0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

企业信息安全只需要懂8个字?

SSDFans 来源:ssdfans 作者:ssdfans 2021-02-09 18:07 次阅读

最近,学习了一些安全知识,想提升一下自己的信息安全防护意识。虽说技术上没什么收获,但是在安全框架上有了一些新的,全局的认知。

最后只学到八个字,态势感知和攻击溯源。

企业架构里的定海神针

无论什么系统,都离不开安全。回忆一下,是不是每次讲系统架构PPT的时候,不管左边怎么划分层次,最右边都有一根粗壮有力的长条,竖在那里,上边写着“安全”字样,好像一根定海神针。

自打“棱镜门”事件之后,感觉信息安全一下子就被提到很高的高度上。从公司组织架构的变革上就可见一斑,开始有了专职的安全团队,专人专岗,而且建制也在逐步提高,从处到部。一时间,安全团队在组织中的地位水涨船高。

高层领导曾说过,“没有网络安全就没有国家安全”,随着《中华人民共和国网络安全法》的颁布,安全团队的话语权更重了。

《隐秘的角落》与态势感知

安全圈里,除了黑产和暗网,还有大量敌对势力的黑客,他们都藏在隐秘的角落里,不但谋取经济利益,还从事非法的网络破坏活动,让信息安全充满了威胁与挑战。

以前总说老外会讲概念,就好像当年IBM的电子商务随需应变和智慧地球。

这一次,我国的信息安全行业也充分领悟了高层的讲话内容,迅速达成共识,于是有了国产版的“态势感知”。

套用某服务商的描述,一种基于时间和空间的环境要素,动态,整体洞悉安全风险能力,从全局视角提升对安全威胁的发现识别、理解分析和响应预警能力的一种方式,并预测他们即将呈现的状态,以实现决策优势。

态势感知,听上去很高大上,但是说白了,核心就是做了个以安全为主题的大数据项目。通过对相关安全设备和IT资产的实时数据采集,把安全相关日志进行归集,将原本分散的孤立事件进行关联,建立一个大数据智能分析平台,其中包括业务画像,资产风险等模型和视图。

不过,由于国内安全生态中厂商林立,导致态势感知在数据整合这一层进行系统集成时会遇到一些困难,项目落地应该是一项复杂的系统工程。

《无证之罪》与攻击溯源

法制社会,办案是讲求证据,官方解读是,应提出确实、充分的证据,并运用证据加以证明,而且对于证据还要排除合理怀疑。

具体到信息安全防护上,则是“谁主张,谁举证”,不是简单的指出是谁攻击你了,而是你要用证据证明对方入侵的路线,作案的手段,对你造成的影响,将整个攻击事件还原,并呈现出完整的证据链。

攻击溯源看似简单,但是技术含量其实非常高。首先你要能识别攻击,才能有然后。真正的高手会用你知道的手段去攻击你吗?

面对当时跟我分享的“中睿天下”的高手,我就想,若没实战攻防过,他怎么知道这么多手段呢。就好像《无证之罪》中的法医骆闻,因为熟悉公安的办案手法和流程,才有相当强的反侦查能力和手段。

还是SOC套路深

之前把态势感知比作日志派,攻击溯源比作流量派,以为泾渭分明。后来发现,还是自己肤浅了。

前阵子求教IBM,交流QRadar,开始没多久,一张PPT就吸引了我,因为刚想问是哪个技术派别的,结果PPT就给了答案,原来是个混合派,QRadar强调日志和流量的结合。

在安全这个领域,老外讲的概念是SOC(Security Operating Center),讲求的是人员,流程和技术的有机结合。

以往讲安全,感觉更多的是做安全项目,但是这些系统往往都是聚焦于某个点,解决某个具体领域的风险,就好像病毒防护、漏洞扫描等,但不同系统之间相互孤立。

随着网络攻击手段越来越隐蔽,单纯依靠某个点的安全防护,很难抵御多变的攻击行为,所以需要在现有的基础防护体系上建设一个全面,智能、可视化的安全运营中心

通过SOC,为信息安全工作提供统一的运营平台,同时借鉴大数据,人工智能等新技术,全面提升安全态势的感知能力。

其实,我觉得外国的SOC和我们国产的态势感知,大同小异。

安全管理那点事

安全涉及的内容太多,对技术理解有限,谈谈日常工作中的一点心得。

你过了ISO20000和ISO27001,你也过了等保,可是你实际的安全防护水平是什么?

