安全组织架构总结 第1篇
云安全的最终宿命还是最终解决客户的数据安全问题而生的。云安全发展了这么多年,从最开始的关注云产品安全(虚拟化逃逸、多租户隔离、越权等)和云上租户的安全(提供云上安全的纯净度,让整个云上客户享受云安全的福利,普惠云安全)到后来发展到关注云上数据安全(包括发展如日中天的云数据安全中心、云上分类分级、云DLP等等能力),再到现在和未来2-3年要发展的Privacy By Design默认隐私安全。这些路径的发展,其实也是有一根核心主线的。这个主线就是云上的看见能力不断提升。
云上看见能力一直在更新迭代,从业界比较火的云安全中心产品来看,收集云上(系统日志、网络VPC日志、应用访问日志、云产品访问日志、身份登录日志等)、混合云(私有云和IDC相关的系统、网络、应用、云平台、云底座、云产品等)、多云(AWS、Google、Azure等等多个云上的日志),用来解决云上客户入侵的事件,降低发生概率。同时围绕反入侵领域也构建了,CNAPP(云应用安全平台)、CWPP(云工作负载保护)、CIEM(云身份安全)、Cloud SIEM(云上SIEM)、CSPM(云安全配置检查)以及应用、网络和身份安全(WAF、DDoS、IDaaS)等产品能力。
为了更好地解决云上客户的数据安全问题,满足国内外的各种法律法规的要求,例如GDPR、数据安全法等,近两年云上数据安全也爆发了不少的产品体系和咨询体系。从DSMM数据安全能力成熟度评估开始拉开了序幕,当年有幸跟DSMM的相关同学进行了对应的标准制定,当时在制定的过程中发现,DSMM标准是比较完善和体系化的,从组织、能力、数据安全生命周期、制度流程、人员能力等等各个维度很好的定义了数据安全的各个方面的内容。但是当时也暴露出来了很多问题,由于DSMM过于超前,很多产品侧的能力、人员能力、组织上都不是很成熟。但是随着时间的推移,数据安全去年和今年依然成为了增长最快,各个行业都重视,国家也大力发展的行业。自然在云上数据安全产品也经历了快速的发展,形成了数据安全咨询、数据安全产品体系、数据安全解决方案、数据安全运营的闭环体系。
今天也重点讲解一下云上数据安全的一些建设的顶层设计,由此也引出云上Privacy By Design的设计里面。
1、扩展数据源:
目前云上数据安全产品的大概思路主要覆盖云上全域(包括终端例如手机,PC,服务器等、大数据包括Hadoop,云厂商自研的大数据AWS Redshift,Aliyun MaxCompute,Google Bigquery、数据类产品包括RDS,MySQL,PostgreSQL,SQL Server等、自建的各种数据存储平台、多云的、混合云)的数据采集维度作为数据源;
2、覆盖数据安全能力:
有了数据源之后开始建设各种数据安全能力,包括支持全域的数据分类分级、敏感数据识别、数据安全防护、数据脱敏、数据审计、数据访问异常等能力;
3、满足合规和解决数据安全风险:
构建这些能力,最重要的目标和目的还是解决数据安全泄露的相关风险,最终满足GDPR、个人信息保护等各种法律法规的要求;通过数据安全运营最终闭环数据安全风险;
因为云上数据安全也一直在发展和迭代,目前从国内外的趋势来看,Privacy By Design成为了云上数据安全发展的一个重要趋势。下面也从我的个人角度来看一下这种趋势造成的原因。
首先,在大型企业内部例如电商、物流、金融企业等,这些行业的数据是非常值钱的,也是黑灰产重点关注的。由于数据的高价值性,大型企业一般非常重视数据安全的相关建设,尤其是跟消费者相关的数据,包括手机号、购买的商品、个人信用报告等等敏感信息,这些敏感信息一旦泄露和被利用,会对社会造成很大的影响,例如一旦电商、物流、金融数据泄露,下游的诈骗就会频发,人民的财产安全就会受到影响。所以这些企业非常重视个人信息保护,也采取了包括全链路追踪、全程票据、去标识化、跨境数据流动安全的治理需求,核心目标还是收敛、减少和针对敏感数据的流动安全、预防数据泄露的核心目标。
