护网行动中的安全产品优化
0x00、前言
伴随着新基建项目的不断演进,IT信息安全业务也在不断的变化,从前几年的只销售安全单品、安全服务、安全解决方案到现今的销售基于IT基础设施的安全服务。这种安全服务,安全能力不仅仅包含安全产品、纯安全服务,还需要一整套基于IT基础设施的自研的安全解决方案,有时候还需要配合外采服务满足用户需求,同时业务方面需要与大型商业活动结合,安全防护级别达到护网行动的级别,同时做好政府部门对接工作。只有这样,我们才能把这种安全服务卖上500w~1000w价钱。
0x01、安全产品优化
在对外销售这种安全服务的时候,我们发现提升安全运营人员的工作效率是整个项目盈利的核心,安全产品优化的好,我们能节省的人力成本的投入就会少,反之项目会亏损。简单举个例子:如果要提供7*24小时的安全运营服务,一个项目周期为7天,14人/天,后台二线运营也至少2个人。如果安全运营人员都把时间浪费在给主机打补丁,处理防火墙策略,数据分级等基础预防性工作,那你的工作无法集中到运营监控方面,遇到问题也无法做深入思考,一旦发生入侵事件,无法有效的处理。这些前期工作都需要增加安全服务的工时。
那么针对安全解决方案,最快速搭建的方法就是使用公有云,公有云基础设施比较完备,安全服务也齐全,包括:主机安全、云WAF、抗D、扫描器、态势感知、数据库审计、堡垒机等,那么在做护网行动前,我们要做的一些安全预防性工作包括:安全镜像优化、人工渗透测试、自动化渗透测试、主机/云产品基线、安全组ACL设置、数据分级等。
先以安全镜像优化为例:
自动化安全产品:主机安全中主机漏洞,
目前存在的问题:
@1、主机操作系统的镜像制作周期一般一个季度制作一次,因为有几十种操作系统版本,每个版本需要经过严格的测试才能上线,从漏洞产生频率上看,每个季度大约CVE,2000+,RHSA 50+ ,USN 150+ 从涉及到的软件数量看,因为用户安装的软件是不可控的状态,五花八门的软件都有,这些软件的安装都会带来主机漏洞。
@2、漏洞库爬取后,如何有效判别该漏洞是否符合产品漏洞库的条件,靠人工方式确认,一般厂商也不会这么做,投入产出比太低。
@3、在护网期间,对配置变更服务器要有一定的审批流程。新加入的服务器,新安装的软件都要做严格的审查,业务方上线需要和安全有联动,使用重保安全镜像。同时在重保期间暂停漏洞库的更新,针对一些特殊情况,例如:云服务器上运行着Kubernetes,Pod重启会导致灾难性的后果。需要添加例外。
为啥要改产品:
@1、有些流程一旦被验证,自动化会提升安全运营效率。
@2、用第三方安全产品,产品更改的难度很大,所以一般都是第三方安全厂商的售前或者产品经理通过曲线救国的方式帮你变形解决相关问题。
@3、目前大部分安全产品没有针对护网的需求,做出产品化的调整。用户需要护网模式的产品。
其次消耗安全运营人员精力的是:配置安全组和ACL策略。
由于在公有云上防火墙策略已经与安全组和ACL策略耦合在一起,同时,业务系统在不断的变更,上线下线,给安全风险管控带来的诸多不便。今天哪个部门上了一个应用,需要开TCP8080端口对外服务,也不知会安全人员,系统测试发现上一直不通,查来查去,最后发现业务系统访问的数据库端口没有加入到安全组的开放列表中,这种崩溃的事情,在护网前期时时刻刻再发生。。。没有一个整体安全可视化的网络资产管理模块,帮助用户图形化管理安全组或者ACL策略。
产品解决方案:微隔离可视化管理
通过微隔离可视化技术帮助用户业务人员在上线业务的同时,做好安全控制。既提高了配置工作效率,也防止高危端口暴露在外,给红队小伙伴可乘之机。
产品的核心是可视化:
@1、需要支持自定义分组,例如:按照业务分组等,同时支持各种角色组,例如:数据库角色,web服务角色。
@2、工作负载与访问关系展示。
@3、访问边聚合的连接,以及访问方向和属性。
第三部分,就是存在公有云上的关键数据的分级分类整理,什么样的数据需要哪种级别管理,这部分早期护网行动中涉及的比较少,但是伴随着护网的深逐年入,拿到用户数据的情况也越来越多,据了解阿里云2020年护网行动中拿下所有目标的用户数据。