对于IT内审,感觉每次都是揪着那些条条框框去卡,给不出啥针对性建议,如果审计本身已经不是面向实战,而是面向规则,那么有规则就很可能有漏洞,而有漏洞就一定有安全隐患,就像安全的专业人士也抨击友商,说他们是基于既有规则进行判断的,技术落后。

是软件就有bug,是系统就有漏洞,所谓的安全基线也是有时效的,安全防护也永远都是在路上。

感觉隔三差五的就有安全威胁情报,然后就是一系列的安全处置,这背后考察的不仅是安全的识别和预警,更是在考察执行效率。

记得2014年,ShellShock刚被爆出来,那会我正在学习Puppet,当时360就分享过他们如何给海量服务器快速修补漏洞的经验。还有后来的WannaCry勒索病毒,不一而同。

运维响应和执行效率其实是对安全的有效支撑,根据我的经验,技术上的解决方案不是问题,真正的问题其实是基线管理。

可惜,在基线管理这个问题上,我并没有找到最佳实践。只能说,在相对可控的时间范围内可以维持。

不过,随着技术的演进,从主机、虚拟化、再到容器化,甚至是最新的FaaS,我感觉未来,随着相关业务逻辑和基础架构的逐步解耦,会让基线升级的成本变低,从而使基线管理这个问题变得简单。

总之,对于安全管理,不管是态势感知还是攻击溯源,除了安全产品和技术本身之外,最后都会聚焦到资产的识别和管理上,从而引发出海量资产管理的运维基线和效率问题。

细细的红线

未来的信息安全管理,应该是人机合一,一个靠谱的具有实时分析和威胁感知能力的系统平台,在再搭配一个训练有素的安全运营团队,我想,大概就可以从容应对攻防演练了。

总之,信息安全无小事,每个人在做好隐私防护的同时,也应该提升各自岗位的防护意识,避免触及信息安全这根细细的红线。

原文标题:《无证之罪》:企业信息安全只需要懂8个字?

文章出处:【微信公众号:ssdfans】欢迎添加关注!文章转载请注明出处。

责任编辑:haq

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 安全系统
    +关注

    关注

    0

    文章

    400

    浏览量

    66660
  • 网络安全
    +关注

    关注

    9

    文章

    2916

    浏览量

    58612

原文标题:《无证之罪》:企业信息安全只需要懂8个字?

文章出处:【微信号:SSDFans,微信公众号:SSDFans】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    如何使用I2C Reg模式发送1从站地址和8节命令并回读信息

    大家好 作为标题,我需要向ADC设备发送1节的从属地址和8节的命令(总共9节)。 然后从从站地址回读 + 1 但是,i2c 前导缓冲区
    发表于 02-23 07:54

    想从电脑下载程序到ADuc845,是不是只需要RXD、TXD两引脚就够了?

    麻烦问一下: 1、如果想从电脑下载程序到芯片内,是不是只需要RXD、TXD两引脚就够了? 2、不想把下载程序的电路放到目标板上,想单独做一板子,通过电脑上的USB口进行下载。中间需要
    发表于 01-12 06:03

    [ElfBoard]是谁和字节傻傻分不清楚?

    最小组合单元为一个字节(byte),一个字节由 8 个位构成,它足以用来存储一 char 类型的数据。 随着存储需求的日益增长,在现在
    发表于 12-12 13:13

    [ElfBoard]康康是谁和字节傻傻分不清楚?

