0x00 前言
首先拿到这个标题会想到什么内容呢, 实现安全治理和原则的策略,简要的拆分成问题就是
- 什么是安全治理
- 什么是安全原则
- 他们的策略是什么
- 如何实现
其实这个就是当我们看到这个标题的时候应该想到的事情。若果这一章节学完,没有理解这些问题就可以考虑重新思考答案。
0x01 安全101
这里的101 特指一些安全的基础知识。
安全存在的目的是什么?
为了支持组织的目标、使命和宗旨。
其实这个答案应该解释的是组织中安全存在的意义,也就是甲方安全的根本目标。
安全建设的基本逻辑和过程
- 采用安全框架作为起点
- 通过评估进行微调 - 风险评估- 漏洞评估- 渗透测试
这里延伸出来的问题,实际上就是,安全框架有哪些,怎么实现安全框架。
风险评估,什么是风险,怎么评估。
漏洞评估,怎么评估
渗透测试,这个对于起步的东西没必要去阐述。
安全需要考虑的事情
成本效益
实际上这个就是经常说的损益比,做这个安全带来的价值够不够,是否可以用更少的成本来完成这个事情。
合法合规
在做安全的时候,应该考虑当地或者政府的法律法规,在满足合法合规的情况下再去进行安全的内容思考
安全没有终点
没有任何事情,任何系统一定能保证完全的安全性,所以安全应该是一段可持续的旅程,所以不存在做了某某安全就可以高枕无忧。
这里其实可以提的问题就是,安全在保障安全的同时,还需要思考什么事情。
0x01 理解和应用安全概念
安全管理的概念与原则是实施安全策略和安全解决方案的核心内容。安全管理的概念与原则定义了安全环境中必需的基本参数,也定义了安全策略设计人员和系统实施人员为创建安全解决方案必须实现的目标。
书中开始解释安全管理的概念和原则和实施安全策略和完全解决方案的关系等
那么带来的问题就会有如下问题,甚至更多
- 安全管理的概念是什么
- 安全管理的原则是什么
- 实施安全策略是什么,怎么实施
- 安全解决方案是什么
- 安全环境是什么
1.安全架构的主要目的和遵旨
安全架构或者说是框架,他的最基础的和最根本的安全目标实际上就是去保障CIA
C:confidentiality
I:integrity
A:availability
那么其实反过来也可以说,安全评估在做什么,可不就是在做是否能够对CIA产生威胁或者风险的内容。所谓的风险,其实也就是系统重的脆弱点。
关于三元组来说,肯定就会设计到要思考的内容就是 是什么,怎么做会导致破坏,怎么做才能提高安全性。
1.1 保密性
what
保密性实际上就是要求数据应该存在访问控制,应当拒绝未经授权,或者是越权访问资源
破坏的方法
- 恶意攻击 - 权限管理不当- 资源未做权限控制
- 人为因素导致 - 配置不当 - 默认配置- 操作疏忽 - 弱口令- 忘记关闭内容
加固的方法
- 数据混淆
- 严格的访问控制
- 人员培训
1.2 完整性
what
完整性相对于保密性而言,关注的其实也是权限问题,不仅仅的数据的访问,以及数据操作,也应该拒绝未经授权,或者是越权访问。
比如很火的零信任,实际上就是在保密性和完整性上做文章,对权限管理进行不信任控制。
破坏的方法
实际上破坏的方法和保密性是非常相似的。
加固的方法
- 数据混淆
- 严格的访问控制
- 人员培训
- 数据签名
对于目前的我而言,完整性和保密性实际上针对的都是同一个东西,就是权限的控制,当然对于完整性而言,还应该保证在传输中的不可更改,这个是保密性中不存在的。在保密性中主要是让数据不可知,完整性保障的是数据的完整性。
1.3 可用性
what
可用性其实很好理解,就是业务最好的理想状态是不中断,越精密或者说是越关注业务的系统越不可中断。
破坏的方法
- 恶意攻击 - DOS/DDOS- 客体破坏- 通信终端- 近源攻击
