h t i g b u m o c . 5 关于报告 近一年,网络安全相关的政策法律陆续出台落实、技术投入应用、网络安全事件频发, 带动网络安全行业进一步发展变化。传统威胁依旧存在,新的威胁与风险层出不穷, 给企业安全带来更多挑战。 了解并熟悉企业安全威胁应对流程并根据需要选择合适的安全产品,有助于企业做 m o c . 5 好安全建设,防范风险。FreeBuf针对近一年企业安全现状和安全产品情况进行了深 入调查,并在安全专家和顾问的指导下,构建企业威胁应对流程模型,结合理论和应 用进行分析,形成了《2019企业安全威胁统一应对指南》 ,期望给予企业从理论到实 践的参考。 关于FreeBuf研究院 b u h t i g FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体,每日发布专业的安全 资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注 的网络安全网站与社区。 FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师,常年对信息安全技 术、行业动态保持追踪,呈现有深度的安全行业现状和趋势分析。 FreeBuf研究院 谢忱 徐钟豪 鲍弘捷 余桂茗 施东奇 金方成城 许皓翔 美术设计 赵晖 姚媛 目 录 1 CATALOG 2 第一章 概述 1.1 1.2 第二章 企业安全发展概况 企业安全威胁及应对流程 2.1 2019企业安全展望 企业安全体系架构 法律与监管合规 2.1.3 风险管理框架体系与职责 2.1.2 2.1.4 2.1.5 安全规划 通信与网络安全 身份识别与访问控制 b u 2.1.6 g m o c . 5 2.1.1 ti h 2.1.7 2.1.8 2.1.9 2.2 应用安全与软件开发安全 操作安全与安全运营 数据安全 安全事件管理 安全防护 2.2.1 WAF&云WAF 2.2.3 CWPP 2.2.2 2.2.4 2.2.5 2.2.6 2.2.7 2.2.8 2.2.9 抗DDoS&云抗D RASP Web内容安全 业务风控 数据安全 邮件安全 EMM 2.2.10 APP安全 2.2.11 身份识别与认证 2.2.12 访问控制 2.2.13 病毒防护 目 录 2 CATALOG 第二章 企业安全威胁及应对流程 2.3 检测 2.3.1 安全测试 2.3.3 数据库安全 2.3.2 2.3.4 2.3.5 2.3.6 2.3.7 2.3.8 2.3.9 2.4 EDR h t i g 调查取证 SIEM 容灾备份 行为审计 2.5.1 安全咨询与培训教育 2.5.3 众测与SRC 2.5.5 2.5.6 2.5.7 企业安全产品名录 网络安全市场浅析 m o c . 5 b u IDPS 持续改进 2.5.4 2.6 恶意软件检测(沙箱) SOC/态势感知 2.5.2 3.3 3.2 蜜罐 2.4.3 2.4.6 背景概述 威胁情报 专有管理检测和响应(MDR)服务 2.4.5 3.1 NTA/NDR 2.4.1 2.4.4 企业安全产品名录 主机漏洞检测 应急响应与调查取证 2.4.2 2.5 3 第三章 测评&认证 风险评估 漏洞管理系统(VMS) 渗透测试与评估 攻防演练 2019企业安全热词 CHAPTER ONE 第一章 m o c . 5 h t i g 概述 1 b u 第一章 概述 1.1 企业安全发展概况 当前,全球各国都将网络安全提升到了国家战略高度,并出台不同的政策对企业或个人进行约束,以落实网络安全保障工作。 网络安全 行业受到的关注持续增加、新政策层出不穷、技术不断革新、安全事件频发,既带来诸多挑战,也蕴藏着良多机遇。 1.11政策法规推进发展 合规是促进网络安全建设与发展的一大动因。 在国内层面, 《网络安全法》实施超过一周年,成效有目共睹,权威媒体报道或已公开的全 国各相关判决和执法案例已达到百例左右。配套的实施细则或其他相关法规政策也陆续出台实施。据不完全统计,2018年国内发布、 m o c . 5 出台或实施的网络安全相关政策、法规、条例、细则(包括征求意见稿)等数量超过三十部。 其中,公安部发布的《网络安全等级保护测评 机构管理办法》、 《公安机关互联网安全监督检查规定》、 《互联网个人信息安全保护指引》 (征求意见稿);工信部发布的《网络安全实践 指南—欧盟GDPR关注点》、国家网信办发布的《金融信息服务管理规定》、 《具有舆论属性或社会动员能力的互联网信息服务安全评估 规定》;全国信息安全标准化技术委员会归口的《信息安全技术 公钥基础设施 数字证书格式》等多项标准都一一发布,对于企业的安全 建设有着切实的监督和指导意义。 同时,全国人大常委会也发布《十三届全国人大常委会立法规划》 ,将个人信息保护、数据安全、电子 商务、密码等列入立法规划。 b u 《网络安全法》实施至今,配套的法规或标准虽然也在同步制定,全国信息安全标准化技术委员会接连制定了上百份支撑《网络安全法》 实施的标准,但过度期间的监督和落实稍显薄弱,导致一部分违法违规行为未得到及时处罚。 但值得关注的是,等保2.0相关的《信息安 h t i g 全技术 网络安全等级保护基本要求》、 《信息安全技术 网络安全等级保护测评要求》、 《GB/T 36627-2018网络安全等级保护测试评估技 术指南》等国家标准都已公开发布。 新的等保条例增加云计算安全、物联网安全、工业控制安全、大数据安全以及移动互联安全等五个 领域的要求与标准,同时将其中的基本要求、测评要求以及设计要求的相关标准由单一标准变为系列标准。 