其次,从外部来看包括GDPR、个人信息保护法等法律法规的出台,让隐私的重视程度提升到从未有过的高度。下面就开始讲解一下Privacy By Design的一些设计理念和未来的大概的发展方向。
上图是微软新发布的隐私安全产品Priva,今天不重点介绍微软家的产品。今天还是重点看一下Privacy By Design的一个发展方向的探讨。首先在数据源方面,支持包括终端、大数据、应用日志之外,还应用扩展到“混合”办公的多个领域,包括IM聊天工具例如微信、Microsoft Teams、钉钉等;邮件的附件和内容体;云存储例如云盘、OSS、钉盘、企业微信盘、Micrsoft SharePoint等内容管理平台;
另外一个问题就是这些数据除了看见存在哪里?是否合理的存储?是否有加密策略?是否流动过程是安全的之外,还可以针对SaaS导致的数据共享泛滥的问题进行解决。终局也就是说未来云上、线下、混合云、多云的各个领域的数据理论上是都会看见、保护、运营的闭环的。在未来2-3年,越来越多的云产品会支持发现个人隐私保护方面的发现能力、数据流动、数据权限开放过大而导致数据泄露的场景的覆盖。也就是说未来,企业上云之后个人隐私数据会第一时间知道在哪里保存的?保存的是否是合规的?是否有数据滥用外泄的风险?想想这样的隐私安全保护,客户的信任和数据安全风险的治理是不是上了一个更高的台阶?让Privacy By Design成为云的默认安全属性。
PS:(构建这样的看见能力,当然是需要客户进行授权的,通过授权的方式来获取对应的企业的相关数据,未来云操作透明、云审计公开、云运维可全程自证会成为构建Trust Cloud的必经之路)。
安全组织架构总结 第2篇
安全管理体系是信息安全体系架构中的基础模块。从安全工程实施的角度来说,安全管理理论上是一个大概念,其涵盖的范围非常多,重要性与所产生的价值也远超技术安全,俗话说三分技术七分管理就是指这个。但单从安全体系架构的不同模块来讲,我这里的安全管理体系并没有那么高端,它在整个信息安全体系架构中扮演辅助角色,主要承担一些非技术的内容。
在实践中,这里的安全管理体系根据实际情况已被狭义化和裁剪化,狭义化和裁减化之后,我将安全管理体系分为安全培训、安全运营、安全制度、人员安全、知识沉淀等五大块,接下来我将逐一展开论述。
这里的安全管理体系属性偏辅助,优先级也不算高,不过其重要性却不可忽视,因此属于慢建设的部分。
安全组织架构总结 第3篇
这里的安全运营也是一个小概念,它并没有通常所说的大安全运营那么高端(大安全运营是指:除了开发部署,一切皆运营),在实践中,我将这里的安全运营分为应急响应中心SRC和安全影响力提升两大块。
应急响应中心SRC
实际上,我司是没有SRC的,我仅在这里谈谈我对SRC的一些想法。
众所周知,随着公司的不断壮大,公司的影响力不断提升,肯定会有越来越多的白帽子关注到公司,如果这些白帽子发现的安全漏洞没有地方安放,这些漏洞就会流入未知的地方,对公司造成的威胁也将大大增加。因此,SRC应用而生,用来收集社会上白帽子提交的安全漏洞。
建设SRC是需要一定时机的,首先公司影响力要足够大,大到有安全白帽子关注到,否则建设完SRC又让它常年在那里吃灰,是没有意义的;同时再加上有外部安全事件推动,在外部安全事件引起老板们的重视后,建设SRC的时机就成熟了。
在SRC的建设历程中,我认为最难完成的一点应该是漏洞奖励的落地,因为这对于公司来说是一笔额外开支,老板们能否认可这笔开支的价值,就看缘分了。如果对白帽子提交漏洞不设奖励或奖励度低于公共漏洞平台,那白帽子为什么要将漏洞提到你的平台上呢?
