新书《大型互联网企业安全架构》读书笔记2

最新推荐文章于 2022-07-01 08:00:28 发布

jackyrongvip

最新推荐文章于 2022-07-01 08:00:28 发布

阅读量889

点赞数 1

文章标签：网络安全

本文链接：https://blog.csdn.net/jackyrongvip/article/details/105929415

版权

大型互联网企业安全架构这个新书不错。

2 如何和快速消除企业内的安全威胁
解决Web安全风险可采取的处理方式按优先级排序依次为：①全站清理Webshell后门，购买或采用开源WAF（Web应用防火墙，如ModSecurity等）快速解决OWASP十大安全问题；②使用DAST（动态应用安全测试）、SAST（静态应用安全测试）、IAST（交互式应用安全测试）产品，如使用OpenVAS、Acunetix WVS、Safe3 WVS、Burpsuit、Veracode、Fortify、SpotBugs、SonarQube、Google CodeSearchDiggity、Synopsys Seeker等对Web业务进行黑盒、白盒扫描和人工测试，解决线上主要漏洞；③部署RASP（运行时应用自保护）时应当使用自保护产品对Web进行自免疫保护，比如使用Prevoty、OpenRASP等；④提供安全代码过滤库和安全编码培训，如使用OWASP的ESAPI（Enterprise Security API，企业安全API）等可以提升代码的安全质量。

解决来自业务的安全风险可采取的处理方式按优先级排序依次为：①初期针对业务特点，选择合适的第三方风控安全产品；②人员到位后，可以从接入层（查询引擎、规则引擎CEP、模型引擎）、处理层（基于Flink的实时处理，基于Spark、Impala/Hive的离线处理，基于HBase、Couchbase的数据存储，完成大规模异常检测和深度学习、图计算、知识图谱、实时特征、离线特征、环境特征以及安全画像方面的处理，并对外提供模型可实时调用的接口）和数据层（提供面向风控所需的基础安全情报数据、安全知识仓库）这3个方面构建自有的安全风控平台。

解决移动应用安全风险可采取的处理方式按优先级排序依次为：①采用商业方案对App进行漏洞扫描和安全加固来解决常见安全问题，这样的平台有很多，而且有些是免费的，如百度的MTC（参见参考资料[8]）、360的App漏洞扫描（参见参考资料[9]）、腾讯的金刚审计系统（参见参考资料[10]）；②成立移动应用安全小组对手机应用进行深入的人工安全测试，可以参考参考资料[11]，比较好的免费开源测试产品有MobSF（参见参考资料[12]）；③提供基础移动安全组件和安全编码培训、安全编码规范，比如Android方面可以参考参考资料[13]，iOS方面可以参考参考资料[14]。

解决来自员工的安全风险可采取的处理方式按优先级排序依次为：①部署可以统一管理的EDR安全产品，在生产环境中统一使用堡垒机进行远程审计管理，采用DMS（Database Management System，数据库管理系统）审计进行数据库访问；②员工入职时进行安全培训，在入职前对重点员工进行背景调查，制定员工信息安全行为规范并进行考试，发布安全周刊并组织安全月活动，在员工离职时需要告知其安全须知，并进行安全审计；③对重点人群（如编程开发人员、BI大数据团队、清算结算人员以及业务运营人员等）建立隔离受控网络（如Ctrix瘦终端、云桌面），统一访问互联网的代理服务器，确保包括HTTPS在内的网络流量可审计；④建立基于机器学习的用户异常行为发现系统，如Splunk产品中的UEBA模块。

解决口令安全风险可采取的处理方式按优先级排序依次为：①通过弱口令扫描器（如Hydra或Medusa）检测公司员工账号和内网（如SSH、MySQL、RDP、Web后台等）所有涉及密码的系统服务，并责令修改密码以快速解决弱口令隐患；②建设基于OpenLDAP的统一单点登录系统，并使用基于TOTP方案的动态口令双因素认证（如针对客户端的FreeOTP或Google Authenticator）或RSA Key，若使用Wi-Fi等技术，则可以通过RADIUS协议实现双因素认证；③建立更加严格的基于FIDO U2F认证协议的实体安全密钥登录系统和BeyondCorp账户安全体系，如Google的Titan Security Key通过规定需要使用USB设备或蓝牙进行接入并按压才能登录解决了以往OTP易被钓鱼的风险。通过以上处理，可以保障密码在被盗之后依然能进行安全访问。据Google表示，其公司员工从2017年年初开始使用硬件安全密匙进行双重身份认证后，8.5万名职工的工作账号就未再遭到泄露。

解决来自钓鱼攻击和社会工程学的安全风险可采取的处理方式按优先级排序依次为：①对员工进行相关安全意识培训，并不定期组织相关演练测试以验证培训效果，加强办公场地物理安全管控（如门禁和摄像监控），避免使用第三方通信软件建立的工作群；②强化对钓鱼攻击和利用社会工程学进行攻击的技术监控（如通过基于机器学习的内容识别系统和终端安全监控系统进行监控，终端安全监控方面的工具有Facebook开源的OSquery和微软的Sysmon），若要查看高风险文件（如Office文件、PDF文件、视频、邮件附件）则可利用沙箱技术进行隔离访问，对于浏览网页的高风险操作可以使用远程安全浏览产品（如Cigloo、WEBGAP、FireGlass）；③加强BYOD设备的安全管理（MDM），如手机移动办公隔离的安全管理方案有三星的KNOX、Ctrix的XenMobile、IBM的MaaS360、SAP的Mobile Secure黑莓的UEM等。