首页 > 其他分享 >企业安全解决方案

企业安全解决方案

时间:2024-03-02 22:35:43浏览次数:36  
标签:威胁 云上 攻击 解决方案 网络 安全 资产 企业

一、企业安全解决方案市场

从企业安全管理员的视角来看,业界的安全产品多种多样,而且往往价格不菲,企业需要根据自身情况选择合适的安全解决方案。反之,作为乙方企业也要认识到,市场和客户是分层的,对待不同的市场和客户,需要提供与之匹配的对应产品和服务,不要妄图用一种产品通吃整个市场。

 

二、中小企业安全解决方案

在被勒索病毒敲诈勒索的受害者中,有不少是中小企业主。在网络安全防治工作中,理论上是体系越完整则越安全,但同时也意味着需要更多的投入,这对中小企业来说,预算往往是不足的。因此,在设计安全解决方案的时候,要充分考虑企业的规模和预算、业务对安全性要求等多个方面。

0x1:免费解决方案

如果不想花钱,又想防御常见的病毒木马,可以使用免费的安全软件,比如某管家、某卫士,它们为用户提供了病毒查杀、主动(云)防御、漏洞修复、权限管理、垃圾清理、弹窗拦截等丰富的功能。

但免费安全软件主要的用户群体是个人用户,因此默认设置了符合个人用户使用习惯的安全策略,为了减少不必要的误报影响用户体验,安全策略一般也相对宽松,也不支持安全策略的统一管理。因此,最终的安全性与用户的安全知识、使用习惯有很大的相关性。另外,在应对黑客的定向入侵攻击时,由于没有完整的入侵检测方案,因此效果也相对有限。

但不管怎样,免费的安全软件可以应对常见的勒索病毒、挖矿木马等威胁,如果开启主动(云)防御、及时打补丁、管理软件权限,并养成良好的上网习惯,也能有效防御大部分网络威胁。

0x2:入门级解决方案

为了能够相对较好地管理公司资产的安全性,需要使用专业的企业级终端安全系统替换免费安全软件。

一整套企业级终端安全系统通常包括一个安全管理平台、若干员工版终端安全软件、若干服务器版终端安全软件。如果资产部署在公有云上,则需要购买云上终端安全系统。同时,需要配备至少一个安全运营人员来实施安全管理和运营,如果想降低人力成本,也可以向乙方购买安全托管服务。

此时,解决方案除了具备免费安全软件的功能之外,还具备了入侵检测、安全审计、统一漏洞管理等能力,最重要的是有专业的安全运营人员提供风险排查、威胁分析、处置响应等能力。

0x3:初级解决方案

为了能够提供更进一步的安全防护,可以在网络边界部署IPS入侵防御系统或防火墙。

网络安全结合终端安全,形成了初步的纵深防御体系。不同于终端安全基于恶意程序实体及行为的识别,网络防御系统从流量角度进行威胁识别,通过源目身份分析、流量特征分析、异常流量识别等方法,实现网络层拦截,从而阻止入侵,或者阻断入侵后的控制通信。

对于Web服务,部署Web防火墙(WAF)也是有必要的,不同于通用防火墙,WAF针对Web组件漏洞入侵、SQL注入、WebShell等威胁有更专业的防护策略。如果业务在公有云上,则可以购买对应的云防火墙、云WAF等产品。在安全策略的运营上,需要及时更新安全策略来应对新的攻击武器或攻击方法,比如0DAY/1DAY漏洞利用、新通信隧道等。

0x4:中级解决方案

前面所述解决方案的重点是对网络威胁进行拦截和处置,对中小企业来说是性价比较高的解决方案。若想全面分析企业所面临的安全风险,则显得有些力不从心。如果企业对资产安全性要求比较高,则需要增加在网络威胁分析上的投入,通常包括网络威胁检测系统、资产风险监测服务和网络威胁分析服务。