满足前置条件之后,剩余的工作应该是没有太大难度的,首先搭建一个SRC平台,之后就是运营的工作了,例如等待白帽提交漏洞,在漏洞提交上来之后,安全部门对漏洞做评估定级,之后安排奖励发放,并对漏洞做修复推进等等。当然,实际上可能会更复杂一些。
安全影响力提升
安全部门的影响力可以分为外部影响力和内部影响力,内部影响力是指在公司范围内的影响力,外部影响力是指在公司范围外的影响力。
提升影响力的方式有很多,对于内部影响力来说,如安全培训、安全宣传、安全周或安全月活动等等,都是提升内部影响力的方式。对于外部影响力来说,开设公开的安全博客、定期更新安全文章、参加一些大会的演讲、赞助CTF比赛……等等,也都是提升外部影响力的方式。
提升影响力对于安全部门来说是很有益处的,对外影响力高了,能汇集各路大牛加盟,大牛加盟能让影响力更高,从此走向正循环;对内影响力高了,则能更轻松的开展一些安全工作,少一些妨碍。
安全组织架构总结 第4篇
今年还是很惊喜的看到了很多防御上的一些创新安全架构,包括端到端身份防御架构的落地和下面讲到的数据安全防御大招(全程票据)。也就是说经过今年的一些发展,尤其是零信任架构的快速普及,零信任架构依然_进化_成了一个全新的端到端身份防御架构。
首先讲一个场景,看看各位安全友人是不是都碰到过这种情况。自己的公司安全现状是在漏洞上投入了非常多的人力、产品,包括做渗透测试、红蓝演练,挖掘到了大量的API越权漏洞、RCE、SSRF等漏洞,但是做了特别多的事情,最终通过一个账号(身份)就把数据全部都窃取走了,包括去年提到的微软、英伟达、Uber、Okta遭受了Lapsus$的身份攻击,去年这个趋势已经非常明显了。
而今年的对抗场景又进行了全新的升级,身份不管是被冒用、窃取、盗用等,是必不可少的Assume Breach的案例,由于身份的被攻破,就出现了另外一个比较严重的问题,目前很多应用层面的权限管理是非常混乱的。也就是说今年的身份对抗升级到了两种,一种是黑客入侵之后通过冒用、盗取Cookie、模拟账号准入、绕过MFA的方式持久化的维持企业的账号身份,另外一种就是利用这个身份的默认权限过大的设置,进而窃取更多的数据。
总结一下身份的三层风险:
1、高安全等级MFA绕过:
现在暗网已经出现了一种新型的钓鱼方式和一种新型的账号买卖服务,Pishing As A Service(EvilProxy)可以模拟Microsoft、Apple、Google、Amazon等登录界面的伪造,让受害者直接登录EvilProxy的钓鱼服务,进而绕过MFA获取到登录的Cookie,并且通过持久化保持的方式,一直维持登录状态;
2、身份伪造和冒用:
黑客掌握了你账号之后,就会通过各种手段来维持这个权限,目前整个身份最薄弱的攻击点,就是用户你登录的身份之后,利用Cookie和JWT Token来维持权限,对经过验证的身份进行伪造和冒用;另外还有终极的伪造大招,就是窃取对应的JWT、Cookie的私钥,来伪造任意用户的登录,历史上俄罗斯的国家级攻击团队,就针对微软ADFS发起过Gloden SAML2的攻击,影响是毁灭性的,对整个企业造成了非常严重的影响,因为一旦拥有私钥就拥有了上帝攻击视角,可以伪造企业管理员来管理整个企业,包括ICS生产控制系统、数据窃取、企业知识泄露,这些就不在话下了;
3、应用权限过大导致的大范围数据泄露:
另外一个很普遍的事实,包括国内非常TOP的在外人看来安全性很高的企业,其实应用权限的问题也是一个泛滥的问题,默认权限就可以访问企业的敏感数据、默认的账号权限就可以访问大量内部文档、默认账号权限就可以控制生产系统,这些案例真是触目惊心,让人不寒而栗。
幸亏我的目的不是吓唬大家,而是提出对应的解决方案,今年在零信任的方案上,我还是看到了有一些创新的安全方案的落地,那就是端到端的身份防御架构落地,从安全架构层面来解决上面的几个问题。首先有几个前提,还是要交代一下,实际的客户场景是这样的,客户拥有对应内部的SSO、权限和终端安全产品,应用总数大概1W+(全部都是YY数据,请不要对号入座),有超过20%也就是2000+的应用接入了SSO、权限管理和日志审计等安全能力,还有40%左右仅仅接入了SSO,并没有纳入权限管理,也就是说40%的应用权限非常大。
另外还有40%大概4000+的应用SSO、权限都没有接入,就是一个普通的应用,例如开源的Yum代码管理、Nodejs源代码管理平台等等,一旦突破内网将会遭受很严重的攻击,因为有60%是获取到身份之后就会一马平川,另外40%也由于历史上管理的问题,权限没有得到很好的收敛,有非常多的API越权等严重漏洞,可被内鬼和黑客利用。
