企业安全建设主要有以下两个重点:一是,要很清楚的明白公司的业务是在做什么的,安全关注的业务是在哪几个方面。二是,技术体系建设。技术体系主要是有几个方面:PDR、DID、SAS以及流程保证,还有包括组织体系、管理体系,意思就是人、技术、流程。就是通过这几个方面,如果你能做的比较好,能够把这几个方面贯彻的比较好,你的企业安全应该会做的不错。
安全对于小公司来说有些奢侈,不像大公司已盈利。所以小公司们该如何考虑做安全呢?其实,无论是大公司还是小公司,做安全都要考虑哪些业务对公司来说是至关重要的,那这些业务就是安全防护的重点,需要优先给予安全保障。因此,这时公司就需要做一个业务分析。
◆扫描
扫描的进化是一个很有意思的过程。首先是系统层面的,主要针对系统的安全漏洞。然后,进入web2.0时代后,针对应用层面的扫描较多。还有一个,就是关于这种被动式的扫描,被动的扫描主要是给产品测试人员,通过提供一个代理的方式,它把浏览器的代理,或者一些开发软件的代理,设置到我们的扫描接口来,扫描AI上或者接口上,我们能够抓到所有的链接之后,并且能够获得他的,如果你登陆了就有一些授权信息,那这些授权信息去做这种被动扫描。
◆SAS 安全即服务
什么叫安全即服务呢?将安全能力安全产品输出出去,服务给公司。比如把扫描的API接口开放给业务线。那业务线实际上在开发产品过程中,就直接可以使用这个API了。如果你在做监控,你监控已经累积了大量的原始数据,包括攻击的数据,恶意用户、恶意IP,这些都可以输出出去。既然你在做安全,你有这个优势,你为什么不能把这个东西当做一个服务提供出去呢?
◆SAS 服务即安全
为什么说服务即安全呢?吴老师表示,就是希望把产品做的更安全一些,就是把一些安全能力加入到我们现有的技术架构当中。比如说现在其实像安全CDN这个东西,也不是一个非常新鲜的概念了,前两年已经非常成熟了,我要把第一层的防御放在我的入口处,要放在CDN处。为什么要做在这儿呢?因为在web前端的,CDN或者应用层的监控或者保护,可能没有及时的发现这个攻击。但是你会在越接近数据的地方,越容易发现攻击,因为它没有什么特别多的语法或者词法的解析了,也不存在规则的问题。更多的就在于数据层,是不是注入,在这个地方,它会起码很全面,当然你的规则就取决于你的规则实现了。如果你的规则,误报太多了,就需要做优化了,但是不会有漏报,所以你只会有误报,不会有漏报。
云计算和大数据时代的到来,给安全防护工作带来了新的挑战和机会。 |