企业基础IT安全
基础安全的保护对象,是公司的基础IT设施,类型有IT资产或IT服务。比如资产有服务器、域名、ip等,服务有网络、数据库、云服务等。黑客可通过应用间接攻击或互联网直接攻击公司的基础IT资源或基础服务,基础IT资产受到攻击,可导致应用安全,业务安全,数据安全等多方面的安全问题。
当基础IT中没有自建设施,完全采用的云服务,没有云主机,就连数据库、消息队列等都是使用的云服务时,那么基础安全=云原生安全。当存在云主机时,那么就是传统的基础IT安全+云安全。
基础安全建设中公有云及私有云的异同分别是:
异:公有云存在资源过期问题,私有云不存在过期问题。公有云在硬件层没有实现隔离,私有云在硬件层面实现了隔离。私有云可在硬件层面实现安全加固,公有云硬件层面安全是统一的。公有云使用的主机是虚拟化后的主机,网络隔离为逻辑隔离,私有云主机为物理机,需自行建设虚拟化,网络隔离可实现物理隔离及逻辑隔离。
同:在技术体系及管理体系可进行的安全建设都是相同的。如监控,如HIDS,如操作审计,如权限管理。
基础IT设施安全,可以围绕着资产生命周期,从管理、技术、运营三个方面展开。对于一般公司来说,基础安全更多的是管理及运营上的工作,技术方面的工作较简单。下面排列一下不同IT资产,在安全技术上的内容,详细说明一下为什么。
服务器安全:越权,安全补丁,HIDS等。研究系统漏洞,对于一般公司来说,没有这个必要。
网络安全:隔离划分,AD域,零信任建设,HTTPS等。这些东西也是没门槛的,照着文档做就行了。一般公司也没必要,去自行开发一套这样的东西。
IP及域名:只有管理及运营问题,没有技术问题。渗透及扫描,实际上对应着的是应用安全及服务组件安全。
组件安全:安全使用及安全配置。一般公司也没条件去做高深的技术上的安全工作。举几个有实际漏洞的例子:
Phpstudy,xcodeghost,这两个软件,都被种过病毒,但是其发现都是企业通过日志、审计等间接发现的,并不是直接发现。因为直接发现,就涉及到破解/二进制等技术内容,不是一般公司能玩的。
Redis漏洞,这个漏洞对应的是安全使用。
Fastjson等,这种漏洞都是乙方安全研究人员发现的,一般企业根本没有这个人力去模糊测试或审计代码。
组件安全在甲方的工作内容,基本就是管理,排查,修复,运营。排查的是已出过安全通告的组件,使用的是公开脚本或弱口令爆破。而且,具备组件安全研究能力的人,其职业选择可能更喜欢在国家队、安全乙方、科技型大集团中选择。
云安全:云服务商都采用安全共担模型,云安全的基础安全是云服务商负责的,企业负责的是其安全管理及安全使用。
综上所述,基础IT设施安全中,需要的技术上的东西都比较简单,甚至都有详细的文档,直接照着做就行了。而真实的涉及安全技术的高深的东西,一般企业没有这个需求,而且人选也不会选择企业。
企业基础IT安全的建设
应急和需求:处理应急公司和需求。
资产梳理:梳理所有的资产,评估各种类的高优先级内容。建设资产发现机制跟能力。基础资产其本身的优先级是一样的,因为任何出现问题,都会导致业务问题。所以优先级评定可从侧面评定。根据业务优先级,数据优先级,暴露性,脆弱性等方面来间接评定优先级。
状态调研及评估:调研安全建设状态,评估建设完成度。
决策工作内容:结合调研结果,结合公司整体的建设方案,以生命周期,以管理,技术,运营三个方面为指导思想,来决定工作内容,内容顺序,落地方案。
基础安全与其他安全方面的耦合
应用安全:木马,网马,内存马等问题;命令执行等漏洞;应用运行权限问题。
办公安全:资产申请,资产权限,安全使用,公器私用等问题;办公网准入问题;办公终端初始化及行为动态审核问题。
数据安全:数据管理关系管理;行为审计,日志记录。
业务安全:单点问题;高可用问题;一致性问题。
总结
1、基础IT安全是围绕基础IT设施的。
2、基础安全定义不同,要穿透词语,去看其真实的工作内容。
3、基础IT安全,对技术深度要求有限,对广度及体系化要求较高。
4、落地要灵活要适配,不要本本主义。