网络威胁检测系统通常包括基于流量特征的入侵检测、基于威胁情报的攻击/失陷探测、基于异常流量智能分析技术的未知威胁检测。流量特征检测比较基础,一般的网络威胁检测系统都具备此功能,差别在于特征库的大小,可以通过较新的攻击武器来验证具体效果;威胁情报一般需要额外购买,并且国内生产威胁情报的厂商也是有限的几家,在选择威胁情报时,要考查失陷指标的可解释性,攻击源IP是否具有身份属性标签和历史痕迹记录;异常流量智能分析包括自动计算检测基线、异常网络行为分析等,对于网络流量不大的中小企业,并不一定能学习出有效的模型,可以省下这笔费用。

资产风险监测服务通常包括设备漏洞扫描、网站监测、公众号/小程序风险检测等。对于暴露在公网的资产(如服务器、云主机等),设备漏洞扫描是通过资产测绘(一种通过特定流量探测服务组件信息,从而判断是否存在漏洞的技术)和无损POC扫描(一种不会造成实质破坏的模拟攻击技术)分析出资产存在的风险清单;网站监测是对客户添加的指定网址进行监测,如果发现上传的WebShell,或者发现非法篡改,则及时进行通知预警;公众号/小程序风险检测是探测公众号或小程序的数据接口,分析是否存在越权读取数据、信息枚举等容易造成数据泄漏的风险。资产风险监测服务一般按资产数量进行收费,是比较适合中小企业的解决方案。

购买各种系统之后,如果公司没有懂行的专家使用这些系统,是无法发挥系统的全部价值的。为了发现网络中的威胁和风险,需要自建或购买安全运维团队来进行专业的网络威胁分析,对于预算有限的中小企业,可以购买月度或季度巡检来对全网进行网络威胁分析和资产风险排查,以较少的投入获得相对较多的安全保障。

 

三、大型企业安全解决方案

大型企业通常具有资产多、流量大、分公司分地域、网络架构复杂等特点,因此,网络安全解决方案需要成体系、有纵深。另外,无论什么时候,我们都不应该把“全方位无死角阻止威胁”的绝对安全作为目标,那是理想主义。我们应该从保护核心资产、快速发现威胁、快速处置响应出发,动态地实现相对可靠的安全目标。

通过对安全大数据的分析和监测,多方位解决大型企业面临的网络威胁,核心能力应该包括:

  • 重点保护核心资产,即使企业的网络已被突破,也要坚守住最后的阵地,保护核心数据、核心代码等重要资产不被窃取和破坏
  • 严密监控横向移动,大型企业难免会有防御死角,如某个安全意识薄弱的员工,这些弱点往往会成为网络攻击的突破口,然后进一步潜伏和渗透,企图窃取核心资产,这种攻击非常危险,但也有迹可循
  • 重兵镇守攻击入口,虽然攻击路径和攻击方法是多种多样的,但大部分入口都是已知的,如远程服务漏洞攻击、恶意邮件攻击、软件供应链攻击等。在攻击入口处部署防御设备,可以解除大部分网络威胁。

如何镇守攻击入口?

  • 对于网络攻击,主要有网络防火墙(FireWall)、威胁检测系统(NTA/NIDS)、入侵防护系统(NIPS)等。除此之外,安全路由、安全网关也集成了部分防火墙的能力,以及支持VPN隧道进行远程登录安全管控
  • 对于暴露在公网的服务器,还需要部署DDoS防御系统
  • 对于Web服务器,则需要部署WAF
  • 对于邮件服务器,则需要部署邮件防火墙

总之,所有的网络出入口都应该部署相应的网络防御设备。

如何监控横向移动?需要部署具备异常行为监测的终端防御系统(EDR),除此之外,还可以在内网部署一些蜜罐来诱捕攻击者。部分蜜罐可以暴露常见的漏洞,用来捕获渗透工具扫描或蠕虫传播,还需要部署一些“假旗”蜜罐,比如伪装成数据服务器,用来捕获高级别的APT定向攻击。

如何保护核心资产?常用的系统有堡垒机、数据加密系统、数据审计系统、凭证权限管理系统等。目前,比较热门的是零信任安全管理系统。企业部署零信任体系,一方面需要零信任安全管理系统具备足够多的探针,在终端上需要包括设备检测、应用检测、漏洞检测、基线检查等能力,在网络上需要包括威胁和风险探测等能力,另外还需对接企业资产管理、权限管理等系统;另一方面,难点还在于动态的信任机制,当企业资产和数据流量达到一定的规模,靠人工来制定信任策略是不可想象的,所以,这部分工作往往需要针对具体企业环境进行定制,利用大数据分析、机器学习、人工调试来达到可用及最优状态,这个过程往往需要持续几个月。

