后期运营建设

通俗来说，自适应安全就是实现预防，检测，预测，响应能力的安全系统；企业或组织要持续、动态地监控自身安全，并加强快速分析和响应能力。企业员工的安全意识必须提高，加强培训；风险评估，等保测评，安全加固等等；

以下这张图借鉴了某大佬的，认为这个防护工作的路线图，还是很有效的，分享给大家。

SDL

SDL是微软提出的从安全角度指导软件开发过程的管理模式 。 将设计、代码和文档等安全相关漏洞减到最少，在软件开发的生命周期中尽可能的早得发现并解决相关漏洞建立的流程框架；为了实现保证最终的用户安全，在软件开发各阶段中引入针对项目安全和用户隐私问题的解决方案。

帮助软件研发类企业在产品研发过程中减少产品的安全问题，并通过方法实践从每个阶段提高产品的整体安全级别。

设计原则

《孙子兵法》虚实篇中说道：“故兵无常势，水无常形，能因敌变化而取胜者，谓之神。”意思说能根据敌情变化采取对策而取胜，叫做用兵如神。每个企业所处的行业不同，每个企业所处的发展阶段不同，如何明确和制定可行的企业SDL安全开发体系，要从企业经营安全的角度看待软件的安全，将软件安全融入到业务安全这个大安全的体系中考虑。也就是说，软件安全的目标要服务企业发展的整体目标，SDL软件安全开发体系的建设同样要以保障企业生产经营目标的实现为第一要务。

目标

从源头上降低安全风险，SDL安全开发体系建设的总体目标包含两个方面，一方面是减少软件安全漏洞和隐私问题的数量，另一方面是尽量降低残留漏洞被利用的影响。

主要就是防欺骗、防抵赖、防信息泄露、防篡改、防拒绝服务、防提升权限；在SDL安全开发体系建设中，开发者通过公认和有效的方法实现该目标，通常认为开发出的软件是可信和安全的。

企业的任何工作目标的实现都是依靠资源的有效分配和有序流动才能完成。SDL的推广实施需要相应的组织架构保障，SDL安全开发体系的建设是企业网络安全工作中的一个子集，可以充分利用现有的安全组织架构，通过层级或职能方面的补充及融合，来处理SDL推广实施中可能产生的新的工作内容和工作流程，从而为SDL推广实施提供组织保障基础；

一般来说，一个完整的SDL流程所需的专业人员包括几个方向：安全架构、威胁建模、安全测试、安全开发、SDL运营；

流程大致如下

准备阶段-安全培训

安全需求分析【风险评估、需求分析评审】

安全功能设计【攻击面分析、威胁建模、设计评审】

安全编码【开发工具要求、弃用不安全函数、安全编码规范】

安全测试【渗透测试、代码设计、工具扫描、安全测试用例】

安全发布【最终评估、应急响应计划、安全上线规范】

DevSecOps与SDL

SDL覆盖的是需求阶段、架构设计阶段、编码阶段、测试阶段、预发布阶段，安全活动包含安全管理规范制定、安全编码及设计规范制定、安全培训、安全需求、威胁建模、安全编码检测、渗透测试、上线安全评审等内容，涵盖了安全管理、安全规范、安全活动、安全评审多个方面，将安全活动贯穿到在瀑布式的开发流程中，由人工参与较多，不仅仅是自动化安全测试，更多的是人工评审和管理规范制定。

DevSecOps覆盖的是编码阶段、测试阶段、预发布阶段、发布阶段、线上运维阶段，强调自动化与平台化，由CI/CD平台自动推动整个开发和运维流程自动化，将开发运维一体化，所以人工干预较少，更多依赖于安全工具集成DevOps工具链，要求威胁建模工具、安全编码工具、安全测试工具、容器安全检测工具、基线加固工具、漏洞管理工具能够集成到CI/CD平台中，与开发和运维一体，开发测试运维是敏捷的，安全更应该是如此。

蜜罐应用

通过在黑客必经之路上构造陷阱，混淆其攻击目标，精确感知黑客攻击的行为。可阻断和隔离攻击，并溯源黑客身份及攻击意图，形成黑客攻击情报。该产品可用于保护易受黑客入侵攻击的业务系统，特别在金融、证券、运营商等包含大量用户数据、资金等敏感信息的业务环境中。通过构建用户威胁情报体系，实现从安全事件的被动响应到安全威胁的积极应对，帮助企业控制安全风险。

使用

蜜罐从来不是独立运行的，想要发挥其最大价值，就要与真实网络进行融合。通过丰富的部署策略，最终蜜网与真实网络达到“你中有我，我中有你”的效果。在攻击者攻击真实业务过程中，有多种方式可将攻击转移到蜜网。