    最小组合单元为一个字节(byte),一个字节由 8 个位构成,它足以用来存储一 char 类型的数据。 随着存储需求的日益增长,在现在
    发表于 12-12 13:11

    AD9162通过SPI进行寄存器配置时,只需要配置sequence中的寄存器吗?

    对AD9162通过SPI进行寄存器配置时,只需要配置sequence中的寄存器吗?sequence外的其它寄存器就不用管了? sequence中有对寄存器的读,这些读操作可以不进行吗? 谢谢。
    发表于 12-11 06:36

    AD2S1210串行数据输出的CS信号或WR信号是不是只需要配置WR信号?

    关于AD2S1210这款芯片的串行数据输出的CS信号或WR信号是不是只需要配置WR信号?CS信号直接拉到地可以吗?
    发表于 12-06 06:35

    使用Python只需要3行语句就能剪辑音乐

    你没看错,使用Python, 只需要3行语句就能剪辑音乐,比如我要剪辑《End of Time》33秒到1分10秒的音乐片段: 运行这个脚本,我们能瞬间完成剪辑: 这个功能简直太基本、处理速度太快
    的头像 发表于 10-31 11:31 224次阅读
    使用Python<b class='flag-5'>只需要</b>3行语句就能剪辑音乐

    CH32X035用户选择存储使用说明

    存储区,虽然描述中用户选择存储区大小为256节,但在详细描述中却只介绍了用户选择信息块的8
    发表于 09-30 18:11

    Linux中pinctrl操作GPIO只需要几步

    pinctrl 子系统 API pinctrl 子系统的 API 有很多,对于驱动工程师来说,pinctrl 操作一个 GPIO 只需要三步: 1、devm_pinctrl_get2
    的头像 发表于 09-27 17:24 1084次阅读

    free在释放内存的时候,为什么不需要指定内存的大小?

    malloc在申请内存的时候,需要指定内存的大小,申请成功则返回这块内存的地址,但是free的时候,只需要指定释放的内存的起始地址,系统就知道从这个地址开始需要释放多少个字节。
    的头像 发表于 09-15 17:05 919次阅读
    free在释放内存的时候,为什么不<b class='flag-5'>需要</b>指定内存的大小?

    M0518用串口接收数据时,第一个字节是正常的,为什么后面的第二、三节却是乱的?

    M0518用串口接收数据时出问题。发送端共发送3个字节,固定第一节数据会改变,其它两个字节的数据一直为0,可是接收端收到的数据,第一个字节是正常的,后面的第二、三
    发表于 08-21 07:13

    网络信息安全尤为重要,华为云如何为企业构建云上云下一体化安全方案?

    随着数字化转型的加速,越来越多的企业正在拥抱互联网,将业务拓展到线上。然而,网络安全问题也随之凸显。近年来,网络攻击事件频发,企业信息安全面临严峻挑战。在这种背景下,选择一款可靠、专业
    的头像 发表于 07-05 23:45 401次阅读

    做这种发光需要什么技术,只需要一米的灯带

    发光
    YS YYDS
    发布于 :2023年05月15日 22:12:09

    华为云数据灾备,助力企业应对信息安全

    随着互联网经济不断发展,如何保护信息安全就成了每个企业都要面对的问题。除了网络攻击和硬件故障会导致数据损失业务中断以外,突发停电、意外灾难等情况也时刻威胁着企业
    的头像 发表于 04-21 01:32 327次阅读
    华为云数据灾备,助力<b class='flag-5'>企业</b>应对<b class='flag-5'>信息</b><b class='flag-5'>安全</b>

    saas云报修工单管理系统如何实现企业信息化?

    利用saas云报修工单系统来提升一个企业的服务水平,企业管理者也应尽快转变观念,推动企业售后部门的智能信息化建设步伐,实现企业信息化建设!
    的头像 发表于 04-17 09:29 646次阅读
    saas云报修工单管理系统如何实现<b class='flag-5'>企业信息</b>化?