https://mp.weixin.qq.com/s/E-0_-vExLLV4NklaIQYaHQ
信息安全-信息安全运营(安全监控与审计 漏洞管理)
原创 被摧残的IT人生 被摧残的IT人生 2024年07月25日 09:00 广东
本期看点
前期已发布并完结IT建设之路(专业技术篇),包括“企业IT管理”、“IT技术架构”、“信息安全”、“应用架构”、“数据架构”。接下来几期将为大家增补信息安全中的“信息安全运营”。
信息安全管理除了技术工具、管理体系,还需要进行持续运营,包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心(SOC)、宣传培训。本期介绍如何进行安全监控与审计、漏洞管理?
目录
信息安全
1. 信息安全原则策略
2. 网络安全防护
3. 终端安全
4. 信息安全管理体系
5. 数据安全
6. 信息安全运营
6.1 安全监控与审计 ←←本文
6.2 漏洞管理 ←←本文
6.3 事件响应与持续改进
6.4 SOC平台建设
6.5 宣传培训
信息安全运营
定义
之前介绍了那么多信息安全管理手段和措施,但信息安全管理和IT的其他工作一样,是一个持续建设和持续优化的运营工作,即信息安全运营。信息安全运营包括安全监控与审计、漏洞管理、事件响应、建立安全运营中心(SOC),以及对公司内部的定期宣传培训等内容,以确保信息系统的机密性、完整性和可用性。
图片
01
安全监控与审计
安全监控与审计是信息安全运营的根本,通过对涉及信息安全的网络、服务器、终端、IT应用系统的持续性监控,并结合自动化审计和人工复查手段,以发现并应对安全威胁。
图片
常见的安全监控手段在前面的工作中已经覆盖到终端、服务器、网络及相关威胁防护手段,以及包括常见的DLP技术。针对这些设备或软件的监控数据,以及公司内部关键系统的相关日志,我们需要关注如下几点:
1 安全日志记录
日志采集
采集所有安全设备上的相关数据和日志,以及重要系统和应用的安全日志,都需要记录,例如:终端和服务器的文件和相关操作日志、防火墙/IPS/WAF/DLP/零信任等相关设备和软件的登录日志、访问日志、告警日志等。
日志存储
一个中型公司每天产生的安全日志,可能都是数G甚至数十G的数据量,那么一个安全的、持久的存储,在后续的审计和追溯中都是非常重要的。通常除了相关设备或软件本地的磁盘存储外,还需要有一个可扩展、容量大、性能不需要非常好的设备,以便在需要时进行追溯和分析。
2 实时监控与告警
网络流量监控
监控网络中的数据流动,识别可疑的流量,对于加密的数据流量,识别关键IP的流量、外网流量、某终端流量是否异常,以便及时发现和阻止入侵活动。这往往需要企业内部的安全人员设计相关规则,并结合网络流量采集和分析软件来监控,一旦触发相关规则,需及时告警。
系统行为监控
设计相关的系统异常行为的规则,比如在非工作日时间的异常访问、频繁(在一段时间内超过几次)的攻击日志、后缀名改名、大量数据的拷贝或上传、频繁登录失败、突然高流量等系统异常行为,需要及时通过微信、短信、邮件等方式通知安全团队人员。
告警信息汇总
上述告警信息,往往需要人员介入判断,需及时归档到SOC(安全运营中心)平台,并且作为事件来跟进处理。
图片
3 例行审计
数据分析
利用大数据分析技术,对采集到的所有安全日志进行深度分析,形成分析后的数据结果,再由系统或人工识别潜在的安全威胁。分析手段通常可以考虑:删除无风险的安全日志(比如本区域内的数据访问、团队固定访问的白名单系统)、对重点人员的日志提取、关键IP的数据流量分析等。
人工审计
通常情况,安全审计人员需要对每天对分析后的数据结果进行人工判断或复核,检查是否有违规操作、异常访问等行为。对于确认后的异常行为,仍需要形成事件在SOC平台中跟进。
02
漏洞管理
图片
漏洞管理是指通过发现、评估、修复和预防系统和应用中的安全漏洞,确保系统的安全和稳定。其实,在前面的章节介绍网络安全产品时,已经对漏洞做过一定的阐述,本章节主要是针对漏洞如何做管理。漏洞管理流程主要是如下几个过程:
1 漏洞扫描
定期扫描
使用专业的漏洞扫描工具(如Nessus,Awvs等),定期扫描操作系统、网络和Web应用等,识别潜在的安全漏洞。
实时扫描
针对关键系统和高风险区域,一旦有新的系统变更,或者有0day漏洞被发现时,利用工具进行实时漏洞扫描,及时发现新漏洞。
图片
2 漏洞评估
风险评估
对发现的漏洞进行风险评估,评估漏洞的影响范围和严重程度。一般来说,扫描工具给出的等级(比如“致命”、“严重”等),可以作为参考,但实际上是不是要修复,在何时修复,需要根据漏洞被利用的条件综合评估。比如该系统前面有WAF可拦截,或该服务器只能在内部访问时,风险等级可以适当降低或延后修复。
图片
优先级设定
根据风险评估的结果,对漏洞进行分类和优先级设定,确保高风险漏洞优先修复。对于优先级最高的漏洞,需要找到Owner负责,并且需要将该漏洞修复任务作为事件来跟进。
3 漏洞修复
补丁修复
在终端管理中也介绍过补丁管理,此处的补丁不再局限于对操作系统、应用系统的安全补丁,也可能是需要修改部分代码、修改简单密码等。
临时措施
在无法及时修复的情况下,采取应急措施,如隔离服务器、限制系统访问的范围、增加相应的安全防护软件或设备等。
4 验证与追踪
修复验证
在修复漏洞后,安全人员需要对系统再进行扫描、测试,确保漏洞确实被修复。
跟踪报告
针对比较复杂的漏洞修复过程,需要记录漏洞的修复和验证过程,由安全人员与该漏洞Owner共同编写详细的漏洞管理报告,再关闭该漏洞对应的事件。
图片
下期将介绍:信息安全-信息安全运营之事件响应与持续改进、SOC平台建设、宣传培训。
内容还行?点击上面鼓励他们一下吧!
注:部分文字和图片源自互联网,整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益,请后台留言。如情况属实,我们会第一时间删除并向您致歉。
微信扫一扫
关注该公众号