荣叔整了版应用上公有云的安全方案,和架构师欣哥、海哥讨论过后,匆忙赶在节前给H总汇报。H总对该方案显然不是很满意,正好节后H总要到上海参加斗象科技举办的FIT互联网安全创新大会,于是决定带荣叔一同前往。
在主办方的招待晚宴上,荣叔认识了同桌一位安全领域的资深专家W总。W总是深圳一家做联盟链企业的合伙人,负责这家企业的安全工作,原来在华为安全部门。正好他和荣叔被安排到同一酒店的相邻房间。荣叔可不能放过机会,第二天下午邀请W总到酒店楼下星巴克,一个劲的向他请教。
荣叔说:“我原来是做开发的,后来做了架构师,虽然在各个项目上也接触过不少安全方面的工作,但毕竟不专业也不全面,这方面还得多向您请教!”
W总说:“请教不敢当,安全工作中,守方比攻方要困难许多,防范得再周全,也难免有疏漏,所谓百密一疏,而且做了很多工作,却很难让领导看到你的成绩。要想胜任安全工作,首先需要了解攻防双方的心里和行为,以及一些安全思想和体系。因此,荣叔,我建议你先了解一下渗透测试、盖特纳的PPDR模型以及近期安全领域比较流行的零信任机制。另外,关注关注国外著名安全公司和组织在安全领域的理念,比如盖特纳、思科、NIST、CIS、OpenSCAP等它们提出的一些新的安全体系,以及国内的安全标准体系,比如安全等保三级、ISO27001体系等。”
荣叔说:“早些年我曾关注过蓝莲花战队,并蒙对了他们在荷兰参加的一次安全大赛的排名,因此还获得了该战队创始人诸葛建伟编写的一本关于渗透测试的书籍和蓝莲花战队的一个徽章。因为这个原因,我对渗透测试这方面安全知识有一点粗浅的了解。”,荣叔接着说,“渗透测试对攻击者来说,在无法直接攻入核心系统的情况下,先从外围开始,收集信息(情报),通过收集到的信息分析外围系统存在的漏洞,然后利用漏洞攻入外围系统。攻击者就这样通过收集信息,发现漏洞,利用漏洞,一步步从外围渗透到要攻击的目标核心系统。”
W总说:“你说得没错,因此一家企业,他的安全防护理论上来说应该采用纵深防护策略。但许多公司,特别是自建数据中心和私有云的公司,往往重点采用周界防护策略。”。