- 自然灾害
- 管理员的配置
加固的方法
- 安全软件防护 - 抗D- waf
- 监控 - 网络监控- 性能监控
- 冗余机制 - 多节点- 备份系统 - 数据备份- 系统备份
可用性设计的内容比较多,包括了后续的BCP等,都是可以单独拎一个章节才可以完全解释的内容,而且里面涉及的内容还是比较多的。
除了传统的CIA之外,还有真实性以及不可否认性,算是为CIA的补充
1.4 真实性
Authenticity
what
确保某些东西来自其申明的来源,并且确信无疑。真实性这一点其实是可以建立在完整性上,比如A-B,保证中间过程完整,中间没有任何篡改,则其就是真实性
1.5 不可否认性
Nonrepudiation
what
某人不能否认自己特定行为的发起方,有一个漏洞其实很能说明这个问题,就是CSRF,跨站请求伪造,那么实际上防护方式就是按照用户当前的权限,再附加一个不可伪造的token来进行防护。
2.安全框架中考虑的其他原则和概念
2.1 DAD
DAD是CIA出现问题的时候存在的概念,实际上其实只要考虑完善CIA,那么DAD就会同时兼顾
- Disclosure
- Alteration
- destruction
2.2 AAA
书中写AAA是所有安全环境中的一个核心安全机制,实际上就是对权限控制的一个方法和流程,在完成confidentiality以及integrity的时候可以通过AAA来进行保障
AAA包含:
- Authentication 身份认证
- authorization 授权
- accounting 记账
基本的流程是:
- 标识
- 身份认证
- 授权
- 审计
- 记账&问责
3.保护机制
除了定点的保护的方式,还有通用的防护方式,也就是为了CIA而做的一些系统的防护方式或者说是策略
- 纵深防护
- 抽象
- 数据隐藏
- 数据加密
这里的问题实际上就是,有哪些方法和策略可以用来保障CIA的安全性
还有两个方式就是河防和塔防
河防就是先放你进来,然后再用资源优势进行压制。
塔防就是进行主动防御和处理
4.安全术语
漏洞
vulnerability
系统中的弱点,威胁源可利用漏洞来破坏资产的安全性。
威胁
threat 利用漏洞带来的任何潜在危险。
风险
risk 威胁源利用漏洞的可能性以及相应的业务影响。
漏洞利用
造成损失的实例。
0x02 评估和应用安全治理原则
安全治理是支持、评估、定义和指导组织安全工作相关的实践集合。
安全治理:security governance,是一个框架,支持由高级管理层制定和表达的组织安全目标,应在组织的不同层级充分沟通,并一致地实施和评估。
最理想的状态是安全治理由董事会执行。
安全治理目的是在讲组织内所使用的安全流程和基础设施从外部来源获得的知识和见解进行对比。
所有形式的治理都应经常进行评估和验证。
安全治理指实施安全解决方案以及与之紧密关联的管理方法。安全治理直接监督并设计所有级别的安全。
安全框架和指南:
- NIST SP 800-53
- NIST SP 800-100
至少在当前阶段,对与安全这里的理解还是很浅薄的,甚至说还没有领会到什么是安全治理。所以这里可能要进行扩展性的学习,参考多个书籍才可以。
同步看了all in one,关于安全治理。安全治理到底是什么,安全治理实际上就是一种安全框架和计划,主要是用于引导本企业安全的最终走向,以及在本企业的实际落地的内容,以及对本企业的期望。
安全治理的最终目的肯定是服务于企业的战略规划,为其保驾护航。
或者这里可以说安全治理实际上就是一种企业安全架构,再或者说企业安全架构就是一种完善的或者是有指导意义的安全治理。
0x03 管理安全功能
