現(xiàn)有企業(yè)安全建設(shè)框架有很多，以合規(guī)為導(dǎo)向的、以場景為導(dǎo)向、以數(shù)據(jù)為導(dǎo)向的建設(shè)體系，這些能力都是以防御的視角進(jìn)行建設(shè)，面對黑客的攻擊很多時候是捉襟見肘的。本文將以攻擊者的視角對企業(yè)風(fēng)險進(jìn)行全面分析。

以合規(guī)政策為導(dǎo)向

此類的建設(shè)體系在我國基本是以等級保護(hù)、關(guān)基保護(hù)、密碼測評、分級保護(hù)、XC等為建設(shè)依據(jù)，對象基本都是業(yè)務(wù)系統(tǒng)為緯度。

優(yōu)勢：符合國家合規(guī)建設(shè)要求，以基礎(chǔ)安全防護(hù)設(shè)備能夠保護(hù)大部分的腳本小子的攻擊；

劣勢：面對APT攻擊時往往容易被攻破。

以業(yè)務(wù)場景為導(dǎo)向

此類的建設(shè)體系一般有重大安全保障場景、終端安全防護(hù)場景、，對象可能是用戶為緯度。

優(yōu)勢：有針對性的防護(hù)場景，在此場景下面對黑客能夠有很好的效果，并且有完備的管理制度來保障場景落地的操作性；

劣勢：投資較大，很難覆蓋全部場景的安全建設(shè)。

以數(shù)據(jù)安全為導(dǎo)向

此類的建設(shè)體系包括DSMM、DSG、數(shù)據(jù)全生命周期等，對象一般是數(shù)據(jù)庫、數(shù)據(jù)字段、文件、音頻、視頻等。

優(yōu)勢：在最底層進(jìn)行保護(hù)，就算被攻破，數(shù)據(jù)的破解也不容易，并且可以看到數(shù)據(jù)的全流向，是目前比較熱門的建設(shè)體系；

劣勢：對業(yè)務(wù)系統(tǒng)性能、使用上影響較大，難以推廣。

以新型技術(shù)為導(dǎo)向

此類建設(shè)體系包括云原生安全體系，對象一般是云平臺。

優(yōu)勢：采用新技術(shù)在理念、能力方面都有較大的優(yōu)勢，發(fā)現(xiàn)的安全風(fēng)險較少；

缺點：需要較為強(qiáng)的研發(fā)技術(shù)，并且安全能力基本都需要適配。

以安全模型為導(dǎo)向

此類建設(shè)體系包括：滑動標(biāo)尺模型、IPDDR、PDR等安全體系，對象一般是整個企業(yè)環(huán)境。

優(yōu)勢：經(jīng)過長時間驗證的成熟模型，有較多的參考實例；

缺點：建設(shè)能力繁多，需要較長的時間建設(shè)才能有較好的成效。

企業(yè)風(fēng)險分析

根據(jù)權(quán)威信息統(tǒng)計。在信息安全事件中，外部黑客導(dǎo)致的威脅大概只有30%，70%由于內(nèi)部員工的疏忽或有管理不當(dāng)導(dǎo)致的；

常見的內(nèi)部威脅導(dǎo)致的網(wǎng)絡(luò)安全事件的原因包括：安全設(shè)備策略配置不當(dāng)、安全設(shè)備策略更新不及時、員工違規(guī)操作、安全防護(hù)能力不足、資產(chǎn)暴露互聯(lián)網(wǎng)等

攻擊性防護(hù)框架

思路來源

在2023年的Gartner 9大網(wǎng)絡(luò)安全趨勢中，其中有一個網(wǎng)絡(luò)安全驗證（Cybersecurity Validation），其是由BSA（入侵與攻擊模擬）演變而來。此項技術(shù)趨勢最大的特點是模擬黑客的攻擊，以實戰(zhàn)角度對企業(yè)安全進(jìn)行測量。

Gartner定義安全驗證：安全驗證是技術(shù)、流程和工具的融合，用于驗證潛在攻擊者如何利用已識別的威脅暴露，以及安全防御體系和流程的實際應(yīng)對情況。

