治洞护堤保安全——安全漏洞防治的方法和价值

于 2024-09-03 11:57:57 发布
阅读量32 收藏
点赞数
分类专栏: 安全漏洞防治管理 文章标签: 安全 php 开发语言 网络安全
原文链接:https://mp.weixin.qq.com/s?__biz=Mzk0OTQzMDI4Mg==&mid=2247484084&idx=1&sn=67a4d6774555ad7958d79ffde344c512&chksm=c35933d1f42ebac7d14430b0abc39cd42e833959450a68df58b2d1db219f6a628b003234e597&token=249245874&lang=zh_CN#rd
版权

图片

【编者按】网络信息安全负责人需要向公司管理层汇报安全漏洞防治工作的价值还需要有效的方法兑现价值。安全漏洞防治工作方法最核心的内容是确定工作目标。然后安全负责人需要动员包括安全、开发、运维甚至业务团队,共同解决公司面临的诸多安全漏洞难题。

“治洞 护堤 保安全”7字箴言

我们用“治洞 护堤 保安全”这7个字提炼安全漏洞防治工作的方法与价值。具体说明如下:

首先是价值

清晰地呈现确定的价值,是得到公司管理层支持的必要条件。

安全漏洞防治工作的价值就是“治洞 护堤 保安全”

图片

  • 治洞:安全漏洞得到治理是理想的目标状态。

  • 护堤:治理安全漏洞能够确保安全防御边界牢不可破。

  • 保安全:防范黑产和敌对势力侵入公司的网络空间,防范重要/敏感/机密数据外泄。

进一步展开说明如下。

“治理安全漏洞”的目标是“有法可依,有法必依,执法必严,违法必究”。

图片

  • 有法可依:有一套完整的安全漏洞管理的制度、流程、规范。每年评审修订。

  • 有法必依:有配套的激励机制,确保相关团队按章办事,各司其职。定期评估兑现。

  • 执法必严:保证检查频率和检查力度高于基准线。跟踪处置每一起安全漏洞事件。

  • 违法必究:遵照规则奖罚。规则可以修订,执行不能走样。

“治理安全漏洞”的价值在于“实效、时效、高效”

图片

  • 实效:规避“漏洞被利用,系统被入侵,数据被窃取、破坏、滥用,业务瘫痪、崩溃、终结”等风险。

  • 时效:PDR模型,必须赶在攻击者利用漏洞之前修补好。

  • 高效:包括时间和金钱在内的预算有限,性价比非常重要。

然后是方法

价值明确之后,所有方法都围绕实现价值。

  • 围绕“实效”“没有漏洞、有漏洞但不能利用”都是可以接受的。在某些情况下,“有漏洞,也能利用,但是能及时检测能及时处置”也是可以接受的。

  • 围绕“时效”,加快每个环节。更快发现,更快评估,更快修补,更快验证。发现、评估、验证都可以实现较高程度的自动化,而修补环节风险较高,自动化程度提升较慢,宜采用标准作业程序(SOP)平衡效率与风险。

  • 围绕“高效”,主要是降低人员数量、总工时这两个指标。工具和平台的投入相对固定,这部分应看作“沉没成本”。建议将重点放在提升“修补漏洞”的效率在自动化程度有限的条件下,采用标准作业程序(SOP)能够显著提升效率,同时保证质量,减少返工成本,减少意外事件(带来的成本)。

最后是落实

上述方法要落实到日常工作中才能实现价值。

安全负责人需要发挥领导力,动员安全、运维、开发、业务团队,解决诸多安全漏洞难题。下面举例说明。

常见的三个难题

一、不会修。

安全负责人常常被问到“这个漏洞怎么修?”

二、不想修。

安全负责人经常会因为漏洞责任人不想修补漏洞而感到无助。

三、没时间。

安全负责人要求修补漏洞之后才让投产,业务团队要求必须上线。

如何破局?

也是三句话。

  • 统一目标

  • 突出价值

  • 共商方法

一、统一目标

  • 小目标:在规定时限内修补好这批漏洞。

  • 中目标:每个季度,高危(含)以上漏洞的及时修复率100%;中危及时修复率95%,超时低于20%;低危漏洞自主判定并承担后果。

  • 大目标:每年没有因为漏洞被利用导致安全事故(包括数据被窃取、破坏、滥用,业务瘫痪、崩溃、终结等)。攻击者利用漏洞入侵系统在规定时限内被检测到并且妥当处置的比率为100%。

安全、运维、开发、业务,统一到大目标下

安全、运维、开发,统一到中目标下

安全负责人和漏洞责任人,统一到小目标下

二、突出价值

  • 小价值:按时保质完成“发现、评估、修补、验证”漏洞的工作。(证明了我们有能力做到。)