为了使用好这套安全防护体系,企业需要筹建安全运维团队或购买安全运维服务,建议自建结合购买的方式。对于大型企业,需要有专业的安全团队负责企业整体的网络安全,但在一些专业领域如资产风险监测、渗透测试、网络威胁分析等,则需要产品官方提供的对应安全运维服务来支撑。

然而,这么多的安全产品每天都会产生大量的告警,这给安全运维工作带来了巨大挑战。因此,还需一套好用的安全运营系统(SOC/SIEM)来统一管理各产品的安全日志和安全数据。该系统需具备关联分析、智能分析的能力;跟踪和编排应急响应进度和结果;调用防火墙/入侵防御系统来进行简单的阻断处置;自动输出各类安全报表、事件分析报告,甚至安全运维周报。

安全运营系统不仅能提升安全运维的工作效率,还能从企业全局视角来分析和处置网络威胁。虽然个人能够很好地处置单个事件,但系统化监控所有资产风险、分析所有安全数据、响应所有产品告警,单纯靠人力是无法完成的,必须依赖系统进行全局化监测、(半)智能化分析、(半)自动化响应。由此可见,安全运营系统对海量资产和海量流量的大公司的安全建设显得尤为重要。

 

四、云原生安全解决方案

云计算在企业、电商、医疗、政务、金融等行业的应用越来越广泛。各大型集团企业纷纷自建私有云或混合云,各大城市纷纷建设城市云,各中小企业纷纷把业务迁至公有云。在全民享受云计算带来的数字化、智能化、现代化的便利时,云架构的安全问题也显得较为突出,黑客攻击、信息泄露、勒索病毒的危害可能从单个公司扩大到整个集团企业,甚至整个城市的数据中心。比如,可能会出现某个城市的医疗系统被勒索病毒攻击,数据库被加密,从而导致该市的医院无法正常运转。另外,城市数据中心也可能成为APT的攻击目标。因此,保障云上业务和数据的安全比以往都显得重要。

传统的网络安全解决方案和终端安全解决方案在云上依然有效,云主机安全、云防火墙、云WAF等产品依然发挥着重要的安全保障作用。对于云平台,虽然身处于万物互联的大数据宇宙中,但每一个云平台也是一个独立的“小宇宙”,在这个小宇宙中有着特定的元素和规律,为了更好地保护云平台及云客户的安全,可以在这个小宇宙中建立安全机制,做好威胁监测和事件响应。这些措施往往需要结合云计算架构、云上安全大数据来实现,因此,云原生安全一般由云计算厂商(私有云则是企业自身或合作单位)主导来实现。

目前,云原生安全还没有一个明确的定义。从实践来看,主要有两种模型:

  • 一种是云原生威胁情报
  • 一种是云原生安全策略

1)云原生威胁情报。基于云原生安全大数据,经过统计分析和智能分析之后,可以生产输出“攻击云目标的外部攻击源”“用于入侵攻击的云上跳板”“用于入侵攻击的云上僵尸网络”“远程控制木马的云上C2服务器”等云原生威胁指标。这些威胁情报可以集成或接入各类安全产品中,用于检测和防御网络入侵等网络威胁。

2)云原生安全策略。①云原生流量检测策略。前面提到,智能化的异常流量检测需要有足够多的网络流量数据用于机器学习,云平台正好有足够多的网络流量,因此基于云原生大数据的异常流量检测模型可以较为有效地发现许多未知威胁。②云原生安全架构策略。基于云架构的镜像安全及容器安全,包括镜像或容器的漏洞管理、权限控制、微隔离、安全审计等。

