林鹏:从电商金融,看互联网安全从建设0到1(附PPT)

来源:知道创宇2020.10.09

2020疫情引爆了在线新经济。疫情流量之下,在线新经济企业如何落地自身网络安全建设?8月知道创宇“产业安全大咖说”,邀6位大咖为您共同揭晓答案。


本文是第1位大咖林鹏的分享


关于林鹏

猎豹移动安全总监,《互联网安全建设从0到1》作者,曾任当当网安全经理,网络金融安全专家,万达电商信息安全部总经理等职位,长达10年的一线安全攻防实战经验,研究领域为日志分析、安全防御、金融安全、羊毛党对抗,并曾在QCON,SACC,GITC,HITCON等安全会议上发表过议题演讲。

01攻防不对等,企业安全风险无处不在

对于企业安全我总结了一个概念叫圆圈理论,意思是“伴随着企业规模的扩大,防御的面也随之扩大,即意味着受攻击的面增大。

对攻击者来说,只需关注一个脆弱点就能够成功发起攻击。而对防御方尤其是企业来说,则需要关注全方位的安全,攻防不对等由此可见

电商金融面临的主要风险类型主要包括:钓鱼、黑客攻击、盗号、恶意欺诈、信息泄露等。企业前期辛苦搭建的安全保障只要被攻击者抓住其中一个点,一样会造成巨大损失

02安全建设三阶段——基础、体系、业务

为了构建尽量完备的企业安全,可以将其分为安全三阶段,分别为:基础安全、安全体系和业务安全。

基础安全顾名思义,是一切安全的基础。如果基础安全搭建的不完备,将会影响后面的安全建设。

安全体系则是作为基础安全的补充,通过一些体系或流程的建设去覆盖基础安全不能触及到的脆弱点。

最后,所有的安全都应该围绕业务进行。不围绕业务,安全的意义也不复存在

下面我们分别细说各个安全阶段该如何执行。

基础安全

基础安全有很多,包括:运维安全、开发安全、办公安全、环境安全和人员安全。再细分下去的话,运维安全又包括:流量镜像、端口扫描、日志分析、主机检测、配置规范、备份/升级等;开发安全又包括:代码安全、后台安全、功能逻辑以及权限管理。

特别值得一提的是,在上云的大趋势下,据一份2019年的云安全报告显示现目前66%的传统安全解决方案在云上起不到任何作用,并且传统安全的许多工具都无法在云上运用,这更是增加了安全建设的困难。

基础安全建设往往是通过层次化的思想解决,网络层有自己的一套解决方案而主机层又有另一套。用层次化的建设增加攻击者的成本使其自动放弃攻击,达到平衡攻防天平的目的。同时在网络安全建设中没有银弹思维,即单一的安全产品或安全技术不可能保证整体的安全。所以分层次的安全建设也格外重要,联动起来层层设防。

除此之外还需要熟悉自己的资产有哪些,包括:系统、组件、第三方工具,知道自己的防御覆盖范围;同时知道对手的攻击手段,抓取攻击特征,清楚攻击是否成功。这样才能做到知己知彼百战不殆

若把安全事件按照事前、事中、事后来区分的话,具体分类如下:

总结起来就是:事前做好战略规划,事中保持战术素养,事后总结分析做好复盘

安全体系

安全体系主要起指导和弥补作用,当遇到不能靠技术完成的事情时,这就需要一些管理上的工作来完善。

当数据隐私安全越来越得到重视,这时便出台了一些相关政策规定。包括欧盟的《通用数据保护条例》(GDPR)和我国的《网络安全等级保护制度》都可以理解为安全体系一类。

数据控制者责任和义务

把流程梳理清晰有并有据可查之后,是非常有助于通过审计或是检查的,这时安全体系的重要性便再次体现出来。

安全体系的建设目标都大同小异,都是为了保护资产,通过评估安全风险,以总体安全策略为指导,制定安全保护措施,为公司信息系统及知识产权提供全面的安全保护,建立适用及高效的信息安全体系,尽可能的降低安全风险,从而提高组织的整体安全防护水平,为业务发展提供稳健的信息安全保护

业务安全

业务安全,按照百度百科的解释:业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。

上面我们提到过电商金融行业面临的风险,对业务来说攻击者只需关注一个点,但防御需要考虑整个面。不仅是电商金融行业,任何行业也是如此

业务安全可以从两个方面寻找不同的解决方案:1.技术;2.流程。

技术上通过验证机制、分析注册用户行为、冻结机制、设立门槛、前端验证等。

流程上通过项目立项风控、安全测试、业务数据实时监控,并和客户建立良好的沟通机制,毕竟一线人员是最了解业务情况的。

在业务安全的攻防中,我们要合理平和业务与安全的关系,不能为了意义的上的安全而影响真实的业务进行。

(可以把业务安全看作坦克大战,保护好老家才是最终目的)

03甲方安全从业人员的定位与思考

安全部门也应该输出

企业招聘安全人员也是有成本的,而安全部门一般也可能是成本中心。但是我认为安全部门也应该有所输出,这个输出可以变现最好,即便不能变现也不能自high。安全要支持公司业务,努力做出平台级产品服务于公司和业务,任何一项很强的技术都需要耗费很高的成本去完成,但如果这个技术不能给公司带来任何实际用途,那么所有工作都是白费。

团队定位

安全团队的定位应该是服务于公司,服务于业务,应该尽最大的努力为业务保驾护航,为公司和业务部门提供各种安全支持,出谋划策一起面对安全风险。而不是以各种名义阻碍业务的发展,要知道如果是非安全公司,业务倒下了安全也就没有了价值。

换位思考与沟通

与沟通类似,安全部门的人员也需要站在对方的角度进行思考,更不能打着安全的旗号做浪费资源的事情

沟通是安全工作的基础,与不同业务部门的同时沟通,以此找到安全最恰当的实施方式,同时要换位思考:在不同的业务场景下安全工作能否进展下去

————END————

点击此处下载完整版PPT

热门文章

  • 攻防对抗+溯源反制,创宇蜜罐实战分享实录(附PPT+直播回放)

    在经历了侦察和武器准备后,攻击者便会开始尝试发动攻击。通过对目标业务系统进行攻击武器的投递、漏洞的利用以及程序安装,对防守方的基础服务端口尝试各种getshell利用。

  • 赵威:互联网企业内容安全治理指南(附PPT)

    随着互联网的不断发展,现在的人们都是“一机在手,天下尽在掌握”。手机上丰富的APP带领人们阅尽世间风采。在近两年,连续每年增长的APP数量却出现了下滑的趋势。从2017年-2019年APP在架数量走势可以看出自2018年开始,APP在架数量开始明显下降。

  • 李晨:在线教育行业等级保护实践(附PPT)

    等级保护的基本流程包括定级备案、进场测评、整改复测、获取报告。首先由信息安全专家进行定级,备案完成后进行进场测评,由第三方检测机构进行等级保护测评,并提出需整改的问题清单。

关注知道创宇云安全

获取安全动态