在这种场景下,端到端的身份防御架构应运而生,如下图所示,下图是一个大概的示意图。我慢慢展开这个安全架构的细节。
1、无终端安全无入网:
首先在企业内网中部署了对应的终端安全产品(EDR+DLP+EPP+AV)的统一安全架构,而且跟企业办公网络等进行打通,也就是说没有部署终端安全产品的话,是不允许准入整个企业办公网络的,这个也就形成了第一层的身份防御点,无终端准入不能入网的原则;
2、未接入权限DNS域名配置:
在讲统一接入智能网关之前还是先讲一下,接入内部应用域名的流程,首先在企业内部申请对应的域名,这个域名未来会同步到终端安全产品上,做对应的DNS导流操作;
3、智能导流:
通过终端安全的网络过滤模块,将上述的DNS的请求导到SmartGateWay智能网关上,通过智能网关接入统一的SSO身份认证能力;
4、统一智能网关:
智能网关接受终端转发过来的请求,这个时候请求第一次是不携带对应的身份的,这个时候智能网关因为没有判断到终端携带的身份属性,所以跳转到了对应的SSO登录后台,进行身份验证;身份验证过之后,可以通过终端+统一智能网关+SSO身份进行身份认证的操作了;
5、统一智能权限网关:
这个时候已经完成了对应的应用少量侵入就完成SSO统一接入的过程了(为了保证安全,后端服务要仅仅允许智能网关携带的身份访问,避免造成直接访问后台绕过智能网关的风险),接入SSO之后就可以通过统一的智能权限网关进行统一的权限收敛了,例如可以做到URL级、响应级、参数级、字段级的数据安全访问控制了,而且也能很好的在同一的地方收敛到敏感的个人信息,达到去标识化的目标。然后在业务场景上也可以做更多的限制,例如外包不能访问某些大数据平台、美国员工不能访问中国的PII数据、数据跨境的时候做对应的审计的各种业务场景了。(下图是腾讯iOA架构图)。
安全组织架构总结 第5篇
对于数据安全领域来看,很难有一套非常顶层、通用的一套数据安全治理的大图。下面的大图,我也仅仅是抛砖引玉,从我自己的角度来看一下我心目中的数据安全的大概的样子,也许不是很成熟,请大家多多指正。
在讲解数据安全大图之前,还是简单讲一下今年对数据安全的一个理解,由于今年的工作内容的原因和平时的一些演练角度来看,国内外做数据安全的方式上还是各有不同的。例如咨询行业、制造业比较关注终端的数据泄露,通过Symantec、McAfee、ForcePoint等产品来做对应的知识产权的保护,对于文档、等非结构化的数据做DLP防泄露;例如在国外云厂商很多做数据安全的,例如Google提供SaaS化的DLP API的能力来整合数据安全产品;Azure推出Priva+Purview来评估云上的数据安全和隐私保护;Azure同时也推出了MIP相关的信息保护产品线,用来保护自己生态内庞大的文档、邮件等数据流转、个人隐私相关的治理;
另外还有越来越多的企业为了可以实现_数据不落地_的理念慢慢往RBI、VDI方向上走;云上也针对用户的数据安全提出来了机密计算、可信计算、隐私计算等领域;数据安全是一个很庞大的体系,其实很多数据安全的解决方案都是根据实际的业务场景演化而来的。所以啰里啰嗦这么多,还是要提一嘴,上面的数据安全体系大图并不一定是最好的、最理想的数据安全体系,适合自己业务场景的,能解决自己企业数据安全风险的架构才是最适合自己的,别人的只能拿来做一些参考而已。
1、数据治理框架:
这个不用过多的描述,相信大家比我更清楚的理解行业监管需求、国家法律法规、企业业务要求等;这里有两点要说一下,很多时候数据安全事件的处理和处置很难以奏效,或者有些时候很难在企业内部形成一致,其实这个时候红线、规范就非常重要了,红线设计的好坏直接影响到安全的信誉,以及安全在企业内部的阻力等问题,好的红线设计可以让安全水位得到质的提升,在设计安全红线的要充分考虑业务部门的感受,尤其是红线导致的奖罚措施也比较重要,要得到业务部门的充分理解和认可也是一件挺不容易的事情;
第二个就是红蓝对抗,在对抗过程中会发现各种各样的安全问题,这些安全漏洞,就成为了企业数据安全治理方向的指引明灯,尤其一些企业目前建设了紫军、数据窃取蓝军、数据高仿真等岗位和角色,针对数据安全风险角度有了更多的输入,这样更有利于数据安全顶层设计的一些建设和输入;
2、数据安全治理体系:
企业安全制度制定的主要目的是有法可依,有章可循,先定好企业内部规范,在处理很多事件上会省不少解释成本。企业制度包括数据安全总章、数据分类分级标准、个人信息保护规范、数据跨境治理规范、外包管理等等内容;