对于解决云上安全问题,云原生安全有数据和架构上的优势,一般需要由云计算供应商主导建设,企业私有云则由企业主导建设,传统安全厂商通常以项目形式进行参与,并且一个项目可能由多个安全厂商参与负责不同的模块,最后打通安全数据和安全策略,共同组建安全运维团队,进行威胁监测及策略优化。最终,云计算厂商、传统安全厂商联合建设的安全产品及安全运营体系,成为云计算的安全保障体系。

公有云的安全运维体系大致有三种模式:

  • 一是云租户自建安全运维团队负责云上资产的安全
  • 二是供应商官方搭建安全服务交易平台,入驻第三方安全服务提供商,云租户通过交易平台购买第三方安全运维服务
  • 三是由云计算供应商官方提供的MSS(ManagedSecurity Service,安全托管服务)

下面以乙方视角来介绍基于云SOC的MSS。

云SOC MSS是基于云SOC为云租户提供对云上资产安全托管的服务。服务内容主要包括风险排查和威胁监测,协助拦截入侵攻击,并给出加固方案。通常情况下,托管服务并不包括更改主机配置的基线修复和组件升级(修复安全漏洞)等操作,避免因操作不当导致服务器宕机,这类操作一般由更熟悉公司业务的甲方运维工程师进行实施。

在实施服务之前,需要甲方授权读取安全产品告警及日志、扫描及测绘云资产、监测主机进程和文件、分析可疑网络流量等。当然,提供服务的乙方及工程师则需承担保密的义务。

在获得授权之后,可以为客户提供以下安全服务:

  • 1)安全工程师直接对接的安全咨询服务:可以通过钉钉信群、QQ群等方式建立沟通路径,随时由安全工程师为客户解答安全问题或相关咨询。
  • 2)云资产测绘服务:通过云SOC、云防火墙、主机安全等产品对资产及可能的攻击面进行测绘盘点,包括客户有哪些主机、是否都开启了安全防护、哪些主机有外部访问流量、主要网络端口有哪些,并根据资产重要程度、公网暴露情况来划分保护等级。
  • 3)漏洞及基线风险排查服务:通过漏洞扫描、主机安全等产品对客户核心资产进行漏洞和基线排查,除了产品覆盖的能力,还需对新的漏洞、攻击方式进行排查。另外,还可以让客户提供一份组件清单来定制化漏洞和基线的排查服务。
  • 4)实时威胁监测服务:对木马病毒、入侵事件等威胁进行实时监测、研判及对客户预警、协助处置,除了对已知威胁的预警能力,更重要的是提供基于大数据智能引擎的未知威胁预警。
  • 5)核心资产重保服务:对部分核心资产(核心数据服务器、暴露在公网的Web服务器等)提供更严格的异常行为监测服务,包括新增进程和新增程序文件的非白即黑排查、非预期登录行为排查、异常攻击流程分析等。
  • 6)安全周报服务:每周输出安全周报,提供风险处置加固建议、攻击趋势分析等。
  • 7)应急响应服务:当资产不幸被入侵时,需要第一时间通过防火墙或WAF等产品进行网络隔离,及时止血避免进一步扩散;然后需要分析有没有在哪个位置植入了木马,并清除木马;还需要分析威胁的入侵路径,对入侵路径的各个环节进行加固防护措施。

云上资产的运行环境和网络环境相对私有化架构要简单很多,基本不会存在邮件钓鱼、软件捆绑、可移动媒介传播等攻击方式,云上主要的攻击方式是远程入侵。因此,事前做好资产测绘、攻击面分析和加固策略,可以有效地防御网络入侵。而一旦发生了入侵事件,只要能及时监测感知到,就不必惊慌,首先进行隔离止血,然后进行分析调查及清除威胁,最后进行系统加固和策略加固,避免再次被入侵。

由此可见,攻击面排查和威胁监测是云上网络安全防护的核心能力,是衡量云安全防御能力的关键指标。

 

