首页 > 其他分享 >信息安全-信息安全运营(安全监控与审计 漏洞管理)

信息安全-信息安全运营(安全监控与审计 漏洞管理)

时间:2024-08-11 22:27:57浏览次数:8  
标签:漏洞 信息安全 安全 运营 日志 安全监控

https://mp.weixin.qq.com/s/E-0_-vExLLV4NklaIQYaHQ
信息安全-信息安全运营(安全监控与审计 漏洞管理)
原创 被摧残的IT人生 被摧残的IT人生 2024年07月25日 09:00 广东
本期看点

前期已发布并完结IT建设之路(专业技术篇),包括“企业IT管理”、“IT技术架构”、“信息安全”、“应用架构”、“数据架构”。接下来几期将为大家增补信息安全中的“信息安全运营”。

信息安全管理除了技术工具、管理体系,还需要进行持续运营,包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心(SOC)、宣传培训。本期介绍如何进行安全监控与审计、漏洞管理?

目录
信息安全

1. 信息安全原则策略
2. 网络安全防护
3. 终端安全
4. 信息安全管理体系

5. 数据安全
6. 信息安全运营

   6.1 安全监控与审计  ←←本文
   6.2 漏洞管理  ←←本文
   6.3 事件响应与持续改进
   6.4 SOC平台建设
   6.5 宣传培训

信息安全运营

定义

之前介绍了那么多信息安全管理手段和措施,但信息安全管理和IT的其他工作一样,是一个持续建设和持续优化的运营工作,即信息安全运营。信息安全运营包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心(SOC),以及对公司内部的定期宣传培训等内容,以确保信息系统的机密性、完整性和可用性。

图片

01
安全监控与审计

安全监控与审计是信息安全运营的根本,通过对涉及信息安全的网络、服务器、终端、IT应用系统的持续性监控,并结合自动化审计和人工复查手段,以发现并应对安全威胁。

图片

常见的安全监控手段在前面的工作中已经覆盖到终端、服务器、网络及相关威胁防护手段,以及包括常见的DLP技术。针对这些设备或软件的监控数据,以及公司内部关键系统的相关日志,我们需要关注如下几点:
1 安全日志记录
日志采集

采集所有安全设备上的相关数据和日志,以及重要系统和应用的安全日志,都需要记录,例如:终端和服务器的文件和相关操作日志、防火墙/IPS/WAF/DLP/零信任等相关设备和软件的登录日志、访问日志、告警日志等。

日志存储

一个中型公司每天产生的安全日志,可能都是数G甚至数十G的数据量,那么一个安全的、持久的存储,在后续的审计和追溯中都是非常重要的。通常除了相关设备或软件本地的磁盘存储外,还需要有一个可扩展、容量大、性能不需要非常好的设备,以便在需要时进行追溯和分析。

2 实时监控与告警
网络流量监控

监控网络中的数据流动,识别可疑的流量,对于加密的数据流量,识别关键IP的流量、外网流量、某终端流量是否异常,以便及时发现和阻止入侵活动。这往往需要企业内部的安全人员设计相关规则,并结合网络流量采集和分析软件来监控,一旦触发相关规则,需及时告警。
系统行为监控

设计相关的系统异常行为的规则,比如在非工作日时间的异常访问、频繁(在一段时间内超过几次)的攻击日志、后缀名改名、大量数据的拷贝或上传、频繁登录失败、突然高流量等系统异常行为,需要及时通过微信、短信、邮件等方式通知安全团队人员。
告警信息汇总

上述告警信息,往往需要人员介入判断,需及时归档到SOC(安全运营中心)平台,并且作为事件来跟进处理。

图片

3 例行审计
数据分析

利用大数据分析技术,对采集到的所有安全日志进行深度分析,形成分析后的数据结果,再由系统或人工识别潜在的安全威胁。分析手段通常可以考虑:删除无风险的安全日志(比如本区域内的数据访问、团队固定访问的白名单系统)、对重点人员的日志提取、关键IP的数据流量分析等。

人工审计

通常情况,安全审计人员需要对每天对分析后的数据结果进行人工判断或复核,检查是否有违规操作、异常访问等行为。对于确认后的异常行为,仍需要形成事件在SOC平台中跟进。
02
漏洞管理

图片

漏洞管理是指通过发现、评估、修复和预防系统和应用中的安全漏洞,确保系统的安全和稳定。其实,在前面的章节介绍网络安全产品时,已经对漏洞做过一定的阐述,本章节主要是针对漏洞如何做管理。漏洞管理流程主要是如下几个过程:

1 漏洞扫描
定期扫描

使用专业的漏洞扫描工具(如Nessus,Awvs等),定期扫描操作系统、网络和Web应用等,识别潜在的安全漏洞。
实时扫描

针对关键系统和高风险区域,一旦有新的系统变更,或者有0day漏洞被发现时,利用工具进行实时漏洞扫描,及时发现新漏洞。

图片

2 漏洞评估
风险评估

对发现的漏洞进行风险评估,评估漏洞的影响范围和严重程度。一般来说,扫描工具给出的等级(比如“致命”、“严重”等),可以作为参考,但实际上是不是要修复,在何时修复,需要根据漏洞被利用的条件综合评估。比如该系统前面有WAF可拦截,或该服务器只能在内部访问时,风险等级可以适当降低或延后修复。