这里的企业安全规范治理制定的好坏的唯一评价标准,就是后续的巡检能否落地,企业的规范如果仅仅是一堆废纸,那也就失去了本来定义的价值。所以好的企业安全规范,是可以通过安全巡检能力来持续的、自动化的、不间断的验证能力和规范的水位的,例如定义了企业制度是没有终端安全不入网、DLP策略的有效性验证、数据分类分级的自动化验证、自动化的验证数据外发渠道策略是否有效、验证云盘上传可以发现,另外可以通过数据蓝军、紫军来构建“日日练”的效果。
有了规范制度,也能巡检对应的安全水位了,下面要做的就是针对出现的各种问题的交付SOP了,例如数据外发策略失效了,那对应的处置手段、升级手段到底是什么?我见过好的SOP是非常详细的,可操作性极高的,而且明显可以让一线的人按照手册就可以快速解决的;最后通过不断的优化来完善整个数据安全治理体系的运转;
3、构建数据安全能力层:
通过威胁情报、数据泄露CASE输入、数据安全风险评估角度,分析出对应的数据安全风险,其实数据安全风险也会随着时间的推移而变化;有了这些输入之后,就开始构建对应的能力和解决方案,包括数据发现(分类分级、全覆盖等可参考下面的【2022总结-Privacy By Design】的思路来进行覆盖)->数据异常检测和保护->数据防泄漏;另外还有一层非常重要的身份层,可以参考【2022年总结-端到端身份防御架构落地】章节。
4、数据安全运营:
针对构建的安全能力,需要对应的数据安全运营手段来不断地分层运营,包括数据安全事件的处置、溯源,数据安全能力的推进等;
5、度量指标:
有了运营的持续运转,需要良好的度量指标体系来衡量整个数据安全的水位,这些指标是非常关键的,包括运营指标、能力指标、响应指标等各个维度的数据;数据安全度量体系是驱动整个数据安全良性运转的重要“北极星”指标,有了这些指标才能更加良好地推进数据安全往前发展。
安全组织架构总结 第6篇
1、MXDR将会扩展到Data DR+DataSecOps:
目前XDR+MDR已经成为了一个国内外标准的配套落地托管服务,通过MDR托管服务来利用对应的XDR(EDR、NDR等)产品构建一体化服务能力。按照MXDR(Managed Extended Detection and Response)的Extended扩展的能力来看,2023年将会出现IPDR、DataDR相关的产品能力,来构建对应的MXDR服务扩展能力。IPDR主要是解决身份相关的攻击,包括CIEM、UEBA、身份异常检测等DR;
DataDR会增加以数据安全为维度的攻击检测和响应,包括数据窃取、代码窃取和数据应急响应服务的催生,进而增加DataSecOps数据安全运营细分领域,让MXDR服务进行扩展更大的服务对象,解决更多反入侵、数据安全泄露和身份攻击检测和响应的风险闭环;
2、Data Breach Simulation需求明年会爆发:
数据安全经过几年的发展,目前已经形成了相对完善的产品和解决方案体系,由于目前这两年完成了对应的初步建设,对于Data Breach Simulation(数据安全窃取模拟)的需求会增加;对于BAS厂商来说,融入DBS来检验数据安全建设水位,成为了新的方向;(演练内容包括数据安全泄露评估、数据泄露能力演练、数据加密防勒索演练、数据外泄演练、DLP渠道外泄演练、模拟窃取数据演练、大数据模拟窃取演练、内鬼分级(IT内部、财务内鬼)数据窃取演练、端到端数据泄露模拟演练、数据蓝军日日练);
3、威胁情报(TI)+CAASM+EASM+DRPS+CTEM+BAS+反入侵分析组成新的平台:
今年在ASM攻击面管理上投入了一些时间,发现了一个明显的趋势就是ASM已经不仅仅是一个攻击面管理的产品了,目前在国内外的ASM依然形成了TI威胁情报(微软收购RiskIQ主要是用来扩展情报能力,售卖更多客户,增加产品收入丰富度)、CAASM(内外部集成的攻击面管理)、EASM(外部视角的攻击面管理)、DRPS(数字风险监控包括暗网等,尤其是今年国内的数据泄露频发,在暗网上售卖也成了新的趋势)、CTEM(持续的威胁暴露评估,核心就是从企业角度通过TI+CAASM+EASM+DRPS的信息输入,针对整个威胁进行持续的评估,类似以各种数据能力构成的企业安全攻击面持续评估,不断发现新的威胁,减少企业的暴露面,提升安全水位)、BAS有了前面持续的能力,后面就需要构建针对安全防御能力的持续验证能力、最后就是反入侵分析能力。
例如Mandiant被Google收购之后,联动Google Chronicle来提供反入侵分析能力,用自己多年积累的IOC来赋能产品,帮助客户发现更多威胁;这些发展趋势可以让国内的一些安全厂商可以吸收和消化,进而完善对应的产品线丰富解决方案,也许这个平台会出现千万级的大型安全单子,让我们拭目以待;
4、应用安全平台(ASOC、ASPM)开始出现众多营收机会:
