您现在的位置是:首页 > 网络信息安全

安全运营三部曲之安全响应中心与企业文化

xiaozq2021-08-10网络信息安全

简介作者,某国企安全运营CEO。从0到1搭建了该企业安全运营体系,主导了多次内部运营活动。在内部培训、团队管理、SRC建设、危机公关等方面有大量的经验和思考。企业安全实录将连载其三篇安全运营文章,从观念、实践和愿景三个方面完整的分析企业安全运营工作的方方面面。

由于本文文字较多,考虑到读者时间宝贵,大家可参考思维导图,按图索骥,找到自己感兴趣的部分。

随着互联网技术的突飞猛进发展,商业公司数据的海量沉积,政府及公共机构数据的备受关注,黑客们看到了这些数据背后的巨大利益,导致攻击行为不断发生。单靠企业自己的力量防御是有限的,而且安全工作的本身也没有百分百绝对没有缝隙,如何弥补公司内部防御手段不足的问题?各个公司的安全负责人都在思考。
                                                                                        一 安全响应中心搭建
1.1 为什么会有安全响应中心?
基于企业为保护重要或海量的数据不被黑客篡改或盗取,对于有一定规模的企业陆续成立了内部的安全部门;这称为正向防御,每个业务成熟的公司很容易做到这一点,无非就是投入巨额资金招募到适合的人来做合适的事。但,与此同时,还会有一些未知风险是正向防御不能覆盖的,如何弥补这些空白?如何从逆向建立防御系统?由于计算机的产生与早期发展,国外快于国内,所以,在借鉴了国外先进经验之后,中国企业成立了自己的安全响应中心security response center,简称SRC,作为企业回收外部风险的入口。同时SRC还扮演着安全部门与行业内安全从业人员交流平台的角色,通过这个平台,企业建立了与安全人才的联系,为企业的人才储备作出一定贡献。白帽子,本企业以外的安全从业人员(正面的黑客),可以通过SRC这样的渠道向企业提交自己发现的安全漏洞,并获得企业给予的一定的物质与精神的奖励。简而言之,安全响应中心的初衷是企业集结分散在社会中的技术资源来保障企业安全的一种防御手段。
1.2 如何建立安全响应中心?
上面我们已经认识到了安全响应中心的重要性,但是,如何来建立起这样一个中心却不是安全部门自己轻而易举能够做到的事情,这需要企业内部很多部门及负责人共同协调完成。安全部门在企业里独立出来的时间较晚,安全工作被关注的程度也一直存有不同声音,所具有的权限也是有限的。
1.2.1 梳理业务
第一,域名列表是在网络中是非常重要的一部分,首当其冲应该梳理出一份完整的且正在使用中的域名列表;第二,整理出所有的IP列表,包括已开放的端口,各个端口信息,常见的默认端口,端口上运行的服务等;第三,确定好各业务线的安全接口人,安全部门可直接与其对接工作;第四,确定业务部门安全接口人。往往在企业内部,业务线与业务部门有时候是分开的,因此需要分别确定好。
1.2.2 漏洞定级
基本上,目前所有的企业与安全从业者对漏洞级别的判定规则基本一致,根据危害程度可分为四类:严重、高危、中危、低危;根据所影响的业务类型不同,又可以从核心业务和一般业务的维度来定级;近些年,也出现了特殊的定级,包括零日漏洞,威胁情报和插件等;常见的漏洞类型,同时也被广泛认同的,系统权限、暴力破解、SQL注入、XSS、URL跳转、越权访问等等也都是在列。每家企业因为行业不同,对于信息资产的关注领域不同,所以,漏洞定级的事情,不仅仅参照通用的标准,还受很多企业自身的原因影响,当然普遍共识的系统漏洞、零日漏洞除外。
1.2.3 评分标准
每家企业略有不同,但是,基本遵循着先为漏洞定级,然后根据定级确定该对应的积分,最后确定物质奖金数字,这样的流程进行。评分标准的设定,对于SRC而言,更大的意义在于判断漏洞背后的技术能力,从而对等出物质奖金数字,回报于提交此漏洞的白帽子;一方面肯定其技术能力,另外,一方面感激于提交漏洞给企业,帮助企业防御风险的行为。
1.2.4 事件处理规范
此流程,其实更多是限制企业内部专门负责SRC运营的人员。需要在安全响应中心建设之初,制定出SRC漏洞处理的规范,包括流程与时间,重要的时间点主要包括不同级别需要规定出不同的时间,全程时间需记录,包括的提交时间一旦生成需要立刻同步给SRC运营人员的短信、邮件等接收工具;然后处理漏洞的时间点应严格规定并且执行,包括通知到安全接口人的时间,修复时间,复查时间,反馈给白帽子的时间等一系列时间点 需要被跟踪记录。另外流程需要包含以下几项:漏洞来源,漏洞名称,漏洞类型,影响范围,提交时间,安全接口人,基本描述,漏洞证明,处理意见,处理时间,是否办结,是否复查。漏洞名称,漏洞类型,基本描述,漏洞证明和影响范围由提交人填写,将会在提交页面上设置相应的位置,成为必填项;提交时间自动生成;漏洞来源,安全接口人,处理意见,处理时间,是否办结,是否复查由企业内部处理漏洞的技术人员如实更新信息。制定和遵守规范是安全事件达到预期目的的关键,不容小视。

郑重声明:

本站所有活动均为互联网所得,如有侵权请联系本站删除处理

随便看看

文章排行

本栏推荐

栏目更新