企業(yè)安全建設(shè)主要有以下兩個(gè)重點(diǎn):一是,要很清楚的明白公司的業(yè)務(wù)是在做什么的���,安全關(guān)注的業(yè)務(wù)是在哪幾個(gè)方面���。二是,技術(shù)體系建設(shè)���。技術(shù)體系主要是有幾個(gè)方面:PDR��、DID���、SAS以及流程保證,還有包括組織體系��、管理體系���,意思就是人����、技術(shù)��、流程����。就是通過(guò)這幾個(gè)方面�,如果你能做的比較好����,能夠把這幾個(gè)方面貫徹的比較好,你的企業(yè)安全應(yīng)該會(huì)做的不錯(cuò)���。
安全對(duì)于小公司來(lái)說(shuō)有些奢侈��,不像大公司已盈利�����。所以小公司們?cè)撊绾慰紤]做安全呢��?其實(shí)����,無(wú)論是大公司還是小公司�����,做安全都要考慮哪些業(yè)務(wù)對(duì)公司來(lái)說(shuō)是至關(guān)重要的�,那這些業(yè)務(wù)就是安全防護(hù)的重點(diǎn)���,需要優(yōu)先給予安全保障����。因此,這時(shí)公司就需要做一個(gè)業(yè)務(wù)分析��。
◆掃描
掃描的進(jìn)化是一個(gè)很有意思的過(guò)程����。首先是系統(tǒng)層面的,主要針對(duì)系統(tǒng)的安全漏洞�����。然后����,進(jìn)入web2.0時(shí)代后,針對(duì)應(yīng)用層面的掃描較多����。還有一個(gè),就是關(guān)于這種被動(dòng)式的掃描���,被動(dòng)的掃描主要是給產(chǎn)品測(cè)試人員�����,通過(guò)提供一個(gè)代理的方式����,它把瀏覽器的代理,或者一些開(kāi)發(fā)軟件的代理����,設(shè)置到我們的掃描接口來(lái),掃描AI上或者接口上��,我們能夠抓到所有的鏈接之后���,并且能夠獲得他的�����,如果你登陸了就有一些授權(quán)信息�����,那這些授權(quán)信息去做這種被動(dòng)掃描��。
◆SAS 安全即服務(wù)
什么叫安全即服務(wù)呢����?將安全能力安全產(chǎn)品輸出出去,服務(wù)給公司����。比如把掃描的API接口開(kāi)放給業(yè)務(wù)線��。那業(yè)務(wù)線實(shí)際上在開(kāi)發(fā)產(chǎn)品過(guò)程中�����,就直接可以使用這個(gè)API了�����。如果你在做監(jiān)控����,你監(jiān)控已經(jīng)累積了大量的原始數(shù)據(jù),包括攻擊的數(shù)據(jù)�,惡意用戶、惡意IP��,這些都可以輸出出去。既然你在做安全�����,你有這個(gè)優(yōu)勢(shì)��,你為什么不能把這個(gè)東西當(dāng)做一個(gè)服務(wù)提供出去呢�?
◆SAS 服務(wù)即安全
為什么說(shuō)服務(wù)即安全呢?吳老師表示�����,就是希望把產(chǎn)品做的更安全一些��,就是把一些安全能力加入到我們現(xiàn)有的技術(shù)架構(gòu)當(dāng)中�����。比如說(shuō)現(xiàn)在其實(shí)像安全CDN這個(gè)東西����,也不是一個(gè)非常新鮮的概念了,前兩年已經(jīng)非常成熟了��,我要把第一層的防御放在我的入口處,要放在CDN處����。為什么要做在這兒呢?因?yàn)樵趙eb前端的���,CDN或者應(yīng)用層的監(jiān)控或者保護(hù)�,可能沒(méi)有及時(shí)的發(fā)現(xiàn)這個(gè)攻擊�����。但是你會(huì)在越接近數(shù)據(jù)的地方��,越容易發(fā)現(xiàn)攻擊����,因?yàn)樗鼪](méi)有什么特別多的語(yǔ)法或者詞法的解析了�����,也不存在規(guī)則的問(wèn)題�����。更多的就在于數(shù)據(jù)層��,是不是注入,在這個(gè)地方����,它會(huì)起碼很全面,當(dāng)然你的規(guī)則就取決于你的規(guī)則實(shí)現(xiàn)了����。如果你的規(guī)則,誤報(bào)太多了��,就需要做優(yōu)化了�,但是不會(huì)有漏報(bào),所以你只會(huì)有誤報(bào)�,不會(huì)有漏報(bào)。
云計(jì)算和大數(shù)據(jù)時(shí)代的到來(lái)�,給安全防護(hù)工作帶來(lái)了新的挑戰(zhàn)和機(jī)會(huì)。 ..
|