图片

优先级设定

根据风险评估的结果,对漏洞进行分类和优先级设定,确保高风险漏洞优先修复。对于优先级最高的漏洞,需要找到Owner负责,并且需要将该漏洞修复任务作为事件来跟进。

3 漏洞修复
补丁修复

在终端管理中也介绍过补丁管理,此处的补丁不再局限于对操作系统、应用系统的安全补丁,也可能是需要修改部分代码、修改简单密码等。
临时措施

在无法及时修复的情况下,采取应急措施,如隔离服务器、限制系统访问的范围、增加相应的安全防护软件或设备等。

4 验证与追踪
修复验证

在修复漏洞后,安全人员需要对系统再进行扫描、测试,确保漏洞确实被修复。
跟踪报告

针对比较复杂的漏洞修复过程,需要记录漏洞的修复和验证过程,由安全人员与该漏洞Owner共同编写详细的漏洞管理报告,再关闭该漏洞对应的事件。

图片

下期将介绍:信息安全-信息安全运营之事件响应与持续改进、SOC平台建设、宣传培训。

内容还行?点击上面鼓励他们一下吧!

注:部分文字和图片源自互联网,整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益,请后台留言。如情况属实,我们会第一时间删除并向您致歉。

微信扫一扫
关注该公众号

标签:漏洞,信息安全,安全,运营,日志,安全监控
From: https://www.cnblogs.com/o-O-oO/p/18341840

相关文章

  • sqli-labs漏洞靶场~SQL注入(全网最全详解)
    #sqli-labs靶场适合于初学sql注入的新手,它包含了许多的场景和模式为练习者提供良好的练习平台,以下这些语句搞懂我们做靶场就如鱼得水,非常自信的可以完成。查询当前数据库版本:selectversion();●查询当前数据库:selectdatabase();●查询当前路径:select@@basedir;●......
  • DLMS/COSEM中的信息安全:应用加密保护(上)
    1.保护xDLMSAPDU1.1综述    本节介绍对称加密算法和非对称加密算法用于保护xDLMSAPDU。        ——1.2规定了安全策略和访问权限的可能值;        ——1.3显示了加密APDU的类型;        ——1.4规定了使用AES-GCM算法进行认证和加密; ......
  • DLMS/COSEM中的信息安全:应用加密保护(下)
    2.多方多层保护     加密保护可以由多方应用。通常多方是:    ——服务器;    ——客户机;    ——第三方;    每一方可以应用一层或多层保护:    ——应用加密,认证或认证加密,使用加密APDU。第三方应使用通用加密APDU。客户......
  • 什么是CSRF?CSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
    一、什么是CSRF?CSRF(Cross-siterequestforgery,跨站请求伪造)也被称为OneClickAttack或者SessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任......
  • 常见框架漏洞复现
    环境使用Debian虚拟机,配置docker与docker-composeaptinstalldocker.ioaptinstalldocker-compose配置后下载vulhub靶场gitclonehttps://github.com/vulhub/vulhub.git后发现,环境还是无法启动成功,重新打开终端输入dockerhub加速服务sudomkdir-p/etc/dockersudo......
  • 2024年网络信息安全工程师面试题,看看你能做几个?
    一、网络安全网络安全的概念和重要性是什么?常见的网络攻击方式有哪些?网络安全防御措施有什么?计算机病毒和恶意软件有哪些?网络安全法律法规有什么?二、网络协议什么是TCP/IP协议?它包括哪些层次?请简要介绍每个层次的作用。什么是HTTP协议?请简要介绍HTTP协议的......
  • 2023 信息安全管理与评估赛项任务书(模块一:任务二)-2
    SW:9,11-15配置使北京公司内网用户通过总公司出口BC访问因特网,分公司内网用户通过分公司出口FW访问因特网,要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙untrust1和trust1开启安全防护,参数采用默认参数。注:写这道题......
  • CORS与JSONP漏洞原理及其复现
    文章目录CORS跨域共享介绍同源策略配置产生条件复现自动化爆破工具JSONP跨域回调介绍复现自动审查工具安装教程使用教程在现代Web开发中,跨域资源共享(CORS)和JSONP是两种重要的跨域通信技术。CORS通过设置HTTP头来控制资源共享,而JSONP则利用了本文将深入探讨......
  • Windows出大事,超高危漏洞 + 降级攻击风险;“0.0.0.0日”漏洞卷土重来,盯上MacOs和Linux;
    新闻1:警告!18年前的浏览器漏洞卷土重来,MacOS和Linux设备面临威胁!网络安全研究人员发现了一个新的“0.0.0.0日”漏洞,该漏洞影响所有主流网络浏览器,恶意网站可能会利用该漏洞侵入本地网络。OligoSecurity的研究员AviLumelsky表示,这一严重漏洞“暴露了浏览器处理网络请求时......
  • 易捷OA协同办公系统 ShowPic接口任意文件读取漏洞复现 [附POC]
    文章目录易捷OA协同办公系统ShowPic接口任意文件读取漏洞复现[附POC]0x01前言0x02漏洞描述0x03影响版本0x04漏洞环境0x05漏洞复现1.访问漏洞环境2.构造POC3.复现易捷OA协同办公系统ShowPic接口任意文件读取漏洞复现[附POC]0x01前言免责......