  • 中价值:漏洞治理得好,业务运行得畅。(内部宣传为主,结合少量外部宣传。)

  • 大价值:暴露到公域的漏洞少,公司的安全品牌价值高。(外部宣传为主,结合内部重大场合汇报。)

小价值靠个人能力、工具、SOP

中价值靠团队协作和制度设计

大价值靠组织支撑和把网络信息安全纳入公司治理

三、共商方法

A、你提供方法,我来执行。我是工具人。

B、我们一起研究出来的方法,我来执行,你帮我复核。我自主,你帮我。

人与人之间的协作,B的效果更好,当然要花更多时间。

团队与团队的协作,也是B的效果更好,当然也要花更多时间。

举个例子:

  • 常规做法:安全团队制订《安全漏洞管理办法》,负责监督运维团队和开发团队执行。基本符合约80%的公司的实际情况。

  • 优化做法:安全团队起草《安全漏洞治理办法》,邀请运维团队和开发团队一起开会讨论,充分吸纳意见想法,统一中目标、中价值,然后上升到大目标、大价值层面与业务团队沟通交流达成共识。只有不到10%的公司这样做。

总结

“治洞 护堤 保安全”,安全漏洞治理的7字箴言。

安全负责人可参考本文提出的“目标-价值-方法”工作思路,结合自己所在单位的实际情况,尝试破局,优化安全漏洞治理,带领自己所在单位成为Top 10%中的一员。
 

- End -

安全漏洞防治中心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
终端安全防护技术研究(四)
rootkit192的博客
03-08 8812
介绍终端安全防护技术典型的应用场景。
从人的安全价值观看企业的安全发展
热门推荐
想你依然心痛的博客
12-18 3万+
聆听了中国地质大学罗云教授的安全讲座,在享受这道精神大餐的同时,又接受了一次安全在生产新理念、新观点的洗礼。通过认真学习罗云教授的安全讲座,让我真正地懂得了安全知识、安全价值观念在每个人生活和工作的重要性,安全文化植根于一个企业安全生产大土壤的必要性!总的感觉是,在提升自身价值观念的同时,对人生价值也有了新的理解和认识。
[读博随笔] 系统安全和论文写作的那些事——不忘初心,江湖再见
杨秀璋的专栏
10-11 2942
这篇文章将聊聊系统安全和论文写作的那些事,也是我组会的最后一次分享,写得不好的地方还请见谅。繁华尽处家人伴,一壶老酒醉春堤。新的征程,新的生活,新的开始。不忘来时脚下的路,不忘求学的初心。感恩奋进,继续加油!
安全小课堂:等保测评是什么意思,等保测评方位解析
2401_85960882的博客
07-22 300
千里之堤毁于蚁穴,安全之基始于等保。通过等保测评,企业可以清晰地了解自身信息系统的安全状况,并采取相应的措施进行改进和提升。《中华人民共和国网络安全法》明确规定,国家实行网络安全等级保护制度,网络运营者需按照网络安全等级保护制度的要求,履行相应的安全保护义务。提升信息系统安全性:等保测评能够发现信息系统中存在的安全漏洞和风险,帮助企业及时采取措施加强安全防护,保护重要信息资产的安全。避免信息泄露和损失:等保测评可以发现潜在的信息泄露风险和漏洞,及时采取措施修复,从而避免因信息泄露而导致的损失和影响。
拧紧数据“安全阀”,筑牢个保“安全堤”
Scgute88的博客
08-19 1071
数字经济的发展进入快车道。未来,天空卫士将一如既往地专注于数据安全领域新技术的研发和输出,持续为客户的数据安全建设提供赋能力,有效解决数据开放、流通、共享的问题,筑牢数据安全屏障,助力用户实现拧紧数据“安全阀”,筑牢个保“安全堤”的目标。天空卫士根据前期的调研和项目经验,梳理出最典型的12种场景,分别是第三方数据交换、跨域交换、即时通讯、虚拟桌面、大数据湖数据交换、协同办公、隔离网闸、邮箱钓鱼/商业欺诈、远程办公、数据跨境、数据流转追踪、源代码保护。用户可以根据自己的实际应用场景,选择契合的场景方案。
【公益案例展】中国电信安全大模型——锻造安全行业能量转化的高性能引擎...
数据猿
07-11 1256
‍电信安全公益案例本项目案例由电信安全投递并参与数据猿与上海大数据联盟联合推出的#榜样的力量# 《2024中国数智产业最具社会责任感企业》榜单/奖项评选。大数据产业创新服务媒体——聚焦数据· 改变商业以GPT系列为代表的大模型技术,展现了人工智能技术与应用的飞速进步。在网络安全领域,人工智能应用潜力巨大,亟待开发。过去十年,AI技术已逐步融入多种安全工具和产品,如显著提升识别率的AI垃圾邮件检...
代码审计在软件安全中的重要性和意义
qq_53255576的博客
03-16 266
