企业面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的安全隐患。往往在不经意间,又可能引入新的安全因素,也有可能在输出产品时给其他企业带来安全风险。大而言之,企业的威胁从个人理解的角度出发,大致可以分为以下几点:

输入威胁

内部威胁

外部威胁

输出威胁


输入威胁分析

输入:第三方软件系统上线

输入:第三方硬件设备入网

输入:第三方开源框架与组件

企业常常需要向其他公司采购软、硬件设备,或采用第三方开源框架与组件进行开发。相关部门如果缺乏安全意识,就很有可能不经过任何安全相关评估,将安全风险带到公司,比如:买到即上线。然而对于一些稍有安全意识的公司,会对引入的产品进行安全评估,起初是这样一种情形:费&累

等待信息安全组沟通、验证回归漏洞完毕后,继续走流程购买付款,然后系统正式上线。在整个过程中,可见安全已经介入但出现较晚。在整个过程中,可见安全已经介入但出现较晚,导致的后果就是“费时费力帮别人家的产品做安全”。除此之外,再分享一个不靠谱的现象:飘&虚
曾有供应商提起,他们的系统经过某银行严格安全检查,并成功入驻,还向我们展示了部分检测报告。但在我们进行安全测试时,结果却不十分理想。刨根问底一番探究后,才弄明白:原来那银行使用绿盟主机漏洞扫描器,对供应商产品所在地址进行了主机漏洞扫描(在主机前还架设了防火墙,隔着墙扫的),而非对其产品进行安全评估。
难怪隔行如隔山,此类大跌眼镜、没有把安全落到实处的情形,估计还有不少。那问题来了,如何有效的对输入威胁进行有效控制?显而易见的是需要将安全提前,在业务方进行需求分析时,便把安全因素加入其中,成为需求的一个环节,在产品选型时可由安全组先关同事进行把关,可参考是否具有第三方安全机构出具的报告,可询问是否自行做过安全测试等行为保证产品的安全性。如果需要更进一步的确认,那么可以进行“抽样”式安全测试,对涉及到敏感数据环节或重要操作出进行安全评估。

内部威胁浅析

企业内部威胁主要来自于人,如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量,比如:

&内鬼泄露内部机密信息资产

&内部人员主动攻击外部其他系统

&内部系统沦为肉鸡被动攻击外部其他系统

&内部网络混乱,比如访客网络与办公网甚至生产网未做隔离

&内部员工安全意识薄弱,被钓鱼或社工等攻击

&公司内部安全管理制度缺失,员工随意带电脑外出公司或带机密文件出公司

……

实际遇到的情况会比列出来的多、复杂的多、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到企业欠缺之处的根源,从源头进行修补。没有制度就制定并推行制度,安全意识不足就全员推送安全意识并坚持下去。以安全意识为例,可从视培读写四个方面开展:

外部威胁粗析

竞争对手的长期觊觎,导致雇佣黑客攻击的恶意竞争;

业务发展壮大安全跟不上,导致不法分子的获利攻击;

公司架构采用主流与非主流框架,出现0day时的攻击;

……

“与其落后挨打,不如主动求变”,企业的安全建设只有主动将救火阶段慢慢的转到安全建设,才能在遭受外部攻击时稍微淡定一点。

输出威胁剖析

技术输出:分享到外部的技术文档与其他资源存在安全缺陷,被其他人员当做模板使用。

产品输出:本身产品存在安全隐患,导致恶意攻击者恶意利用漏洞,或私藏后门开关按钮被外部发现且恶意利用。

公司产品(系统)严格控制经过安全测试后,再投入生产及交易。有条件的或时机成熟的公司,落地版的SDL走一遍,不仅是对客户负责,更有可能避免了以后某一天遭到曝光或攻击带来的麻烦。

未完待续

企业安全建设系列文章刚开始不久,希望能与大家交流,共同探讨!
本文首发于个人公众号(我的安全视界观),更多文章敬请期待。

点击收藏 | 1 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