随着安全行业的巨大变革,企业安全由早期的防火墙、防病毒到现在的多维度防护、监控。本文将探讨目前行业中企业流行的安全防护手段,一共分为以下几点:


  • 威胁情报

    安全威胁情报在企业安全防护中占据着举足轻重的地位。所谓知己知彼百战不殆,只有了解当前的局势才能采取正确的防护手段。威胁情报又分为以下几点:

    • 行业安全情报。主要指同行业的友商相互分享各自了解的安全情报,比如被发现最近的针对行业的攻击手段,或者友商被黑客攻击的技术信息等。
    • 技术安全情报。主要指零日漏洞或者最近流行的攻击手段。
    • 与公司相关的情报。主要指发现在黑客论坛或者暗网中中提及到本公司的名字,则有可能存在数据泄露或者即将遭受攻击。
    • 欺诈情报。主要发送钓鱼邮件或者创建仿冒钓鱼网站,获取敏感信息。

  • 信息与事件管理

    主要指SIEM(Security Information and Event Management)系统,目的在于收集企业内部所有与安全相关的信息和事件。SIEM主要收集以下信息:

    • 各类设备、系统、应用软件的日志。
    • 关键节点的网络数据包。
      这些信息将会保存在SIEM中一段时间(至少半年以上),并通过一定规则进行综合分析,找出内网存在的安全威胁。同时,它也是一个日志中心,可以在发生安全事件的时候,帮助安全调查快速找到所需要的信息,提高安全事件响应的效率。

  • 电脑防护

    主要针对终端和服务器的防护,分为以下几点:

    • 反病毒系统。传统的安全手段,在企业安全中心仍然占据着重要的地位,主要通过特征码来识别恶意软件。
    • HIPS基于主机的入侵检测系统。对软件特征码分析的同时,还对系统关键组件进行监控。一旦发现可疑软件对这些关键组件有可疑行为,则立刻中止可疑行为并告警。
    • EDR终端检测响应系统。监控并记录所有进程的行为,并对可疑的进程行为产生告警。EDR对于APT的攻击能起到一定的预警作用。
    • 沙盒分析系统。将非信任的软件在沙盒中运行并分析其行为特征。

  • 网络防护

    网络层面的安全防护,主要有以下系统:

    • 网络防火墙。传统的防护手段,通过在两个网络区域之间设置一个关口,只有指定的网络数据包能通过这个关口。在早期的方案中,网络防火墙只会部署在企业的内网和外网的边界上,用于防止外部的网络入侵。在现在,防火墙不单要放在内外网边界上,同时也会放在内部的网络区域之间。比如:DMZ区域和用户区域;不同国家或地区的网络区域等。
    • NIDS/NIPS基于网络的入侵检测和防御系统。也是传统的防护手段之一,通过匹配网络数据包的特征来识别威胁。其中IDS多用于内部不同网络区域之间的边界做入侵检测告警,并设置和防火墙的联动来实现入侵防御。IPS多用于内外网的边界上,并且其不需要联动防火墙,能直接实现入侵检测告警和防御。
    • 网络威胁预防系统。是一个由内到外的沙盒防护系统。会将用户的网络申请在沙盒中预演一次,并分析其中的行为,来确定是否存在威胁。此系统对APT攻击亦能取得一定的预警作用。
    • WAF防护。主要由第三方ISP或者云服务商提供的由外到内的防护服务。主要可以防护DDOS、CC、Web注入、Webshell等基于网页的安全防护。
    • 渗透测试。通过安全测试软件,对内部设备和应用进行漏洞探测。

  • 邮件防护

    • 邮件网关安全系统。基于特征的安全防护系统,检查进出邮件的附件、HTML链接、JS代码等,并隔离问题邮件。
    • 邮件沙盒系统。基于行为的安全防护系统,将收到的邮件放入沙盒系统中分析其行为,如果发现可疑行为,则隔离邮件并发出告警。

  • 数据防泄漏

    防止内部数据外泄,主要有以下几点:

    • 网络层内容识别系统。可以侦测通过内网上传到互联网的内容,如果目的网站不在白名单的话,则阻止上传并发出告警。
    • 邮件层防泄漏。外发的邮件需要获得授权,否则阻止外发并发出告警。
    • 终端防泄漏。禁用USB、蓝牙,只有获得授权的终端才能打开相应功能。限制有线、无线网络,只能接入公司内网方才能传数据。

  • 内容防篡改

    防止服务器文件、数据库被非法篡改。

    • 服务器防篡改。监控内网服务器的关键文件,如果发现未授权的变更,则发出告警。
    • 数据库防篡改。监控数据库关键表,如果发现未授权变更,则发出告警。

  • 安全运营中心

    24*7不间断运行的安全监控、防护中心。职责是:监控各个安全系统,如果发现安全威胁则会采取适当的措施来确保威胁被及时控制。安全运营中心有以下几个功能:

    • 多级化运营。一般会分为监控组、分析组和响应组。监控组会监视各个安全系统的告警,倘若发现告警则交由分析组进行进一步分析,若分析组确定是安全威胁后,由响应组出面来处理威胁。
    • 通讯中心。在发生安全事件后,能够组织紧急电话会议,联络相应的人员来处理安全事件。
    • 预演方案。针对可能发生的安全事件,设置一套预演方案。旨在发现安全威胁时,能够根据威胁的程度,采取对应的措施来消除威胁。