安全必须是可衡量的。可衡量意味着,安全机制的各个方面都发挥作用,提供明显的收益,并有一个或多个可以进行记录与分析到指标。
测量和评估安全指标的行为可以评估安全计划的完整性和有效性。
安全指标的跟踪和评估是有效安全治理的一部分。
其实所谓的管理安全功能就是all in one中的企业安全框架,或者说是安全治理
1.如何创建于业务战略保持一致的安全框架,或者说是安全治理
- 战略一致性 (Strategic Alignment)
- 业务支持 (Business Enablement)
- 流程强化 (Process Enhancement)
2.如何有效地处理安全管理计划
自上而下的方式。
上层负责启动和定义组织的策略
中层将策略落实为标准、基线、指导方针和程序
下层负责根据管理文档进行配置。
所有用户必须遵守组织的所有的安全策略。
首席信息官(CIO) 专注于确保信息被有效地用于实现业务目标
首席技术官(CTO) 专注于确保设备和软件正常工作以支持业务功能
2.1 安全管理计划的内容包括 (这里实际上也是安全治理的内容)
- 定义安全角色
- 规定如何管理安全
- 由谁负责安全
- 如何检验安全的有效性
- 指定安全策略
- 执行风险分析
- 对员工进行安全教育
2.2 战略计划
strategic plan 相对稳定的长期计划。在战略计划中讨论了未来的长期目标和愿景。战略计划应包含风险评估。
2.3 战术计划
tactical plan 中期计划,为战略加护中设定的目标提供更多的细节。通常包括:
- 项目计划
- 收购计划
- 招聘计划
- 预算计划
- 维护计划
- 支持计划
- 系统开发计划
2.4 操作计划
operational plan 短期,高度详细的计划。包括的内容:
- 资源分配
- 预算需求
- 人员分配
- 进度安排与细化
- 执行程序
- 执行流程与组织安全策略的合规性
- 培训计划
- 系统部署计划
- 产品设计计划。
0x04 组织流程
实际上,关注这块的内容,至少在国内目前还没有接触到,至少当前的工作没有这个场景,但是在一些大公司或者事项建立起安全的大公司还是有这个需求的。
关于组织流程,安全治理需要关注的内容有:
- 收购
- 资产剥离
- 治理委员会的组织流程
可能存在的一些场景与问题思考:
- 收购了一家子公司
- 人员变更 - 入职- 离职/裁员
- 资产剥离 - 资产销毁- 资产新增- 第三方接入
收购一家子公司需要注意哪些安全内容?
人员入职应该注意哪些安全事项?
人员离职应该注意哪些安全事项?
接入第三方内容应该注意哪些安全事项?
收购&兼并
收购&兼并会提高组织的风险等级,通常可能出现的风险有:
- 信息泄露
- 数据丢失
- 停机
- 投资回报率不足(ROI return on investment)
资产剥离
资产剥离包括资产减少,招聘或者裁员。
组织集成第三方
- 现场评估到组织现场进行访谈
- 文件交换和审查调差数据和文录交换的方式
持续的安全监控、管理和评估
0x05 组织的角色与责任
组织的角色有哪些,对应的责任又是什么?
- 高管
- 资产所有者
- 托管员
- 审计人员
1.高管
对组织安全的维护负责以及关心资产保护的人员。
2.资产所有者(高管)
assetowner 在安全解决方案中负责不知和保护信息分类的人员。实际上就是高管
3.托管员(执行者)
custodian 负责执行安全策略与高管规定的保护任务的人员。
4. 审计人员(检察院)
auditor,负责审查和验证安全策略是否被执行。
0x06 安全管理框架
好的内容或者说是流程,必然是要形成一个框架彩可以进行复制和通用。
1.COBIT
使用最广泛的安全控制框架是COBIT。