蜜罐从来不是一成不变的，APT攻击一般潜伏时间较长，几个月到几年。为防止黑客发现蜜罐后，绕开蜜罐攻击真实业务。经常变更蜜罐策略，使攻击者不知道具体哪个才是真的业务系统，干扰其攻击思路。

扫描漏洞-管理

安全扫描应当是一件需要持续去做的事情，这种持续性并不是指每天、每周、每个月或每个季度，我们指的是每一分每一秒！这种持续性的安全扫描方式适用于以下几种场景：

假设你拥有一个动态环境，并且每分每秒都可能有新的基础设施被创建；

你想要比任何人都提前捕捉到异常安全问题；

你想要构建快速的安全响应措施。

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。

漏洞扫描器包括网络漏扫、主机漏扫、数据库漏扫等不同种类。根据不同的场景选择不同的扫描器。对未知资产的自动发现主要通过已知资产，利用黑客视角的资产发现能力，采用子域名爆破、上下游接口、搜索引擎、动态爬虫等手段进行。再通过机器学习模型分析资产间的关联性，自动发现关联资产、企业边界资产，并持续更新资产状态与相关指纹信息。

攻防演练

防守方的困境

攻防演习、重保。是否清楚互联网暴露面有多大？

即便已经做了互联网侧的资产扫描，到底有多少敏感信息暴露在公网、暗网？

需要知道攻击方是否了解哪些关键信息。

这些敏感信息，攻击者到底会怎么利用？

在攻击过程当中，攻击目标、攻击思维、攻击方式、攻击路径。

应该如何应对，去制定比较合适可行的方案呢？

防止软件开发商违规的操作造成的安全相关的问题

一些业务不在我们所管理的范围内，应该如何去监控，去实施，去规划。

原因

这些问题本质原因是—攻防双方信息不对称和角度不同。攻击方会从全网、全方位寻找情报和突破点，既关心物（如业务系统）也关心人（如人员信息）；而防守方通常只关心自己的业务和网络，较少关心互联网公开应用（如网盘）和暗网的情报。

网络安全的本质在对抗，对抗的本质在攻防两端能力较量，攻防两端能力较量，首先是敏感信息收集和反收集的对抗，敏感信息泄露是防守方的弱点。

组织

​​​

常态化

红蓝对抗是企业网络安全防御能力的试金石，企业建议开展常态化的攻防演练来不断完善对抗机制，从而提升演练效果，做好内部红蓝军队伍建设。以后呢，企业可进一步引入外部蓝军的力量来加大攻防的强度；建立并完善主动检出率、入侵发现率、对抗场景覆盖率、平均响应时间等指标来量化“红蓝对抗”的效果；通过演练强化安全事件研判分析、规范安全事件处置流程，对安全事件进行及时控制，形成快速处置和响应机制，从而进一步完善企业安全运营中心（SOC）的建设。

信息网络安全的本质——对抗，在网络安全“实战化、常态化、体系化”背景下，“红蓝对抗”可以帮助各个行业在网络安全建设中实现“攻击促防御、攻击促整改、实战促建设、实战促提升、实战促发展”的目标，达到网络安全中红蓝双方的相互促进，循环提升的效果，从而不断提高企业安全防护能力，加强信息安全。

敏感信息暴露面检查

为解决政企客户在网络安全实战过程中面临的挑战，可以用“敏感信息泄露情报”。该服务以攻击者的视角，聚焦于监控“敏感信息泄露情报”，监控范围覆盖互联网和暗网的各种信息泄露渠道。通过该服务，能够获取全面的敏感信息暴露面和利用链条，继而预防性阻滞黑客踩点、入侵，增加黑客入侵的难度；同时，也是供应链安全问题的监控抓手。

具体可以进行如下：

监测范围

监测范围覆盖互联网及暗网的各种信息泄露渠道，一次服务全网情况一网打尽（如搜索引擎、代码托管平台、网盘等）。

监测关键字

监测是否完整很大程度上是取决于“关键字”是否丰富和精准，需要归纳出一整套关键字分类和获取方法，为客户“量身打造”个性化的监测关键字。

关键字的提炼方法大概如下：

总结常见的敏感词，比如：报告、通讯录、ID、开放端口、财务信息、证书信息、address、账户密码、域名联系方式、设备类型内容等等

简写关键词

提炼客户的关键词：分析主站、友情链接、分析导航页、分析其他信息、枚举子域名

拼接关键词

综合情报分析

以攻击者的视角，对收集的敏感信息进行综合分析、形成情报链，并给出攻击思路和敏感信息链。

进行整改

防御要内外兼修；敏感信息泄露情报可以将零散的信息形成了综合的情报，帮助政企客户突破只关注自己地盘的狭窄防守视角，以攻击者视角，全网考虑防御体系，也可以加强防守方整个人员体系的建设，建设出一支可以与攻击队进行相互制约的队伍，来促进企业防御体系的不断提升。