企業(yè)安全建設(shè)主要有以下兩個重點(diǎn):一是���,要很清楚的明白公司的業(yè)務(wù)是在做什么的����,安全關(guān)注的業(yè)務(wù)是在哪幾個方面����。二是,技術(shù)體系建設(shè)����。技術(shù)體系主要是有幾個方面:PDR�����、DID��、SAS以及流程保證�����,還有包括組織體系�、管理體系�����,意思就是人���、技術(shù)���、流程。就是通過這幾個方面�,如果你能做的比較好,能夠把這幾個方面貫徹的比較好���,你的企業(yè)安全應(yīng)該會做的不錯�。
安全對于小公司來說有些奢侈���,不像大公司已盈利�。所以小公司們該如何考慮做安全呢����?其實(shí),無論是大公司還是小公司��,做安全都要考慮哪些業(yè)務(wù)對公司來說是至關(guān)重要的�,那這些業(yè)務(wù)就是安全防護(hù)的重點(diǎn),需要優(yōu)先給予安全保障��。因此�,這時公司就需要做一個業(yè)務(wù)分析。
◆掃描
掃描的進(jìn)化是一個很有意思的過程�。首先是系統(tǒng)層面的,主要針對系統(tǒng)的安全漏洞����。然后,進(jìn)入web2.0時代后����,針對應(yīng)用層面的掃描較多�����。還有一個�,就是關(guān)于這種被動式的掃描�,被動的掃描主要是給產(chǎn)品測試人員,通過提供一個代理的方式���,它把瀏覽器的代理�,或者一些開發(fā)軟件的代理����,設(shè)置到我們的掃描接口來,掃描AI上或者接口上����,我們能夠抓到所有的鏈接之后,并且能夠獲得他的�����,如果你登陸了就有一些授權(quán)信息��,那這些授權(quán)信息去做這種被動掃描。
◆SAS 安全即服務(wù)
什么叫安全即服務(wù)呢��?將安全能力安全產(chǎn)品輸出出去��,服務(wù)給公司�����。比如把掃描的API接口開放給業(yè)務(wù)線���。那業(yè)務(wù)線實(shí)際上在開發(fā)產(chǎn)品過程中,就直接可以使用這個API了�。如果你在做監(jiān)控,你監(jiān)控已經(jīng)累積了大量的原始數(shù)據(jù)����,包括攻擊的數(shù)據(jù),惡意用戶��、惡意IP�,這些都可以輸出出去。既然你在做安全����,你有這個優(yōu)勢��,你為什么不能把這個東西當(dāng)做一個服務(wù)提供出去呢�?
◆SAS 服務(wù)即安全
為什么說服務(wù)即安全呢��?吳老師表示�����,就是希望把產(chǎn)品做的更安全一些�����,就是把一些安全能力加入到我們現(xiàn)有的技術(shù)架構(gòu)當(dāng)中���。比如說現(xiàn)在其實(shí)像安全CDN這個東西�,也不是一個非常新鮮的概念了���,前兩年已經(jīng)非常成熟了��,我要把第一層的防御放在我的入口處����,要放在CDN處���。為什么要做在這兒呢���?因?yàn)樵趙eb前端的���,CDN或者應(yīng)用層的監(jiān)控或者保護(hù),可能沒有及時的發(fā)現(xiàn)這個攻擊���。但是你會在越接近數(shù)據(jù)的地方��,越容易發(fā)現(xiàn)攻擊,因?yàn)樗鼪]有什么特別多的語法或者詞法的解析了�,也不存在規(guī)則的問題。更多的就在于數(shù)據(jù)層�,是不是注入,在這個地方�,它會起碼很全面,當(dāng)然你的規(guī)則就取決于你的規(guī)則實(shí)現(xiàn)了�。如果你的規(guī)則,誤報(bào)太多了���,就需要做優(yōu)化了�,但是不會有漏報(bào)���,所以你只會有誤報(bào)���,不會有漏報(bào)����。
云計(jì)算和大數(shù)據(jù)時代的到來�,給安全防護(hù)工作帶來了新的挑戰(zhàn)和機(jī)會。 ..
|