COBIT是由信息系统审计和控制协会编制的一套记录IT最佳安全实践的文档。规定了安全控制的目标和需求,并鼓励将IT安全思路映射到业务目标
1.1 六个关键原则
- 为利益相关方创造价值
- 采用整体分析法
- 动态地治理系统
- 把治理从管理中分离出来
- 根据企业需求量身定制
- 采取端到端的治理系统
思考
但是这里有一个问题就是COBIT到底算不算安全框架,如果算的话,对于安全来说又是充当什么角色。
2.NIST SP 800-53
信息系统和组织的安全和隐私控制
3. CIS
互联网安全中心,提供针对操作系统,应用程序和硬件的安全配置引导。
4.NIST RMF
联邦机构指定了强制性要求,主要分为六个阶段
- 分类
- 选择
- 实施
- 评估
- 授权
- 监控
5.NIST CSF
为关基和商业组织而设计,由识别、保护、检测、相应和恢复这五个功能构成。
对将在持续进行基础上执行的业务活动的规定,以便随着时间的推移支持和改进安全。
6.ISO 27000系列
国际标准,可作为实施组织信息安全以及相关管理实践的基础。
安全框架,接触最多的就是ISO 27000,其实把iso 27001研究透彻,最基本的安全肯定是没有任何问题的。
当然在国内实际上也可以直接研究等保2.0,等保2.0主要还是规定了一些安全的方法和措施,但是又没有成体系,所以熟悉肯定是对自己有帮助的,有空还是可以多翻一翻的。
还有一个问题就是等保的方向实际上和建设的方向又有很多不一样的地方,等保是为了让资产变的安全,为了防止公民社会国家权益被破坏。没有加入到公司的愿景以及组织战略相关的内容。
0x07 应尽关心和尽职审查
应尽关心是指指定计划、策略和流程以保护组织的利益。应尽关心指的事指定一种正式的安全框架,其中应该包含安全策略,标准,基线,指南和程序。
应尽审查指的事实践那些维持应尽关心工作的活动。将应尽关心这种安全框架持续应用到组织的IT基础设施上。
运营安全指组织内的所有责任相关方持续实施应尽关心和尽职审查。
概述一下就是,应尽关心就是知道该干啥,应尽审查就是知道什么时候干。
所以要是有人问,安全框架包括什么内容,实际上就是包括了,安全策略,标准,基
线,指南和程序。
1.应尽关心的安全框架
1.1 安全策略
规范化的最高层级文件称为安全策略,主要是定义了组织所需的安全范围,讨论需要保护的资产以及安全解决方案需要提供的必要保护程度。
归纳了战略性安全目标,愿景和宗旨。
安全策略主要用于分配职责,定义角色,明确审计需求,概述实施过程,规定合规性需求和定义可接受的风险级别。
简单的说就是,整个公司或者高管对安全的态度,对资产的优先级以及对损失的可接受程度。也就是安全的保护程度。比如,保护好服务不会因为攻击宕机,数据不泄露,能够通过安全检查,在恶意攻击下有一定的自保能力。当然安全策略也是一种赋予安全的权力。
1.2 安全标准
在策略的指导下编制其他的安全文档,标准提供了整个组织中统一实施技术和程序的过程。
策略可能就是一句话,而安全标准则是将这句话拆分成一些点,比如策略要求资产安全
那么标准则需要要求:
- 新增资产需要审核
- 旧资产需要检查
- 所有资产梳理
1.3 基线
基线定义了整个组织中每个系统必须满足的最低安全级别。
没有完全安全的系统,所谓的基线实际上就是达成政府或者策略的最低要求,从而避免大部分的漏洞。
包括不限于系统的要求,还有业务上线的要求,比如必须消除高危漏洞,低危漏洞只能有xxx个,这些也是最低的安全要求。
1.4 指南
指南提供了如何实现标准和基线的建议,并且是安全专业人员和用户的操作指南。相当于就是对应的操作手册。
1.5 安全程序
程序相当于指南的落地以及更底层的实现逻辑,对指南的内容进行进一步的拆分。
看到这里,其实就可以总结出一些内容。如何建立企业安全?
