企业安全意识形态101

不同需求引申出不同市场与产品，但这里一个强有力的心声在于。给产品与设备背书，后续交付暂放一边。形如将医疗设备买回家，无法绽放出本属于它的烟花。 -------- sec875

安全需要建设

自己培养与投入安全团队 or 外包安全业务

安全不是营销，不赚钱还花钱。资金不雄厚的组织是玩不转的。不是花钱保平安。而是花钱建设安全。

需要思考：产品的安全性提高了，也是间接的在销售产品本身。可能效果比营销词：我们服务一切，效果更好

需要思考：不是花钱解决掉安全问题，而是给恶意性的入侵拔高知识型的门栏

没有银弹

每一个防御思维都有它的弱点：或资金太大或资源不足或实施困难

需要思考：这个世界上不存在完美的解决方案与设备，但也不存在完美的入侵犯罪。

因此，业务数据需要备份，灾备设施需要投入，以防止毁灭性的事件发生。

所有事件，组件日志需要转发与备份。在重要事件的取证分析中做好数据支撑。

设备需要用起来

安全在当下远远还没有形成闭环。所有的问题都在探索。每一次的安全事件与处理方式都不一样。并非每一次的报警都是100%的阳性。

需要思考：设备本身的规则与告警的可见性。这种可见性又与核心产品产权的保护息息相关。但不管如何，规则本身需要求证与观察。或改进或研判误报性或添加新的特征值。

需要思考：我们不知道攻击源自于如何，或内部或外部。因此，设备需要运行起来。员工需要慢慢接触适应和观察它们。

不能埋头干活

安全需要组织的全员参与和部门联动作战。

需要思考：不是所有设备，资产都基于一人之手。很多流程，防火墙，白名单的增删改查需要依赖他人。

知识库

我敢保证，不给任何资源，资料和网络。一切仅凭脑子的话。敲一个sqlmap的命令您都感觉困难。问题不在几年的工作经验，而在于没必要天天敲这个来形成肌肉记忆。太浪费资源与时间了。您有更重要的事情需要做。这个重要性不是为了把工具的使用给背下来。

需要思考：经历一遍攻击或者防御的实战，然后备份笔记用于以后查询与实施。而不是强行的为难一个人，您必须手工搓一切出来。

需要思考：他山之石可以攻玉，不要重复造轮子。

各大安全社区开设得有安全建设课程，购买它与员工一起成长。比如SANS社区的安全性课程：https://www.sans.org/

• 需要思考：安全的知识，实施，技术与其依赖的基础性工具都是一个海量的信息，组织内部的联合知识库建设也是一种价值性极高的体现。

安全视角与漏洞视角

从漏洞视角来看，这可能无法达到漏洞危害的标准或可能不是一个漏洞。但从安全视角来看，情况并非如此。

需要思考：防御设备的增加将一些漏洞的攻击流量给拦截了，但这并不代表产品本身没有漏洞。如果从内部攻击或者其他旁路绕过了防御设备的流量路径，产品本身溃不成军。

需要思考：白帽子发现了问题但无法完成漏洞利用。不是考察他们的攻击能力能不能打倒防御设备，接手他们发现的安全问题并进一步的完善产品这件事比考察他们能不能走完利用更有价值意义。发现问题很棒，帮助他们一起定位与建设安全更棒。

需要思考：业务本身的功能性，可能不是漏洞。但从安全视角来看，本身返回的数据过于明确或者返回的数据用于其他目的性，就已经可以为黑产活动所用了。必须重视与防止。我们产品不是社工库，不能谁来查就给它查。

关于零信任

安全性与工作流势必是一个跷跷板需要平衡

需要思考：一套安全体系的引入带来的却是各部门员工甚至无法顺利开展工作，那么这个体系势必是有问题的。需要人来进行平衡，或审批或认证与授权。

需要思考：被保护的系统本身的价值性。如果您的系统是单机版游戏型或者OA办公系统，为了它们引入零信任，不亚于买一个一千万的设备来保护一个价值一万的对象。

人与设备的服务

将医疗设备买回家，无法绽放出它的价值。还需要人的服务。

需要思考：设备的买入，谁来用他，发挥出它的价值与能力。

战略与战术计划

当引入设备之后，需要慢慢建设攻击场景和事件响应计划。

需要思考：增加问责制和审查环节本身不能解决问题。问题在于攻与防，需要进行攻防模拟演练来接触它们，观察它们，思考它们进而创新它们。

需要思考：我能模拟ATT&CK的攻击场景吗？我模拟的攻击活动在设备中的流量，响应的情况是如何体系的，大家都看见过吗？

需要思考：没有web安全与渗透测试的模拟配合，人们对防御设备会越来越生疏。

需要思考：资产信息不能单单依赖于扫描器自动采集。资产本质上是一个组织内部的各部门的总集。您需要有一本属于组织内部的账本，而不是十年后依赖于他人说您来帮我做这个账本。如果内部自己人都无法统计清楚，那么外部的一切工具或者产品也都非常困难，它们甚至无法覆盖到所有终端上。这种基于内部的统计可以分配给各自部门并录入系统中即可。