网络安全战略 规划目标 安全建设 等级测评 区域边界 等级保护对象 网络信任体系 计算环境 网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动物联网、智能设备等 经费保障 安全管理中心 教育培训 安全技术体系 监督检查 队伍建设 安全管理体系 安全可控 网络安全综合防御体系 安全整改 技术检测 能力建设 态势感知 应急处置 通报预警 通信网络 安全监测 安全规划 机制建设 风险管理体系 国家信息安全等级保护制度 国家信息安全等级保护政策标准体系 定级备案 组织管理 国家网络安全法律法规政策体系 总体安全策略 新的等保条例即将实施,将成为继《网络安全法》之后又一重要法规,也将成为各机构部门、重点行业部署与开展安全工作的核心基 础。 可以预见,这一条例将进一步推进国内社会对网络安全的重视,推动网络安全行业全面发展,对企业的约束也将更加严格。 在国际层面,2018年5月,欧盟《通用数据保护条例》 (GDPR)正式实施,成为当年全球最受关注的标志性网络安全相关法律。GDPR实 施以来,以Facebook、谷歌为代表的企业被欧盟各国“约谈”并受到不同程度的处罚,数据泄露报告案例数量激增,大小企业纷纷整改 并加强数据保护。以GDPR为参考,美国《加州消费者隐私法2018》紧随其后,全球掀起了个人数据保护的立法与执法新浪潮。作为全 球网络空间规则指定的引领者,欧美在2018年的立法依旧引人注目。美国的《国家网络战略》、 《网络安全战略》;欧盟的NIS指令、 《欧 盟网络防御政策框架》等纷纷更新、通过或实施。此外,澳大利亚、新加坡、印度、越南、巴西等也相继推出适用于其本土的网络安全相 关战略和立法。 网络主权、数据保护、网络基础设施安全等成为全球立法的共同关注点。 更多新法律、法规、政策的制定与出台,意味着网络安全在国家层面上受到的重视程度进一步提高。 展望2019年,国际网络空间立法呈 现出博弈与融合并重的趋势。 国内外网络安全立法热度不会降低,且在网络主权、关键基础设施保护等领域将有更严格举措。 此外,地 缘政治的因素将使得安全产品、服务的国际化受到更多法律法规的约束。 当前形势下,网络安全越来愈多地参与到全球政治、经济、科 m o c . 5 技、军事等领域的博弈之中,国际间舆论影响、商业竞争、破坏关键基础设施等事件层出不穷,很多民族国家黑客攻击从早前的暗中试 探转变为更明确的破坏性攻击,未来依旧有愈演愈烈之势。 企业在发展过程中也应当考虑这一因素,及时调整产品与业务架构。 1.12安全事件引发社会关注 勒索软件造成严重损失 h t i g b u 2016至2018年,包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在内的勒索软件不断出现变种。 虽然勒索软件整体增长 开始放缓,但带来的财物损失不断攀升。 有预测显示,2019 年,勒索软件造成的损失可能升至115亿美元,攻击频率可能缩减到14秒一 次。2020 年,勒索软件攻击将翻两番。 其中,医疗保健等公共机构将成为重灾区。 值得注意的是,除了以经济为目的的攻击外,近一年媒体公开报道的勒索攻击中有很多与民族国家黑客组织有关。 勒索攻击正在从随 机攻击转向有针对性的攻击,潜在利润较大的行业未来更可能成为勒索软件的目标。 信息泄露再创新高 近几年每年都会有大规模数据泄露事件曝出,且一年比一年严重。信息泄露给企业、个人带来的损失越来越大:企业蒙受财产和声誉 损失,个人财产和生活稳定也受到威胁。在欧盟GDPR法规正式实施之后,大大小小的数据泄露事件爆出频率增加。FaceBook剑桥分 析事件;大规模汽车厂商商业文档泄露事件;Google+泄露事件;英国航空、国泰航空数据泄露;几大酒店集团数据泄露等等,每一起 都牵动着企业与公民的神经。 2.5 Improve 持续改进 2019年开年之后,几起不安全数据库泄露的信息以亿万为单位计算, 黑客更是在暗网中大批量售卖账号等信息。 每周都会出现的数据 泄露新闻表明信息泄露事件已经常态化,且不分行业、领域、国家。 随着全球进一步数字化转型,大量信息上网、联网,信息泄露情况还 将加剧。 DDoS攻击加剧 行业报告显示,DDoS攻击占整体网络攻击的70%。 大量企业已经将DDoS攻击列为最大威胁。 DDoS攻击不仅是出于勒索或商业竞争 等利益目的,还可能由于意识形态、政治等原因而造成。 由于成本低、风险低,很容易实施,以及近些年“DDoS as a Service” (DDoS服 务)的兴起,DDoS攻击进一步加剧。 当前,DDoS产业化已经非常成熟,从业者分工明确,并与其他黑灰色产业存在交集。 医疗、物联网、 教育等传统行业互联网化后,都遭受到了不同程度的攻击,且呈上升的

pdf文档 freebuf 2019企业安全威胁统一应对指南

文档预览
中文文档 87 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共87页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
freebuf 2019企业安全威胁统一应对指南 第 1 页 freebuf 2019企业安全威胁统一应对指南 第 2 页 freebuf 2019企业安全威胁统一应对指南 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-06-17 04:41:24上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。