建议企业安全的首要条件是满足整个企业的战略规划,目标,愿景。也就是所谓的战略一致性,业务支持,流程强化内容。在建立企业安全主要从这几个方面进行考虑,首先是安全策略,然后就是针对安全策略进行拆分的安全标准,在安全标准的前提下,进行基线检查也就是要求的最低的安全标准,然后就是针对如何能够达到安全基线的方法和方案。如果指南设计到更底层的内容,就需要去整理安全程序去进行更详细的拆分。
但是这样子说就比较空洞,基于我目前的能力,更可能会这样回答这个问题。
如果是从0开始建设企业安全,首先需要搞清楚组织的诉求,也就是组织对安全的要求。(其实这里也就是组织的战略规划)然后根据组织对安全的要求以及行业的标准,满足合法合规的前提下进行建设。建设的方式主要通过成熟度从0开始建设,从三个方面分别进行,我个人更喜欢称之为过去,现在,未来,过去代表已经存在的风险,包括旧资产,存在的漏洞,风险,确实的安全架构和防护模式进行整改,现在代表着对已有的资产和内容进行新一轮的完整的威胁建模和风险评估,在梳理过去建立的内容的基础上进行补全和完善。未来,未来则代表着未来可能存在的内容,那么如何能让未来发生的风险越小,那肯定就是合规,标准和基线。合规,合乎法律法规,比如等保2.0, 标准,通过建立保准化流程,来提前约束可能存在的风险项,比如安全编码规范,人员安全规范,网络使用规范,安全意识提高,权限最小化,第三方管控等。基线,则代表着最低的安全要求,主要针对主机设备,环境,业务的最低需求,提高攻击门款和降低攻击后的损失。最后,在完善好自己的基础上,进行全面的监控以及进行主动防御,包括蜜罐,雷区,主动情报狩猎威胁分析。这里的全面监控实际上就是所谓的soc平台,soc平台可以通过自动编排功能,完成基线检测,风险告警和处理,将安全建设推向自动化的进程。
0x08 威胁建模
威胁建模是识别、分类和分析潜在威胁的安全过程。
威胁建模可以在动工前进行提前措施做,也可以在结束后进行分析来执行。
基于在动工前的威胁建模实际上就是安全左移或者前置的方式,而在动工结束后的威胁建模实际上就是后续渗透测试等干的事情。
1.识别威胁
识别威胁的方法:
- 关注资产该方法利用资产评估结果,视图识别有价值的资产面临的威胁
- 关注攻击者,有哪些组织能识别潜在攻击者。这一点就是去了解攻击者的攻击途径,从而发现威胁
- 关注软件如果开发了软件,考虑软件收到的潜在威胁。
微软的STRIDE 风险识别方案
- Spoofing
- Tampering
- Information Disclosure
- DoS
- Elevation ofPrivilege
攻击模拟和威胁分析过程:Process for attack Simulation and Threat Anlysis
是一种由7个阶段构成的威胁建模方法,以风险为核心,针对资产价值相关的保护措施
- 为风险定义目标
- 定义技术范围
- 分解和分析应用程序
- 威胁分析
- 弱点和脆弱性分析
- 攻击建模与仿真
- 风险分析和管理 《以风险为中心的威胁建模:攻击模拟和威胁分析的过程》
VAST
一种基于敏捷项目管理和变成原则的威胁建模概念
2.确定和绘制潜在的攻击
通过绘制交互逻辑,从而发现可能潜在的攻击
3.执行简化分析
分解影院公程序,系统或环境。详细的内容分析。主要关注的内容是
- 信任边界,信任级别或安全级别发生变化的位置
- 数据流在两个位置之间的流动
- 输入点,接受外部输入的位置
- 特权活动
- 安全声明和方法的细节,关于安全策略,安全基础和安全假设的声明。
4.优先级排序和响应
DARED,相当于是一个矩阵,主要是用来判断风险的修复优先级,可以通过不同的维度去判断。
5个维度
- 潜在破坏,如果威胁成真,可能造成的损害
- 可再现性,利用复杂度
- 可利用性 攻击难度,或者攻击门槛
- 受影响的用户 影响面
- 可发现性 发现弱点的难度
0x09 供应链管理
供应链风险管理 SCRM
供应链审查的方式
- 审查SLA
- 合同
- 实际执行情况。
SLR,服务级别需求
框架图表
框架分类概述ITILIT治理一套用于IT服务管理的最佳实践框架,由英国政府开发,最后成为国际框架,面向过程的框架,有助于IT时间与业务需求保持一致COBITIT治理是ISACA(信息系统审计与控制协会)开发和维护的IT治理框架NIST CSF安全管理框架为关基和商业组织而设计,由识别,保护,检测,响应和恢复五个功能构成iso27001安全管理框架国际标准的安全管理框架,包含基于计划,执行,检查,行动周期的过程
威胁框架对比
框架说明STRIDE微软的模型,特点是对威胁进行分类PASTA一种7种阶段构成的威胁建模方法,以风险为核心,选择或开发与保护的资产价值相关的防护措施VAST在可扩展的基础上将威胁和风险管理阶乘到敏姐变成环境中的威胁建模概念
版权归原作者 王嘟嘟_ 所有, 如有侵权,请联系我们删除。