还有一种情况是,很多用户特别是大型用户上公有云后,在公有云上常年积累了很多数据,散落在对象存储,RDS数据库,大数据存储引擎中,,再加上各种应用在调用这些数据,短期内很难做分级分类处理,这就需要有一套自动化产品帮助用户梳理,保护。
产品解决方案:敏感数据保护系统
@1、敏感数据识别
@2、数据安全审计(主要包括对象存储和RDS)
@3、数据脱敏
数据分级是在数据防泄漏项目中最重要的一步,这一步的智能化程度高低代表安全运营工作效率快慢。特别是在护网前期准备阶段,需要对数据进行分级,最终决定数据保护的级别。比如用户比较关注自己CRM会员系统,一旦出现数据外泄,整个护网行动功亏一篑。
0x02、重新定义安全服务
这种安全服务,包含的安全产品需要为整体的安全服务效率负责,这里定义的安全服务,也不仅仅是人工渗透测试服务,还包含:业务安全规划、项目实施、应急演练、压测、复盘、线上护网级别的重保、网安国安政府对接事务性工作;同时,安全产品近期的规划也需要一个“护网模式”,通过安全能力产品化的方式赚钱,越来越难了,通过托管服务方式对外输出安全能力的时代将来临。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微软从Windows 10控制面板彻底删除Flash配置组件
作为网络最常见的安全威胁之一的Adobe Flash Player将在2020年底前从Windows 10中彻底移除。 此前,Adobe公司表示,计划在2020年逐步取消对Flash Player的支持。包括微软、谷歌和苹果在内的软件制造商都在制定Flash Player的淘汰计划。此外,今年年底也将是Windows 10中Adobe Flash的终结时刻。 Flash Player将随着 Windows 10的下一个功能更新而消失,预计将在明年到来,微软还将提供一个可选的更新,用于从旧版本的Windows 10中删除Flash Player组件。 微软最近发布了Windows 10的预览版更新,它附带了许多错误修复,但有一个没有记录的变化是完全删除了操作系统中的Adobe Flash。 在预览版中,微软已经悄悄地删除了允许你为Windows 10配置Flash Player的传统 "控制面板"设置。同样,微软也从Windows 10的安装介质中删除了所有其他Flash Player组件。 微软在Windows 10中取消Flash Player支持并不是一个意外的变化,微软Edge ...
- 下一篇
利用Ghidra逆向分析Go二进制程序(上篇)
Go(又称Golang)是Google公司于2007年设计的一种开源编程语言,并于2012年向公众开放。多年来,它在开发者中广受欢迎,但它并不总是被用于“善意”的用途。正如经常发生的那样,它也吸引了恶意软件开发者的注意。 对于恶意软件开发者来说,使用Go语言是一个诱人的选择,因为它支持交叉编译,也就是说,可以把Go语言编写的代码编译成在不同操作系统上运行的二进制文件。这样的话,就能够让攻击者的生活变得更加轻松,因为他们不必为每个目标环境开发和维护不同的代码库了,岂不快哉。 对Go二进制程序进行逆向分析的必要性 由于Go编程语言的某些特性的原因,逆向工程师在处理Go二进制文件时通常会遇到许多阻力。尽管目前的逆向分析工具(例如反汇编器)可以很好地分析非常流行的语言(例如C、C++、.NET)编写的二进制文件,但是Go语言却带来了新的挑战,使得分析工作变得更加繁琐。 Go二进制文件通常是静态链接的,这意味着所有必要的库都包含在编译后的二进制文件中。这会导致二进制文件的块头变大,从而使得恶意软件的分发对攻击者来说更加困难。另一方面,一些安全产品在处理大文件时也存在问题。这意味着大型二进制文件可...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- CentOS8编译安装MySQL8.0.19
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2全家桶,快速入门学习开发网站教程