甲方企业信息安全核心工作

甲方信息安全具体包括内容:

资产、攻击威胁、风险漏洞、防护覆盖（多层能力+覆盖率）、SDL（secdevops）、解业务线安全问题等，目标建设内生安全能力产品服务在上线后自带抵御攻击能力，自身自动免疫对抗外部威胁。

外部威胁实体:

监管部门（信息安全要求）
apt（国家级攻击武器化）
黑产（薅羊毛、广告传播）
恶意利用自动化脚本（弱口令、RCE利用挖矿、DDos）
白帽子（现金收入）
红蓝对抗（监管和内部团队）

安全目标
终极目标零安全事故—依靠全自动的多层检测和防护系统。
日常工作—解漏洞消风险 和 检测防护能力 以及应急响应

安全建设规划：

包括：监管和行业要求、业务安全需求、业务安全风险和优秀行业实践
公安部提出的三化六防：（从基础设施层–>安全服务层–>安全接入层）
1、实战化、体系化、常态化
2、动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控。
参考：关键基础设施信息安全保护要求

当前企业安全问题：

0、安全投入和预算不足，不能将安全最佳实践都落地，多数企业停留在60分水平（过等级）加周期评估。
1、CMDB资产不全和更新不到,基础安全防护覆盖不足
2、安全平台化能力不足,安全量化指标有待提高（安全防护自动拦截能力占比、安全发现入侵威胁占比、入侵威胁响应MTT时间）
3、安全价值输出点不明显,做了什么业务侧的感知力和认可能力 （安全防护能力—安全运营—安全赋能）

安全防御系统建设：

目标：主动防御和攻击预警减少入侵损失。
关键点：隔离+鉴权+监控
架构：纵深架构、从横向/纵向切面插入安全组件：
1）攻击视角：
从公网暴露面漏洞评估治理（扫描器）–到公网边界控制（FW、反爬、WAF）-- 内网负载均衡（WAF、全流量记录）-- 后端服务资源（主机HIDS）— 服务应用安全（上线平台白盒、安全基线卡点、Runtime Rasp防护、高危操作审计） —流量返回检测or出公网（dns、dip情报IOC碰撞、数据库审计能力）—内网移动（堡垒机、蜜网蜜罐）
2）纵向从协议栈由底层物理层到应用的防护：
物理链路层（加密、arp投毒等、vlan跳跃、无线AC、AP设备间认证）vs机房安防系统—网络传输层（acl、、tunnle、icmp洪泛等）vs 抗D、FW – 应用层（waf、rasp、HTTP流量）

3）建设的是防御系统不能单凭借一个单点组件防护,应该是多环多组件并行检测于联动的系统。

统一安全运营,对抗提升拦截率、预警时效、释放人力缩短处置时效：

发现类：黑盒扫描联动SOAR自动编排直接到业务资产负责人、资产BP、人工值班
检测类：
1）拦截类预警:观察环比攻击趋势,不做强分析研判处置
2）非拦截预警:以保护资产视角进行分类,
建设三道安全防线响应机制（不同防线区域和不同预警处置的策略）
第一道防线（观察趋势）：覆盖公网边界拦截类预警，WAF、NIDS、HIDS
第二道防线（人工干预）：覆盖OA办公区/云上租户类 ，EDR、HIDS、
第三道防线（立即处置）：IDC资产，HIDS、蜜罐、IOC等

安全运营需求提升安全运营成熟度

1）资产全面（外内网ip资产全）+准确（归属需准确soar提效）+可见（物理集群>vm/容器>应用app>公网面）
2）攻击面管理,漏洞：资产公网分布（ip、域名、地域/机房） 和 云特性：云风险检测
产品配置检查（es、redis、oss、k8s未授权，mysql、ssh弱口令等）、AK风险、口令登陆、安全组
3） 安全防护：误报率降低、检测率提升
日志数据能力
4） 安全验证和闭环处置：一键验证产品防护能力、mttd处置 < xx, 横向日志
5） 威胁情报检测
6） 容器: 容器镜像扫描、镜像容器签名、基线（未授权,配置风险）,微隔离(网络+),容器runtime,