互联网企业安全高级指南读书笔记之安全大环境与背景

最新推荐文章于 2021-12-01 20:17:50 发布
最新推荐文章于 2021-12-01 20:17:50 发布
阅读量623 收藏
点赞数
分类专栏: 读书笔记 互联网企业安全高级指南读书笔记 文章标签: 互联网企业安全高级指南 安全大环境
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79768585
版权

技术很重要,但攻防只解决了一半问题,安全的工程化以及体系化的安全架构设计能力是业内普遍的软肋,多数人不擅此道

大多数乙方安全公司的顾问或者工程师其实都没有企业安全管理的真正经验,虽不能把这些直接等价于纸上谈兵,不过确实是乙方的软肋

产品线安全里,一切都会更进一步,不只是像互联网企业那样关注入侵检测、漏洞扫描等,而是从设计和威胁建模的角度去看整体和细节的安全

不想当将军的士兵不是好士兵,虽然有人想走纯技术路线,但是仍有很多人想过要当 CSO。在技术层面,CSO 不会只停留在微观对抗上,而是会关注系统性建设更多一点

企业安全

  • 网络安全
  • 平台与业务安全
  • 广义信息安全
  • IT 风险管理、IT 审计&内控
  • 业务持续性管理
  • 安全品牌营销、渠道维护
  • CXO 们的其他需求

任何以安全团队自我为中心的安全建设都难以落地

对乙方而言,你可以在某个单点领域上无限深挖,而不会遇到天花板,因为你始终是在满足主营业务的需求,即使你成为骨灰级的专家啊,公司也会对你在某方面创新有所期待而给你持续发展的可能性

以狭义的安全垂直拓展去发展甲方安全团队的思路本质上是个不可控的想法,筹码不在 CSO 或者 CTO 手中,而是看主营业务的晴雨表

有想法的安全团队在网络安全方面做得比较成熟时会转向平台和业务安全,平台和业务安全是一个很大的领域,发展的好,团队规模可以扩大2、3倍,并且在企业价值链中的地位会逐渐前移,成为运营性质的职能,结合 BCM 真正成为一个和运维、开发并驾齐驱的大职能

互联网行业的安全工作

  • 信息安全管理(占 10% 工作量)
  • 基础架构与网络安全(占 30% 工作量)
  • 应用与交付安全(占 30% 工作量)
  • 业务安全(占 30% 工作量)

大部分甲方团队都没有足够的人力去应付产品线交付的数量庞大的代码,没有能力去实践完整的 SDL

互联网企业应对的问题

  • 海量 IDC 和海量数据
  • 完全的分布式架构
  • 应对业务的频繁发布与变更

同时在架构上要关注:高性能、高可用、(水平)扩展性、TCO(ROI)

与传统企业在安全建设上的差别

从安全建设上来看,传统企业的安全建设是:在边界部署硬件防火墙、IPS/IDS、WAF、商业扫描器、堡垒机,在服务器上安装防病毒软件,集成各种设备、终端的安全日志建设 SOC。当然购买的安全硬件设备可能远不止这些,在管理手段上比较重视 ISMS(信息安全管理体系)的建设,重视制度流程、重视审计,有些行业也必须做等级保护以及满足大量的合规性需求

互联网公司一般可分为生产网络和办公网络,即便最近 Google 声称取消内网也是针对办公网络而非生产网络。互联网行业的大部分安全建设都围绕生产网络,而办公网络的安全通常只占整体的较小比重,但是某些传统企业可能完全没有生产网络而只有限公网络,那么网络安全也就变成办公网络的网络安全

互联网企业的生产网络中,安全解决方案基本上都是以攻防为驱动的,怕被黑、怕拖库、怕被劫持就是安全建设的最直接的驱动力。互联网公司基本不太会考虑等保、合规这种形而上的需求,只从最实际的角度出发,这一点是比传统企业更务实的地方

很多标准说到底都是各厂商参与编写,博弈并达成妥协,有利于自己产品销售的代言白皮书,并不是完全站在建设性的角度的,作为乙方给政企客户写解决方案建议书无可厚丰,但在互联网公司做企业安全,生搬硬套某些标准就会闹出笑话来

