HackMD - Collaborative Markdown Knowledge Base

## 常见风险归类 #### 产品安全缺陷 1. 依赖lib引入的漏洞和自身逻辑漏洞，供应链风险等 2. 未披露0day 检测：SDLC，Devsecpos，黑白盒，外部安全评估，基础安全产品（WAF/HIDS/RASP等）预防：SDLC，Devsecpos，漏洞情报流程，SCA等，并且依赖清晰可追溯的CICD流程 #### 配置不当 1. 未授权，弱口令，常见中间件配置不当等 2. AD，安全组，防火墙等基础设施配置不当检测：CSPM，安全基线检查等预防：依赖流程与制度，SOP和自动化的运维平台等 #### 泄漏风险 1. 关键密码，配置，Key，源码泄漏等 2. 员工常用密码，撞库，上下游合作伙伴泄漏等检测：SDLC，外部情报等预防：SDLC，KMS，HSM等 #### 内部权限风险 1. 钓鱼，内鬼，恶意访客，供应链安全 2. Watering hole，流量劫持等检测：EDR，UEBA 预防：网络隔离，邮件安全，物理安全，Zero Trust，准入，安全意识培训等 #### 合规风险来自行业，国家和国际组织，合作伙伴的合规要求，需要满足并证明满足 ## 企业安全建设阶段安全检测能力建设 -> 安全防御体系建设 -> 默认安全，可证明安全 ## 安全评估内容 **1. 了解他们的核心资产流转情况，围绕他们业务属性寻找最核心资产做安全评估**，如用户敏感数据，用户资金，用户外部权限等，从这些核心资产的生产-存储-使用-销毁的生命周期去看相关平台工具的权限情况和关键流程，以及安全产品覆盖的情况；（因为听起来公司规模不是特别大，主营业务我猜测不会很多，如果是较大规模的公司这样做可能比较困难）； **2. 基础安全：** 2.1. 基础安全产品（WAF，Anti-DDoS，CWPP，CSPM等）的购买，覆盖和运维运营情况； 2.2. 网络隔离（生产环境与测试环境，云环境与办公环境，云上安全组情况，VPN使用情况等）情况，关键平台权限和流程（Bastion Host，AWS，关键业务平台，Active Directory，代码仓库等，CI/CD平台的高权限账号和AKSK使用情况）；常规情况下入侵者会通过低安全域向核心资产入侵，关键的网络隔离和高权限的平台会成为关键因素；RASP 2.3. 基础资源基线与漏洞修复情况（基础资源指：K8s，EC2，RDS等，基线如CIS Benchmark等，漏洞修复情况即高危且存在EXP的漏洞修复情况）；实际情况下CIS比较难完全满足，可以适当裁剪。 **3. IT安全：** 3.1. 员工终端安全产品和邮件安全产品的购买覆盖使用情况； 3.2. 办公环境网络（狭义网络，指如wifi安全，wifi认证等）情况；基础物理安全情况（门禁等）。 **4. 产品安全：** 4.1. 关键自研系统是否有SDLC流程或基本的黑白盒测试（white box, black box and grey box penetration testing），或者是否有和外部安全评估团队合作，如HackerOne等； 4.2. 是否有使用KMS。 **5. 安全运营：** 5.1. 购买的安全产品是否有自运营或托管运营，关键指标情况（如MTTA/MTTR 5.2. 是否有内部应急响应流程。结合他们目前安全水位，以上是我认为最必要关注的一些风险，其他的如业务风控，数据安全等可以根据具体业务属性来评估是否需要考虑。 ## 合作的安全前提如果我是有合作意愿的甲方的安全工程师，虽然他们没有专职的安全人员，但是我认为还是需要成立虚拟的安全团队来承担安全职责，可以是由IT，运维，研发，测试同学组成，并且需要有如CTO或者运维负责人角色来承担虚拟安全团队的负责人，在前期安全资源不足的情况下，可以考虑和外部安全厂商合作，先努力满足第一个问题提到的几个方向的基础安全目标后，再通过一些关键证据证明其安全建设情况，如：最近一段时间的安全运营报告，脱敏的应急响应报告，基线风险与漏洞修复报告，相关安全供应商的合作报告，关键平台权限申请流程展示等。 ## 关键名词与基本概念 * devsecpos https://medium.com/@cloud_tips/devsecops-definition-best-practices-and-tools-1789587d165a * white-box testing https://www.checkpoint.com/cyber-hub/cyber-security/what-is-white-box-testing/#HowDoesItWork * sca https://www.paloaltonetworks.com/cyberpedia/what-is-sca * code scanning https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning * black-box testing https://www.invicti.com/blog/web-security/black-box-testing-role-in-application-security/ https://www.acunetix.com/vulnerability-scanner/black-box-scanner/ * gray-box testing https://www.javatpoint.com/grey-box-testing * docker https://aws.amazon.com/docker/?nc1=h_ls * dockerfile https://medium.com/swlh/understand-dockerfile-dd11746ed183 https://cto.ai/blog/docker-image-vs-container-vs-dockerfile/ * docker image https://www.geeksforgeeks.org/what-is-docker-images/ * container https://www.docker.com/resources/what-container/ * k8s(kubernetes) https://kubernetes.io/docs/concepts/overview/ * RASP https://dzone.com/refcardz/introduction-to-rasp * HIDS and NIDS https://www.geeksforgeeks.org/difference-between-hids-and-nids/ * EDR https://www.blackberry.com/us/en/solutions/endpoint-security/endpoint-detection-and-response * CWPP https://www.paloaltonetworks.com/prisma/cloud/cloud-workload-protection-platform * CNAPP https://sysdig.com/learn-cloud-native/cloud-security/cloud-native-application-protection-platform-cnapp-fundamentals/ * CSPM https://www.wiz.io/academy/what-is-cloud-security-posture-management-cspm * MTTA/MTTD/MTTR https://www.exabeam.com/security-operations-center/demystifying-the-soc-part-4-the-old-soc-maturity-model-based-on-speeds-and-feeds/ * gartner markets reviews https://www.gartner.com/reviews/markets