其实在企业内部做SDL的同学不占少数,应用安全、云产品安全、复杂电商、金融业务的应用安全其实并不是很好做的,需要体系化的建设思维,而不仅仅是从一个单点的SAST、DAST、IAST等单点领域解决全局问题,这些单点的技术能力是为了解决一个局部的问题,所以问题出现了,在企业内外部已经出现了ASOC(应用安全编排和关联)和ASPM(应用安全态势)的产品和趋势,在国外Synk、Enso更是安全资本追逐的热门厂商,关其根本不看热点,国内外还是需要一个应用级的安全平台以及统一的应用安全中心来处理和应对不断出现的漏洞和风险的解决;
在我的理解,ASOC是真正的CNAPP云上应用安全保护的落地形态,从攻击面收敛、代码漏洞、镜像漏洞、凭据泄露、线上API测试、云安全配置检查、云原生安全漏洞角度,统一化、能力集中化的角度来解决云上应用安全风险;
5、XSPM会成为继XDR之后的又一个爆发领域:
论2022年最火热的安全概念,非XDR莫属,一时间XDR如雨后春笋般快速爆发;真正得到起XDR精髓的早已跟MDR进行了绑定,营收快速增长赚的盆满钵满,真正的让产品原子技术能力->产品模块->产品->XDR模块化融合,到最后的SaaS MDR进行托管的体系落地,这套体系也让SaaS MDR成为了可能;无非现在还是在落地过程中,离真正意义上的SaaS MDR有点差距,不过已经在往正确的路上演进了;
今年在落地过程中,发现了一个很好玩的趋势,那就是现在越来越多的XDR们(检测、响应)开始往XSPM方向发展,SSPM(SaaS SPM)、ASPM(Application SPM)、DSPM(Data SPM),纵观本质还是因为XDR的落地已经饱和,需要新的更大的安全态势理念来进一步的发展;
6、云平台安全需加大投入,预测国外TOP3的云会出现大规模数据泄露事件:
其实这件事今年已经发生了,那就是M$的Blob的数据泄露事件,由于错误的安全配置,导致了客户的敏感数据造成泄露,其实这个趋势也是肉眼可见的未来可以看到其发生,由于云的开放性(包容万物、代码开放)、业务上云APT组织也上云、对于很多云平台的研究增多、去年大量数据泄露的漏洞爆发这些趋势来看,国外TOP3云平台出现大规模的数据泄露的事件也许就会在2023年上演,给国内云平台带来最大的启发就是云平台+云产品安全要进入深水区了,面临的对手已经不是几年前不懂云是什么的攻防对抗高手了,在多租户隔离方面要加大投入,提升对抗门槛,持续加大对抗难度;
7、身份攻击会成为全球TOP One入侵原因,身份产品迎来重大机遇(黑客进入_无漏洞_【无漏洞就是利用身份+身份拥有的权限+API来进行攻击】的利用时代):
去年的总结其实已经预测了对应的身份攻击会爆发,今年的众多安全事件【微软BING代码、Uber数据泄露、英伟达代码泄露、Okta入侵事件】已经暴露了众多的身份安全问题,未来这个趋势会越演越烈,预测今年身份安全产品会开始出现,围绕身份安全检测、身份异常、身份权限、身份攻击、行为检测、异常身份对抗会出现众多机会,安全厂商投入对应的技术研究和产品研发,另外客户也会在某些演习活动中感受到身份被窃取导致一些检测上的盲区进而身份领域需要增强的痛点。
安全组织架构总结 第7篇
安全培训的目的一般是为了提高公司人员的安全素质,避免因人员自身的问题而带来安全风险。此前有机构调研得出,在信息安全的各个分支领域中,安全培训属于产出投入比(比重=产出/投入)最高的一个分支,在安全培训开展得当的情况下,简单的安全培训就能提高人员的安全意识,而人员的安全意识提升上来之后,很多安全风险就大大降低了。
从某种程度讲,人员的安全意识是一个大概念,除了指例如设置复杂密码、离开座位要锁屏之类的琐事外,开发人员的安全编码意识也是一个方面,如果开发人员的安全编码意识强,代码逻辑中的各个环节就会添加校验,业务中的技术漏洞也会大大减少。
在实践中,根据安全培训内容的不同,将安全培训分为安全意识培训和安全技术培训两方面。
安全意识培训的目的是提高公司员工的信息安全认知与防范意识,其面向的群体一般是公司所有员工。要开展安全意识培训,首先要做的是和培训的相关负责人搭上关系,了解清楚目前培训体系的具体情况,然后再视具体情况制定对应的培训计划。需要了解的情况如:
1、是否有新员工培训,培训的周期是怎样的,能不能加课? 2、新员工培训是否有考试,考试的形式是怎样的,是否可以加入安全意识考试? 3、安全宣传的准备流程是怎样的,要不要审批,海报谁来设计,谁来负责落地? 4、讲公开课的前期准备流程是怎样的,要不要审批,怎么做前期宣传? 5、公司是否有考试系统,权限由谁管理,该系统是怎么使用的?
