什么,又被黑了?

从一个企业角度看,黑客切入点如下:

第一类是企业的应用

第二类是子公司的应用

第三类是合作方

一般来说企业安全技术风险分析可以按照数据流的方式进行。数据从企业外部流入企业内部,经过各种运算处理后返回给外部,这个过程中涉及到的数据交换与处理即风险点。

企业自身由于对应用规划、研发、测试、部署、运维所涉及到安全关注不够,管理不到位,投入不足,导致在这几个环节引入安全问题。安全规划必须贯彻整个项目所有环节,换句话说任意环节都能拿出安全方案。

子公司与合作方他们从一开始就属于企业信任域。原因可以归纳为两方面,第一是历史原因,第二是效率原因。无论是网络规划还是应用上线,都属于内部系统。但管理上他们却游离在外不受本公司管理制度约束,或经过上传下达各种流程后造成管理策略延迟太多,即使合作协议有相关约束,执行下来的确不多。特别是非技术类型的企业,技术也只是刚好够用,甚至安全人员也是运维兼任,这种情况下子公司的安全管理可能更糟糕。

很久以前做过一次应急,某企业应用一上线就被发现存在webshell(一种后门),经过日志审计、应急处理,展现该后门在应用部署时就已经存在,拿到应用部署包后发现后门直接在部署文件中。这说明几个问题,第一企业应用上线流程不规范,根据我了解该企业有严格的应用上线审批,但流程确没有进行后门检测一项。第二,默认合作方可信,合作中确实是可信合作,但企业安全不存在默认选项。合作方可能提供安全报告、甚至是代码审计报告,看上去这些报告只解决了有无报告的问题,没实际意义,为了应用按时上线,上线审计默认了报告是有意义能解决问题的,安全问题就这样产生了。

部分企业很重视安全,但由于各种原因缺少安全人员,企业有一堆安全服务器,一堆安全设备,一堆安全报告。由于缺少安全人员导致无法与安全服务商平等对接,安全设备也在空转。安全设备特别是具有拦截功能的安全设备,要不断的调优以适应企业业务,这就需要大量的工时,现在安全行业处于火爆状态,缺少安全人员与培训不到位导致厂商采取比较保险的做法。企业确实有大量安全预算,百万千万,确没有安全人员编制。

你可能感兴趣的:(什么,又被黑了?)