持續(xù)。






05



通過數(shù)據(jù)安全分析減少數(shù)據(jù)泄露的危害



數(shù)據(jù)泄露成本不斷上升,關(guān)鍵行業(yè)努力使其網(wǎng)絡(luò)安全計劃適應(yīng)不斷變化的數(shù)據(jù)環(huán)境和 IT 基礎(chǔ)設(shè)施?,F(xiàn)在,需要考慮適應(yīng)性強(qiáng)、智能和互聯(lián)的安全工具。自動化是打擊數(shù)據(jù)泄露的一種手段。防止內(nèi)部威脅是一個關(guān)鍵用例,尤其是對于遠(yuǎn)程員工而言。數(shù)據(jù)分析可以幫助對有風(fēng)險的用戶進(jìn)行評分,以便進(jìn)行仔細(xì)觀察。在完成該外觀之前,數(shù)據(jù)庫管理員可以制定策略以根據(jù)需要從視圖中編輯數(shù)據(jù)?;蛘?,他們可以通過阻止用戶訪問來立即采取行動。此外,可以擴(kuò)展這些保護(hù)以解決數(shù)據(jù)隱私規(guī)則和零信任問題。無論面臨數(shù)據(jù)泄露還是其他問題,打破孤島并加快響應(yīng)工作流程以降低業(yè)務(wù)風(fēng)險都是有幫助的。因此,尋找具有預(yù)構(gòu)建集成和開放應(yīng)用程序編程接口 (API) 的解決方案。這些使跨團(tuán)隊和工具的討論變得更容易。減少處理事件的時間的最佳方法是簡化開票流程。分享可以豐富 SIEM 和 SOC 手冊的見解也需要簡單。自動化、流程標(biāo)準(zhǔn)化和集成都可以加快事件響應(yīng)速度。






普普點評






高級分析也可以幫助自動化威脅搜尋和優(yōu)先級排序。它包括基于序列的分析、異常檢測分析、風(fēng)險發(fā)現(xiàn)算法和威脅檢測分析。這種內(nèi)置的威脅情報可以幫助簡化檢測和調(diào)查。無論他們是否面臨活躍的數(shù)據(jù)泄露,安全團(tuán)隊都會處理大量的噪音和警報。因此,需要讓他們能夠快速識別并實時關(guān)注最重要的威脅。為此,他們需要一目了然的基于風(fēng)險的視圖。






06



防御橫向移動攻擊的有效方法和措施



1.最小權(quán)限原則:最小權(quán)限原則是指,組織中的每個成員只有權(quán)使用憑據(jù)來訪問處理日常工作所需的系統(tǒng)和應(yīng)用程序。

2. 白名單和審查:組織應(yīng)列出已知安全的應(yīng)用程序白名單,并列出已知有漏洞的應(yīng)用程序黑名單。如果請求的新應(yīng)用程序提供另一個應(yīng)用程序已經(jīng)具備的功能,應(yīng)使用經(jīng)過審查的應(yīng)用程序。

3. AI和EDR安全:端點檢測和響應(yīng)(EDR)是監(jiān)測端點、標(biāo)記可疑事件的典型解決方案。使用EDR工具收集的數(shù)據(jù)并訓(xùn)練基于AI的網(wǎng)絡(luò)安全軟件,以留意未經(jīng)授權(quán)的訪問及可能存在惡意網(wǎng)絡(luò)活動的其他異常行為。

4. 密碼安全:在網(wǎng)上開展業(yè)務(wù)的任何組織都必須指導(dǎo)員工及相關(guān)人員確保做好密碼安全工作。這意味著不得在多個網(wǎng)站或賬戶上重復(fù)使用同一密碼,定期更改密碼。

5. 雙因子驗證:雙因子驗證(2FA)又叫多因子驗證(MFA),是另一種對付橫向移動攻擊的基本而必要的手段。使用2FA之后,如果一組訪問憑據(jù)泄密,黑客要想進(jìn)一步行動就需要訪問第二個設(shè)備來驗證其訪問權(quán)限。






普普點評





目前,橫向移動(lateral movement)已成為需要留意的主要威脅之一。它充分利用了不安全的低級網(wǎng)絡(luò)資產(chǎn),并鉆了賬戶保護(hù)不力的空子。橫向移動攻擊充分體現(xiàn)了“網(wǎng)絡(luò)安全鏈的強(qiáng)度完全取決于最薄弱的那一環(huán)”這一觀點。如果網(wǎng)絡(luò)有足夠多未加保護(hù)的漏洞,只要有足夠的時間,黑客最終就可以訪問域控制器本身,進(jìn)而可以攻擊企業(yè)的整套數(shù)字基礎(chǔ)設(shè)施,包括根賬戶。





07



三個常見的云配置錯誤



1.識別并驗證所有用戶:在云中,人員、設(shè)備和應(yīng)用程序的安全和驗證通常很困難。安全專業(yè)人員必須強(qiáng)制識別和驗證訪問組織云網(wǎng)絡(luò)的任何實體,即使“身份”似乎來自可信來源。如果攻擊者無需進(jìn)一步檢查就可以訪問經(jīng)過驗證的數(shù)字身份或隱含信任的基礎(chǔ)設(shè)施區(qū)域。

2.注意安全組默認(rèn)值:云安全組充當(dāng)傳統(tǒng)IT環(huán)境的控制和執(zhí)行點。他們根據(jù)規(guī)則控制入口(入站)和出口(出站)流量并做出相應(yīng)響應(yīng),通知安全和IT團(tuán)隊可疑活動、惡意活動或其他活動。不幸的是,安全和IT專業(yè)人員可能會被警報、通知和請求所淹沒,這促進(jìn)了速度與質(zhì)量的文化。團(tuán)隊可以創(chuàng)建兩個或三個安全組,并在整個基礎(chǔ)架構(gòu)中將它們重復(fù)用于不同目的。

3.定義“經(jīng)過身份驗證的”用戶并相應(yīng)記錄:在討論云時,“經(jīng)過身份驗證的用戶”一詞可能會產(chǎn)生誤導(dǎo)。認(rèn)為該術(shù)語嚴(yán)格適用于組織內(nèi)已通過身份驗證的人員是一個有效的假設(shè)。不幸的是,這在管理主流CSP時并不準(zhǔn)確。






普普點評





云基礎(chǔ)設(shè)施已經(jīng)牢固地確立了自己作為幾乎所有組織的關(guān)鍵組成部分的地位。缺乏對云基礎(chǔ)設(shè)施計劃的規(guī)劃可能會造成復(fù)雜性和風(fēng)險,最終為攻擊者滲透到組織的攻擊面打開了大門。在充滿外部威脅的環(huán)境中,基本的云衛(wèi)生沒有妥協(xié)的余地。通過將重點明確放在云衛(wèi)生和定期安全審查上,可以走上一條戰(zhàn)略性的云路徑,以支持結(jié)束網(wǎng)絡(luò)安全風(fēng)險的使命。