了解完以上的具体情况后,接下来就可以制定计划并开展工作了,工作分为三块
第一块:新员工安全意识培训
1、第一步,确定新员工安全培训范围。这一步需要安全部门确定培训范围并撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;
2、第二步,确定新员工安全考试范围。这一步需要安全部门确定考试范围并编写考试试题,考试试题建议以选择题和判断题为主,不要出其他类型的题,以方便批阅;
3、第三步,执行新员工安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;
4、第四步,执行新员工安全考试。按新员工培训结业考试的方式,将安全意识考试搭车进去,考核方式与新员工培训结业考试的考核方式一致,例如考试不通过不能毕业等;
5、第五步,持久化该项目。安全部门应参与每一届的新员工培训,通过安全培训与考试,提高新员工的安全意识。
第二块:安全意识宣传
1、第一步,确定安全宣传的准备流程。一般情况下,安全部门只负责出内容,其他专业的事情需要让专业的人去做,例如宣传执行、海报设计、原料采购、摆放展位等等,因此,要做安全宣传,第一步应该是确定安全宣传的准备流程;
2、第二步,启动流程。例如提海报设计需求给UED、提海报采购需求给行政、确定宣传海报摆放位置如大厅等;
3、第三步,摆放宣传。海报设计完成并制作成实物后,由宣传执行部门摆放在预定的位置进行宣传。
第三块:全员安全意识培训
1、第一步,确定培训周期与考试周期。培训周期可以一季度一次,考试周期一般一年一次即可;
2、第二步,确定安全培训范围。这一步需要安全部门撰写培训课件,培训课件内容要事先和培训相关负责人同步,双方确认无问题即可;
3、第三步,培训前准备。这一步需要安全部门提请公开课审批,以及开展相关的宣传工作等;
4、第四步,执行全员安全培训。这一步需要安全部门参与到实际的现场培训中,讲解安全培训内容;
5、第五步,全员考试调研。这一步需要安全部门确定公司是否有考试系统,如果公司没有考试系统,则全员考试不开展。如果公司有考试系统,则申请相关权限,并与培训相关负责人沟通好考试事宜;
6、第六步,确定全员安全考试范围。这一步需要安全部门编写安全意识考试题,建议以选择题和判断题为主,不要出其他类型的题,否则不好自动化批阅;
7、第七步,执行全员安全意识考试。安全部门通过通过考试平台,向全员推送安全意识考试,并以固定时间间隔对未考试人员重新推送安全意识考试;
8、第八步,安全培训后续工作。后续工作例如对于未参加考试的员工如何处置、对于考试不及格的员工如何处置等等。
以上操作执行下来,员工安全意识这块的工作就算完成了。
上一节所说的安全意识培训属于普惠式的安全培训,即适用群体是所有员工,并不会涉及专业知识。除了开展普惠式的安全培训外,还需要对技术人员进行安全培训,而对技术人员的安全培训则是需要涉及到专业知识的。
安全技术培训实际上是SDL的第一部分,属于应用安全体系的内容,但在实践中,出于安全整体的考量,我将其划分到了安全管理体系下的安全培训里面。
从培训周期来讲,安全技术培训由于受众群体较少,培训周期可以根据实际情况自行决定。从培训内容来讲,安全技术培训分为两块,一块是对技术人员的安全培训,另一块是安全部门内部的安全分享。
对技术人员的安全培训一般包括:
1、对产品部门的安全培训。对产品设计人员进行安全培训可以提高他们的安全素质,从而在设计产品时无需安全部门介入就能规避掉一部分安全风险,同时让产品设计人员知道哪些功能需要安全部门审计,哪些功能不需要安全部门审计,这样可以大大节约安全部门在产品需求上所耗费的时间和精力。
2、对研发部门的安全培训。对研发部门的安全培训主要是安全编码培训,通过培训提高产品开发人员的安全编码能力,从而在编码时知道怎样规避常见的安全漏洞,进而提升产品的技术安全性,降低产品的技术安全风险。
除对技术人员进行安全培训外,还有安全部门的内部安全分享,这里的内容就很多样化了,例如各自负责业务的详细说明、新安全技术的研究、新安全政策的研究、安全漏洞分享等等,组内分享比较随意,分享内容也可以根据实际情况自行决定。
安全组织架构总结 第8篇
2022年已经走完,这一年是_变化_较大的一年,不管是疫情的变化、安全圈的变化、还是我个人的_变化_,这些变化背后我还是体会到了很多“规律”性的不断迭代的洞察点。今年我给整个安全行业的关键词是_进化Evolution_,今年的2022总结和2023安全方向展望,也会一直围绕着_进化_这个词进行展开。