大型互联网企业安全建设方法论

自研或对开源软件进行二次开发 + 无限水平扩展的软件架构 + 构建于普通中低端硬件之上(PC服务器葚至是白牌)+ 大数据机器学习的方式,是目前大型互联网公司用来应对业务持续性增长的主流安全解决方案

随着 IDC 的规模扩张,安全的成本越来越大,最后被自己巨大的成本”毒死”。对于做惯传统行业解决方案且客户手里都有大把预算的顾问来说,对这一点是没感觉的,几千万元的安全整体方案信手拈来,但是放到互联网中,一旦业务规模成倍增长,这些方案最终都会走入死胡同。不止是成本,如果不能做到兼顾宿主的性能,安全架构随整个业务架构水平扩展,保证高可用性,最终安全措施都会走进死胡同

以安全集成为自身职业亮点的人如果不积极学习,会有很大贬值风险,因为以后不需要堆硬件盒子式的解决方案了,就算堆也不是原来的堆法

很多行业(比如金融)的安全投入很大,但这些解决方案大都是靠花钱就能买来的,而极其复杂的安全建设花钱不一定能买得到,很多都需要自己动手去打造

对于很多实际上依靠业务和线下资源驱动而非技术驱动的互联网公司而言,安全建设去做太多高大上的事情显然是没有必要的

假如乙方公司能推出既能支撑业务规模,又有性价比的方案,甲方安全团队就没必要再去造轮子了

云环境下的安全变迁

安全产品或者解决方案本身需要支持虚拟化、软件化、分布式、可扩展,并且利用大数据和人工智能,利用云端无限的计算和存储能力,缓解传统安全解决方案中数据的离散、单点的计算能容不足,信息孤岛和无法联动等问题

在传统的安全方案中,安全厂商以提供硬件安全产品和安全服务为主,而在云环境下,硬件形式的安全方案会越来越不合拍。与之相比,把竞争力构建在软件层面的安全方案会成为云上的主流