風(fēng)險分析

我們將以安全設(shè)備的緯度來看我們的資產(chǎn)是否被保護(hù)，此內(nèi)容一般包含幾個部分：

實施手段

資產(chǎn)保護(hù)視圖建設(shè)手段：

1、人工方式：由系統(tǒng)管理員手動對資產(chǎn)的包含手段進(jìn)行添加，比如防火墻保護(hù)、XDR保護(hù)等，此種方式效率低且準(zhǔn)確性無法保障；

2、被動方式：借助安全設(shè)備的告警日志，與資產(chǎn)信息進(jìn)行比對，由于攻擊者為了隱蔽自身和實際場景，很多設(shè)備并不會被經(jīng)常攻擊或沒有被攻擊，此方式會造成資產(chǎn)保護(hù)視圖不全面；

3、主動方式：在企業(yè)網(wǎng)絡(luò)中部署探針，此探針不斷向發(fā)現(xiàn)的資產(chǎn)進(jìn)行模擬攻擊，結(jié)合安全設(shè)備的日志可最大程度發(fā)現(xiàn)安全缺口，但此方式可能會對業(yè)務(wù)系統(tǒng)造成影響或者與實際的網(wǎng)絡(luò)攻擊混合造成混亂；

以上手段都有各自的優(yōu)缺點，因此最好的方式就是以主動方式為主、被動方式和人工方式為輔，在安全最大化、投資最小化、影響最小化中進(jìn)行取舍建設(shè)，實現(xiàn)持續(xù)驗證系統(tǒng)安全體系的有效性。

功能框架

整體功能框架以采集、分析和展示三層架構(gòu)為主，加上外部能力共享，形成企業(yè)安全驗證平臺。

1、資產(chǎn)防護(hù)全景圖

應(yīng)包含整體防護(hù)率評分、整體安全評分、防護(hù)詳請等信息，以動態(tài)拓?fù)涞姆绞匠尸F(xiàn)，支持多級下鉆，全面展示企業(yè)資產(chǎn)安全防護(hù)情況。

2、資產(chǎn)管理

應(yīng)包含安全設(shè)備、資產(chǎn)的管理功能，可配置資產(chǎn)和安全設(shè)備之間的關(guān)系。

3、POC管理

應(yīng)展示POC的數(shù)量、名稱、風(fēng)險等級等，支持自定義添加POC，此功能是安全驗證體系的核心，建設(shè)成效主要取決POC的質(zhì)量。

常見POC網(wǎng)站：

https://github.com/mai-lang-chai/Middleware-Vulnerability-detection

https://github.com/DawnFlame/POChouse

https://github.com/PeiQi0/PeiQi-WIKI-POC

https://github.com/coffeehb/Some-PoC-oR-ExP

https://github.com/EdgeSecurityTeam/Vulnerability

4、用戶管理

應(yīng)支持多級用戶的管理功能，分權(quán)分域。

5、系統(tǒng)管理

支持系統(tǒng)相關(guān)信息的配置。

建設(shè)拓?fù)?/strong>

探針部署與各網(wǎng)絡(luò)、各業(yè)務(wù)系統(tǒng)中去，數(shù)量越多，防護(hù)能力監(jiān)測越準(zhǔn)確、越及時，探針后的數(shù)據(jù)傳送會安全驗證平臺與其他安全組件能力進(jìn)行對比驗證，最終發(fā)現(xiàn)攻擊薄弱點。

注意：探針的性能、大小需要嚴(yán)格限制；

關(guān)鍵技術(shù)

1、自適應(yīng)的安全運行環(huán)境，實現(xiàn)POC運行；

2、自動化的探針更新技術(shù)，實現(xiàn)安全自更新；

3、智能化的數(shù)據(jù)比對技術(shù)，實現(xiàn)數(shù)據(jù)對比；

4、可持續(xù)的漏洞驗證技術(shù)，策略持續(xù)更新；

5、可運行的編排驗證技術(shù)，具備安全運營能力；

最后的話

安全建設(shè)是一個持續(xù)的過程，任何防護(hù)手段都有其優(yōu)缺點，以動態(tài)發(fā)展的眼觀看待安全，可采用多套安全體系可最大程度降低安全事件的風(fēng)險。