_进化_代表的是安全行业的深水区,需要出现新的安全能力、安全技术、安全解决方案,让现在的安全行业的水位提升到一个层次。
_进化_也代表着目前的一些安全领域,需要不断迭代_进化_出更深层次的围绕客户痛点,解决客户风险和问题驱动的安全领域。
_进化_还代表了蜕变,形成安全技术壁垒成为企业发展的重中之重,“实战化、体系化、常态化”依然是安全行业发展的舵盘,指引行业安全的提升。
_进化_代表着协作,安全行业需要一剂强心剂,因为未来三到五年_狂风暴雨将至_,也许国家之间会发生网络战,目前国家各个部门也在积极准备应对可能发生的重大网络战危机。
作为安全行业里面一个积极看好网络安全从业者来说,能做的就是踏踏实实讲出来看到的行业安全解决方案、新兴安全技术、完善的安全架构,从自身的企业安全做起,不断分享迭代,逐步形成最佳实践,真正_进化_出网络安全的核心_防御长城_。
废话不多说,开始2022年总结之前,针对之前写的2021年安全架构总结和2022安全方向展望做一个简单的回顾(挑选2个总结):
1、云上攻击会越来越深入,影响越来越大:
2022年相信各位特别关心云安全漏洞的同学一定很清楚,今年Azure、AWS、Google被纰漏出大量导致数据泄露的多租户隔离和逃逸漏洞,影响范围极大,对云厂商信誉和客户的信心都造成了较大影响,其实这个趋势也是必然的,因为国家级的对抗都是随着基础设施变化而进行攻击的_进化_的,近两年上云的趋势已经非常的火爆,基本上上世界500强90%以上都已上云(多云、混合云),由于这些客户的高价值,作为国家级威胁体,会随着这些客户的上云进而研究最高安全等级云的安全,寻找安全漏洞,窃取客户的高价值数据。
2、终端安全新赛道(_混合_办公安全):
如果读者目前在做SASE、终端安全、数据安全等,就会在客户的需求中,得到对应的答案,目前各个行业的客户都在想如何利用_一站式_安全产品体系,来解决客户的数据安全问题。所以去年提出的跨平台、终端安全EDR、DLP、EPP进入融合时代是必然的,随着客户的设备的复杂性的增加,MacOS、手机端、*NIX操作系统的数据安全、反入侵等需求也呈增长态势。
去年的趋势简单分析完,今年我也会展开今年2022年的安全架构总结方面的内容,主要从数据安全体系已进入成熟运营阶段DataSecOps依然到来;数据安全和隐私安全对抗从数据全链路跟踪_进化_到全程票据端到端全链路鉴权;应对国家级威胁体的攻击,如何通过终端安全+身份安全+API智能网关构建网络防御长城;应用安全进入融合时代(编排和关联分析时代),ASOC崭露头角;云上数据安全新方向主权+全云全域隐私防护,让默认隐私(Privacy By Design)真正在云平台落地。 (特此声明:此研究仅仅是个人研究行为,获取的信息也是公开情报获取)。
安全组织架构总结 第9篇
安全制度即需要目标群体去遵守的信息安全相关的规章规范,该工作在实施时主要分为两步,第一步是安全部门编写安全制度或安全规范,第二步是推动这些安全制度落地,这里主要谈谈我对安全制度的一些看法。
众所周知,制度是需要人来遵守的,但人是灵活的,会不会遵守这个制度,每个人有每个人的想法。那么一个制度如果要落地实施,就必须要有相对应的惩罚规则,并且惩罚规则必须要先落地实施。如果一个制度没有惩罚规则,或者惩罚规则没有实施落地,那这份制度基本就会成为纸上谈兵的空中楼阁,没有人会去遵守。
再说到惩罚规则实施,实施惩罚需要有一个强有力的执行部门,在实践中,这个部门一般是人事部,如果人事部强势,违反规则就实名通报批评或进行更进一步的惩罚,那自然会形成一定的威慑力,大家就会开始关注这些规则的具体要求了。如果人事部不够强势,总是担心通报会动摇军心或影响犯错员工的形象等等,从而进行匿名通报或不通报,如此一来,不遵守这些制度的成本变得非常低了,长期以往会导致更多人不遵守公司的规章制度,公司的规章制度就会成为一纸空文。
一般情况下,对于全公司的安全制度,如果有较为苛刻的条款的话,落地起来都有一定的困难,比如设置电脑密码复杂度这种,该类型的制度只能配合安全培训和安全宣传来贯彻,就实际情况来看,效果非常一般,目前也没有什么好的解决办法。但是对于面向小众群体的安全制度,落地情况就很可观了,比如敏感数据提取规范这种,对要提取敏感数据的需求,一律按照敏感数据提取规范来进行,制度落地相当于100%。
总而言之,制度编写很简单,但制度落地,还是需要安全部门的长期努力。