标签:威胁,云上,攻击,解决方案,网络,安全,资产,企业
From: https://www.cnblogs.com/LittleHann/p/18049380

相关文章

  • 中国联通全球托管运维服务:助力企业无忧应对数据中心运维挑战
    在全球化背景下,企业的信息化进程不断加快,数据中心作为支撑关键业务的核心基础设施,在全球范围内的布局与运维变得愈发重要。然而,企业在设立异地或海外数据中心时,常常面临资源有限、人力短缺等问题,特别是在目标地缺乏专业的IT工程师团队时,如何确保数据中心的稳定运行与高效管理成为......
  • 安全可靠国产化全栈解决方案:赋能企业数字化转型新篇章
    安全可靠国产化全栈解决方案:赋能企业数字化转型新篇章随着信息技术国产化的深入推进,以及企业对数字化升级日益增长的需求,中国联通精心打造了一套拥有375项权威资质认证的安全可靠国产化全栈解决方案。这套方案聚焦于云网一体、数智相融、专属定制、多云协同四大核心支柱,并以行业......
  • HashMap很美好,但线程不安全怎么办?ConcurrentHashMap告诉你答案!
    写在开头在《耗时2天,写完HashMap》这篇文章中,我们提到关于HashMap线程不安全的问题,主要存在如下3点风险:风险1:put的时候导致元素丢失;如两个线程同时put,且key值相同的情况下,后一个线程put操作覆盖了前一个线程的操作,导致前一个线程的元素丢失。风险2:put和get并发时会导致g......
  • 甲方乙方视角下的安全运营
    一、甲方视角下的安全运营0x1:甲方安全运营概述随着国家对信息安全的推动,我国企业对于信息安全的意识和重视程度也在不断提升。很多优秀的企业对于自身的企业安全也自发提出了越来越多的要求。传统的安全建设往往聚焦于企业安全的某个或某几个环节,并不能兼顾统一运营,或运营成本耗......
  • 旋转拖动验证码解决方案
    前因曾几何时,你是否被一个旋转验证码而困扰,没错今日主题——旋转验证码。 之前也是被他伤透了心,研究了好几天的js,想直接通过接口传输直接解决验证码的,然而我失败了,不过这一次,他来了他来了,他带着RotNet走来了。彩虹屁RotNet也是我无意间发现的,没错时隔了好几个月,他自己出现在......
  • 【Serverless】云存储新建账号无法创建存储实例解决方案
    ​ 【问题描述】一些开发者想要使用AGC云存储服务,在开通服务后,需要创建一个存储实例,但是在点击创建按钮时,出现了未知错误的报错提示,创建失败。​【解决方案】获取到了开发者的浏览器报错日志后,发现了在创建Bucket时返回了“138012:invokeqmserror”的错误。​​随后在咨询......
  • 智能分析网关V4安全帽检测/反光衣检测/通用工服检测算法及应用
    TSINGSEE青犀视频智能分析网关V4内置了近40种AI算法模型,支持对接入的视频图像进行人、车、物、行为等实时检测分析,上报识别结果,并能进行语音告警播放。硬件管理平台支持RTSP、GB28181协议、以及厂家私有协议接入,可兼容市面上常见的厂家品牌设备,可兼容IPC、网络音柱等,同时也支持智......
  • 破局数据分析滞后难题,赋能企业高速增长的指标管理解决方案
    指标是什么?业务发展过程中,企业内外部都会产生很多的业务数据,对这些数据进行采集、计算、落库、分析后,形成的统计结果称为指标。简单来说,指标是业务被拆解、量化后形成的数量特征,企业利用数据指标对业务进行精准的号脉,实现对业务的科学管理和有效优化。在我们对多家企业展开深入......
  • C# 网站安全设置
    1.隐藏响应信息的中间件版本号在web.config文件中进行配置 <httpRuntimeenableVersionHeader="false"/>2.添加X-Frame-Options头在C#中设置 X-Frame-Options 头可以通过修改Web.Config文件来完成。首先,打开项目的根目录下的Web.Config文件(如果没有则创建......
  • Ubuntu系统安装系统后发现50G的硬盘能用的只有23G解决方案
    Ubuntuserver默认使用LVM进行磁盘管理,安装后只使用了硬盘一部分空间,要充分利用硬盘空间,需要扩展现有的逻辑卷;如果添加新硬盘,需要将其添加到现有的卷组,然后扩展逻辑卷到新硬盘。1、查看磁盘占用情况df-h2、查看现有的卷组sudovgdisplay3、扩展现有的逻辑卷sudolvext......