代码审计的意义:随着信息系统应用的发展,软件功能越来越强大,随之而来的程序代码规模也在不断的上升,在这种情况下,可被利用的安全漏洞以及源代码的后门程序也不再局限于以往,在这种情况下,传统软件测试方法对现在源代码进行安全检测会非常困难。据有关数据统计,在现有的一经发现的漏洞数量里面,因为输入数据问题而引起的安全问题高达90%,所以为了从早期进行安全控制,对于程序源代码中数据输入的格式与内容进行严格规定,是能起到一定的作用的。审计是一种威慑控制措施,对于审计的预知可以潜在的威慑用户不执行未授权的动作。
应对Web安全防护,溯源追踪攻击者。
2302_79706076的博客
07-03 787
随着时代的进行,互联网站走进千家万户,网络安全问题也逐渐提上日程,国家对网络安全也欲加重视。
2021年网络安全设备漏洞集合
weixin_47536169的博客
07-13 3805
360天擎SQL注入漏洞 描述 fofa title="360新天擎" POC & 利用 /api/dp/rptsvcsyncpoint?ccid=1 360天擎信息泄露 描述 /api/dbstat/gettablessize POC & 利用 Alibaba 阿里巴巴Nacos认证绕过 描述 fofa:title="Nacos" POC & EXP # 添加用户 POST /nacos/v1/auth/users HTTP/1.1 ..
储罐区防火堤设计-安全管理-行业安全-消防安全.docx
02-09
根据《建筑设计防火规范》和《石油库设计规范》,对于不同类型的储罐(如固定顶罐、内/外浮顶罐),防火堤的有效容积有不同的计算方法。 2. **设计强度要求**:防火堤的设计强度必须足够强大,以承受所容纳油品的静...
千里之堤毁于蚁穴,百年安全成于细节.docx
10-01
#### 一、引言:千里之堤,溃于蚁穴——安全意识的重要性 - **出处与含义**:“千里之堤,溃于蚁穴”源自中国古代哲学家韩非子的作品《韩非子·喻老》,这句话强调了即使是微小的安全隐患也可能导致巨大的损失。 - ...
如何保证炼油厂油罐区的过程运行安全.docx
10-01
总的来说,保证炼油厂油罐区过程运行安全,需要面的预防措施,包括强化巡回检查制度,确保防火堤的安全功能,以及对油罐及其附属设备的定期维护和检查。这些措施的实施将大大降低安全事故的可能性,保障炼油厂的...
对油罐火灾事故救援方法的几点探讨-安全管理-行业安全-消防安全.docx
02-11
### 油罐火灾事故救援方法探讨 #### 引言 油罐火灾事故因其高度危险性和复杂性,一直是消防管理中的难点。此类事故不仅会造成巨大的经济损失,还可能危及周边环境和人民群众的生命财产安全。因此,针对不同类型的...
网络运营者 “云堤”平台护航 守卫网络安全.pdf
09-20
网络运营者 “云堤”平台护航 守卫网络安全.pdf
网络安全售前入门06安全服务——基线检测服务方案
打工人
08-30 1517
安全基线检查可以帮助单位认清自身风险现状和漏洞隐患,使业务系统的风险维持在可控范围内。根本目的是保障业务系统的安全,是为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险而制定的安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。
NTFS安全权限和文件共享
m0_64139836的博客
08-28 434
FAT32和exFAT支持单个文件不超过4G的文件;
网络安全】服务基础第一阶段——第五节:Windows系统管理基础---- DHCP部署与安全
goldfish8848的博客
08-29 916
DHCP服务器不仅可以⾃动分配IP地址给⽹络中的设备,还可以进⾏⾼级的管理和配置,以确保⽹络的⾼效运⾏和安全。下⾯是⼀些关键的管理策略和操作步骤:1. 设置地址池(Scope Configuration)DHCP服务器通过所谓的“作⽤域”来管理IP地址池。每个作⽤域定义了⼀系列的IP地址,这些地址可以⾃动分配给⽹络中的客户端。
【软件逆向】第27课,软件逆向安全工程师之(二)寄存器寻址,每天5分钟学习逆向吧!
最新发布
DvlpNews
09-02 421
寄存器寻址是汇编语言中的一种寻址方式,在这种方式中,操作数位于CPU的寄存器中。寄存器是CPU内部的高速存储位置,用于快速访问数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值