PolluxAvenger
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互联网企业安全高级指南笔记 —— By Kun_Sigma(2)
06-21
互联网企业安全高级指南笔记互联网企业安全高级指南笔记互联网企业安全高级指南笔记互联网企业安全高级指南笔记 --最好的
互联网企业安全高级指南读书笔记安全管理体系
不急不躁
04-08 964
外部评价指标 攻防能力——如果安全团队没几个懂攻防的骨干,那像样的安全团队这件事就无从谈起、对攻防的理解是做安全的基础,业界普遍的状况是整体实力强的安全团队攻防能力必然不弱,而攻防能力弱的团队其安全建设必然强不到哪里去。一般能养得起一堆攻防人才的安全团队预算都比较充足,说明公司相对重视。攻防技术在安全建设中属于”单点”技术,决定的是单点的驾驭和深入程度 视野和方法论——单点技术代表局部的执...
高质量解读《互联网企业安全高级指南》三部曲——理论篇
天天water的专栏
08-04 5568
前言: 高效读书,一张逻辑图带你读懂、读薄书中重点。 注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。 目录 理论篇思维导图​ 安全大环境与 切入“企业安全”的视角 企业安全是什么 CSO 企业安全包括哪些事情 企业安全涵盖7大领域 建议 互联网行业安全工作总结 互联网企业和传统企业安全建设中的区别 总体上 传统企业互联网企业安全建设需求上的差异 安全建设 不同规模企业安全管理 创业型公司 大中型企业 大型互联网企业 生态级企业vs...
高质量解读《互联网企业安全高级指南》三部曲——实践篇
天天water的专栏
10-10 5633
前言: 高效读书,一张逻辑图读懂、读薄书中重点。 注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。 实践篇逻辑思维图 1. 业务安全与风控 1.1. 说明 1.1.1. 业务安全的起源是由于黑产的存在 1.1.2. 企业间的恶性竞争,黄赌毒等合规性要求也成为业务安全的驱动力 1.1.3. 本章将描述互联网行业各种典型业务的主要风险和控制方法 1.2. 对抗原则 1.2.1. 相对的风控而非绝对的防黑 拖库只要发生一次就非常严重,但是业...
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——办公网络安全
天天water的专栏
09-29 4744
前言: 高效读书,一张逻辑图读懂、读薄书中重点。 注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。 办公网络安全逻辑思维图 1. 说明 1.1. 办公网络的安全是乙方安全公司提供解决方案最多的场景 1.1.1. 原因 主要因为现在社会工程学、定向攻击、APT、钓鱼、水坑攻击,专打管理员的渗透越来越多,所以生产网络做到固若金汤也无用,攻击者绕背后转跳办公网络进攻也是一个很大的问题 另一方面服务器网络大多是来自客户-服务端相对固化的交互模型,用严格的ACL就能控制绝大...
深圳大学管理学院系统安全与保密详细课堂笔记&期末考题
02-19
本课程基于【深圳大学】【管理学院】【周天薇】老师【2022年秋季】的【系统安全与保密】课程,整理了课堂笔记、PPT笔记、期末考题、大报告案例。
读书笔记之红蓝对抗解密渗透测试与网络安全建设.docx
最新发布
03-27
读书笔记之红蓝对抗解密渗透测试与网络安全建设.docx
WINDOWS网络安全与策略笔记.doc
06-20
WINDOWS网络安全与策略笔记.doc
内网安全攻防-渗透测试指南 读书笔记.pdf
09-09
内网安全攻防-渗透测试指南 读书笔记
互联网企业安全高级指南读书笔记之甲方安全建设方法论
不急不躁
04-02 2037
初期三件事 事前的安全基线 事中的监控能力 事后的应急响应 其实做攻防和研发安全产品完全是两码事,存在巨大的鸿沟,如果拿做攻防的团队直接去做安全工具开发,恐怕挫折会比较多,即便有些研究员擅长做底层的东西,但对于高并发生产环境的服务器工具而言,还是有很大的门槛。另一方面做攻防和做研发的思路也截然不同,此时其实是在交付产品而不是在树立安全机制,所以往往要分拆团队,另外招人 如何推动安全策...
REST API 安全设计指南.pdf
05-12
REST API 安全设计指南。REST的全称是REpresentational State Transfer,它利用传统Web特点,提出 提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。 目前在三种主流的Web服务实现方案中,REST模式服务相比复杂的SOAP和XML-RPC对比来讲,更加简 洁,越来越多的web服务开始使用REST设计并实现。但其缺少安全特性,《REST API 安全设计指南》就 是一个REST API安全设计的指南,权当抛砖引玉,推荐网站后台设计及网站架构师们阅读。
互联网企业安全建设高级指南资料汇编.zip
08-10