我去哪里寻找攻击战略，战术模拟检测场景？

Atomic Red Team，ATT&CK等

基础性渗透 or 高端渗透？

0day属于国家级战略性的知识。每一个0day流入市场都能买几套房。如果您想得是购买渗透测试来进行内部摸底，预期值可能不会如您所愿。高端的渗透组织，供养着大量专家。请他们进行渗透，价格巨高。上百万美金的都有。

先做基础性渗透，最后再请专家

需要思考：基础性渗透中大量的基础组件公开库的poc都测试过了一次或者几次了吗？

需要思考：商业化的漏扫工具使用过一次或者几次了吗？

需要思考：如果购买了高端渗透，但让他们过来数弱口令有多少，是非常沮丧的。

各环境基线建立

不同组织，不同场景的基线值是不同的，需要因地制宜。有没有例子或者借鉴呢？有

• https://www.cisecurity.org/cis-benchmarks/

风险管理

组织具备一种类似于OA之类的用于记录发现的风险问题，以及跟踪风险问题的管理系统吗？

• 需要思考：哪些IP资产存在弱口令或其他风险，风险问题的进展等在什么地方呈现与跟踪。

端点保护

有效的端点保护不仅可以防止而且可以检测异常活动和记录

• 需要思考：并非所有的攻击活动都在规则告警的特征值里面。有时，它是一种新型攻击；有时，它属于高维度知识型攻击；有时，它是0day。当防御设备失陷后，我们还有数据记录来发现这些异常。

培训和意识

用户在观察到异常情况时必须知道与谁联系。

• 需要思考：观察到的每个事件与异常情况，我可以感受到它的正常或者异常吗？我可以直接在现场解决掉吗？我还需要联系谁？政府？ISP运营商？以及其他内外部组织？

网络保护

横向隔离，纵深防御。拖住敌人的攻击步伐，为防御取证争取时间。

需要思考：组织内网的不同部门有没有做隔离？有没有引入不同角度的其他防御来拉伸防御线？

事件响应建立与处理

有没有实施事件响应相关的例子用于借鉴呢？有。

NIST 800-61系列：https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

金融行业

有没有关于金融行业的合规与安全借鉴？也有。

https://www.pcisecuritystandards.org/

YARA

如果我观察到了具体特征值能不能基于文本或二进制的规则编写，查找一下？能。了解一下yara技术

https://github.com/virustotal/yara

威胁情报社区

如果我发现一个可疑的IP，域名之后，它有没有问题？去哪里判断？去威胁情报社区判断。假设另于今天发现一个IP，然后又在威胁情报社区的数据库发现它还进行了其他攻击活动。我想，您已经很清楚这个IP是不是有问题了。

https://otx.alienvault.com/

https://www.misp-project.org/

安全运营与监控工具

商业化的工具适用于企业组织。但开源，免费的工具也不差。这些设备或软件部署或硬件部署或单机部署或联合服务器部署，分为各种颗粒（网络，文件，进程，注册表等）的工具从系统的角度，网络的角度等进行监控。无论已什么方式实施，都旨在监控资产，生成告警，转发日志到统一的监控平台里面便于审计。

比如：sysinternals，suricata，OSquery，Splunk，Graylog，OpenEDR等

全流量监控

我们不知道威胁来自于外部还是内部。因此需要这种全流量的监控为事后观察，溯源取证与研判做支撑。

重要系统的多因素认证

我们需要对重要的系统或者功能点做多因素的认证。具体实施，可以是短信，邮件，APP等验证码或者硬件等。

关于DevSecOps

SDLC是围绕着企业安全编码应用与安全上线而描述的一些方法论。减少应用开发本身的漏洞，从本质上健壮产品。我应该如何了解？有借鉴资源吗？有。

https://github.com/hahwul/DevSecOps

结尾

攻与防的方方面面都适用于企业安全，本文无法涵盖所有内容。它们包括动静态分析，安全编码，利用开发等。

每一个知识与方向都能深入并走得很远。

感谢师傅们很有耐心的看到了这里。

我们还会再见面的。

共勉。