安全体系建设-基础安全

安全层级
建设步骤
组建安全团队
工作内容
- 生产
- 办公
安全平台
- 日志分析平台
- 安全事件处理平台
- 其他安全工作
- 安全事件处理流程
- - 事前
  - 事中
  - 事后
安全监控
- 资产识别
- 资产识别维度
- 纵深监控
- 监控策略
- ATT&CK
- 数据安全、业务安全、风控体系

安全层级

安全体系的建设需要进行分级，粗略的分为以下三个层级。

基础安全
第一阶段大部分公司关注的层级，充当应急的角色，在不断的应急中了解公司的架构、业务情况，并再次基础上建立安全防御体系，也是给企业打好基础的阶段，这一阶段主要的对手为传统意义上的黑客。
安全流程和制度
随着第一阶段的查缺补漏，安全防御体系基本建立完成，这是就可以考虑通过流程/制度的方式规范员工的行为。
业务安全
安全最终服务于业务。因为业务安全也是安全团队比较重要的工作内容，当然这应该是建立在基础安全和流程制度比较完善的情况下。

建设步骤

了解整体的安全需求及保护对象
安全人员进入公司，首先要做的就是了解公司的安全需求。例如，历史安全事件，公司各种业务的运作模式、明确公司核心资产，然后沿着保护对象开展层次防御工作。
建立整体安全建设视角

基础安全

基础架构与设施安全	应用安全	IT安全	安全管理与合规	安全研发	安全运营
容器安全	WEB安全	办公安全	安全管理	安全工具/系统/平台/服务自研	安全系统/平台运营
主机安全	客户端安全	供应链安全	安全合规	开源/商业产品/二次开发	持续攻防对抗
网络安全			安全审计		安全教育/培训
物理安全					安全品牌建设

合规与数据安全

合规与数据安全
等级保护
ISO27001
GDPR
数据安全

业务安全

业务安全
账号安全
交易安全
内容安全
运营安全
业务风控

组建安全团队

了解了安全工作的内容，便需要组建安全团队。针对每一项内容开展工作，虽然有很多“一个人的安全部”，但安全建设思路都是一样的。安全架构如下：

基础安全：
1、生产安全
2、漏洞挖掘
3、办公安全
4、云安全
安全开发：
1、系统开发
2、安全产品
3、代码审计
4、安全测试
移动安全：
1、IOS方向
2、Android方向
业务安全：
1、账号体系
2、支付、交易体系
3、风险控制
4、商户安全
5、数据安全
6、隐私/合规
安全运营：
1、应急响应中心
2、安全制度
3、安全培训
4、安全监控
5、数据分析
6、项目推进/协调

工作内容

根据不同的业务，工作内容有所不同，简单的举例生产和办公的部分工作内容。

生产

应用安全：
1、SDL（WEB+APP）
    安全SDK、API
    应用安全架构设计
    WAF
    内部系统违规开放监控
    端口扫描
2、RASP
    APP加固
    盗版、钓鱼APP检测
    APP破解监控
主机安全：
    堡垒机
    HIDS
    蜜罐
网络安全：
1、网络访问控制
    全站全链路HTTPS
    NACL失效监控与告警
    流量劫持监控
    网络划分隔离
2、全流量镜像
    NIDS
    端口扫描（高危+全量）
    DDOS攻击检测与防御

办公

身份认证与权限管理：
    SSO+双因素认证
    合理划分权限+审批流
    日志记录+行为审计
    离职自动删除权限
    岗位变动、权限重新划分
终端安全：
    防病毒+补丁管理
    HDLP（主机数据防泄漏）
    NDLP（网络数据防泄漏）
    EDR
    域控
    终端基线
    行为管理
网络安全：
    全流量镜像
    NIDS
    无线入侵检测
    网络准入

安全平台

日志分析平台

日志分析平台，具有收集、存储、查询以及关联分析等作用，目前接触到的分为两大方向。
一、开源或自研
开源常用的为ELK套件，filebeat将日志文件数据，通过kafka打入logstash，清洗处理后，通过kibana界面，调用Elasticsearch 查询数据，数据建立索引后存储在Elasticsearch 。

二、商业
目前接触到的是splunk，相对来说费用比较贵，可以通过syslog或者一些组件将日志打入splunk，在splunk进行关联分析和书写规则进行告警等，具体不展开叙述。可以查询官网相关文档了解。

安全事件处理平台

对于外部发现的漏洞，内部检测的漏洞以及最新漏洞进行推进修复的一个工单系统，结合安全事件的告警，进行跟踪。以及日常值班安全事件处理的记录。

其他安全工作

漏洞挖掘和上线检测
内部红蓝对抗
内部安全技术支持
安全培训、内外部安全运营
合规审查
应急响应

安全事件处理流程

事前

收集信息
标准化
建立基础数据
风险评估
端口、漏洞扫描
病毒、木马扫描
渗透测试
补丁更新
配置管理
网络划分
事件响应团队安排及处理流程
日志收集
日志分析
安全预警体系
安全监测体系
安全防御体系
安全审计体系
安全培训
账户登录及权限管理
跨部门沟通协作

事中

关键路径分析
响应机制
防御及影响评估
流量、行为、攻击分析

事后

日志分析
调查取证
事件复盘
安全加固

安全监控

资产识别

有效做好资产识别是企业资产安全建设的基石。对于大部分企业的安全团队而言，这几乎是一项不可能完美完成的工作。很多公司有很完善的上线流程，但是没有相应的下线流程，很多不用的业务没人维护，这也不仅浪费资源，也存在非常大的安全隐患。
因此，对于资产识别，一定是一个动态的过程，无法一劳永逸。

资产识别维度

运行的服务及开放的端口
资产所有者
漏洞与补丁情况
域名、URL、IP对于情况
URL变量以及变量接受的类型范围
资产等级划分
安装agent及运行情况
历史攻击记录
主机基础信息（ip、系统、主机名、所属位置）

纵深监控

从网络到主机，从内部到外部，从主动扫描到被动触发。建立多层监控体系。
简单的用设备覆盖，举例子：
WAF
堡垒机
防火墙
漏扫
EPP
EDR
等等。。。。

监控策略

常见的几种监控策略：

关键词识别
监控最基础的版本，但也是最实用的技术，对攻击载荷的特征收集，大部分的攻击可以被识别和拦截，缺点是小号性能较大，且误报比较多。
关联分析
通过ip关联形成一个事件，减少告警的噪音问题，提高监控的准确度。目前很多SOC和SIEM系统朝着这个方向探索。
举例几个简单的关联分析的维度：
IP关联、漏洞关联、行为关联。
关联分析可能会用到的算法Apriori、FP-growth算法等。
频率分析
比如爆破web目录，短时间内会出现大量的404错误，还有短时间内多次登录VPN密码错误等。
机器学习
机器学习，暂时没研究到那个等级，等有成果了，再说吧。。。

ATT&CK

攻击链六个阶段：侦察跟踪、武器构建、载荷传递、漏洞利用、安装植入、命令与控制、目标达成。

1、了解攻击的方式与方法，可以针对性的防御与监控
2、检测防御的覆盖范围，结合相关技术对于对应的攻击技术防御评估。
3、评估防御差距，明确某种攻击方式的识别率和覆盖率。
4、评估监控体系的成熟度，评定监控系统的检测能力，以及响应能力。
5、对于威胁情报的补充和扩展，对于发现的相关的APT攻击手法和战术补充进现有威胁情报。

数据安全、业务安全、风控体系

以后再补充。