互联网企业安全建设思路 互联网企业安全高级指南 互联网企业安全建设落地实践 互联网企业落地等保2.0实践分享 工业互联网安全战略落地与推进建议 工业互联网安全实践与趋势分析 工业互联网时代的安全挑战与对策 从大型互联网企业零信任实践之路谈如何构建立体化的防御体系 等保2.0体系互联网合规实践白皮书 工业互联网体系架构 电信和互联网行业数据安全治理白皮书 电信和互联网大数据安全管控分类分级实施指南 传统型互联网公司在零信任建设上的思考 工业互联网安全实践 数据驱动的工业互联网自适应防护框架 互联网网关最佳实践安全策略 工业互联网安全战略落地与推进建议 工业互联网安全架构白皮书 工业互联网企业网络安全分类分级指南 传统金融业务与互联网金融并存模式下的数据安全设计 电子认证在互联网司法服务中的作用 工业互联网数据安全白皮书 互联网医院平台化运营探索与实践 混合云下的DevOps在vivo互联网的探索落地 工业互联网及其驱动的制造业数字化转型 面向能源互联网的数据安全防护策略与创新技术思考 大型互联网平台SDL实践:业务风险深度评估 “互联网+”时代的 数据安全 互联网个人信息安全保护指南 移动互联网应用(App)收集个人信息基本规范 移动互联网医疗安全风控白皮书 “互联网+行业”个人信息保护研究报告 如何构建企业自身的工业互联网安全可视化体系 筑牢新基建时代工业互联网安全防线 工业互联网主要解决三大问题 构建可视、可管、可控的互联网 互联网行业高弹性系统构建最佳实践 下一代互联网安全解决方案 筑牢下一代互联网安全防线-IPV6网络安全白皮书 社区电商互联网甲方安全体系 威胁情报在互联网行业的应用 新一代工业互联网发展模式与成功实践:数据驱动的新价值网络 智能安全从边缘开始 保护企业免受互联网威胁的全新模式
互联网企业安全高级指南读书笔记之入侵感知体系
不急不躁
04-08 1150
主机入侵检测 开源 HIDS OSSEC、Mozilla InvestiGator 和 OSquery OSSEC 是典型的 B/S 架构,通常一个 Server 集群最多配置 2000 台 agent 接入。在此基础上,OSSEC 也支持在开发插件、采集数据、解析/检测规则三个方面的功能扩展 Mozilla InvestiGator 具备了现代 HIDS 架构的雏形,但是整体上 MI...
互联网企业安全高级指南读书笔记之漏洞扫描
不急不躁
04-13 900
漏洞扫描的种类 按漏洞类型分类 ACL 扫描 ACL 扫描用来按一定的周期监视公司服务器及网络的 ACL 的,其作用如下: 安全部分可以根据扫描报告整改暴露在公网中的高危服务 某些应用发现新漏洞时,可以快速从数据库中查询对应服务与版本,报到业务部门修复 ACL 扫描周期至少一天一次: 服务器数量较少,直接用 nmap 扫描,扫描结果直接存放到数据库中 服务器数量很多,用 ...
读书笔记:《互联网企业安全高级指南》知识梳理
Lee_Natuo的博客
03-21 1080
读书笔记】《互联网企业安全高级指南(赵彦等)》
weixin_44211968的博客
12-01 321
文章目录理论篇第一章 安全环境与大背景1. 企业安全包括哪些事情1. 互联网企业和传统企业安全建设中的区别参考链接 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 企业安全涵盖的7大领域: 网络安全 平台和业务安全 广义的信息安全 IT风险管理、审计、内控 业务持续性管理(BCM) 安全品牌营销、渠道维护(如SRC) 其他杂项安全需求(运维和研发当前无法胜任的内容) 侧重点: 互联网公司:1、2、5 传统公司:1、3、4、5 互联网行业的安全工作可以概括为以下几个方面: 信息安全管理
互联网黑话指南
爱编程
03-01 363
人在江湖漂,不懂点黑话真不行,下面就为大家总结一些黑话,让你快速入门!精彩回顾♡程序员究竟能干多少年?♡互联网公司各岗位真实工作内容起底♡一次尴尬的采访和程序员的传...
互联网企业安全高级指南读书笔记安全的组织
不急不躁
03-31 262
级别高的人估计还是挖不动的,能挖动的主要就是骨干那一层的人,通常你需要容忍他们业务上有深度但不一定面面俱到,很可能情商和管理能力也差强人意,不过能解决问题就行,面面俱到的人才毕竟还是太贵了 Leader 的跨组织沟通能力应该比较高,不是安全策略提的正确就一定会被人接受 单纯攻防型的人在前期培养比较快,但当安全团队随着公司规模和业务快速成长时,思维过于单点的人可能会出现“瓶颈”,安全建设实际上是...
互联网企业安全高级指南读书笔记之大规模纵深防御体系设计与实现
不急不躁
04-10 1167
设计方案 数据流视角 服务器视角 IDC 视角 逻辑攻防视角 场景裁剪 应对规模 自研 HIDS、RASP 都是奢侈品,可以用 OSSEC、OSquery 等产品代替 网络分光可以用扫描器+ Web 日志分析代替 SQL 审计可以在 CGI 层解决 业务类型 如果业务流量中中大部分都是 HTTP 类型的,那么应该重点投入 WAF、R...
unix环境高级编程笔记
09-01
UNIX环境高级编程笔记是关于在UNIX系统中进行高级编程的一些笔记和技巧的记录。这些笔记主要涉及文件I/O和进程管理等方面的内容。在UNIX系统中,文件I/O是通过文件描述符来进行操作的。文件描述符是一个整数,用来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值