《上汽集团刘松:企业网络安全精细化治理(28页).pdf》由会员分享,可在线阅读,更多相关《上汽集团刘松:企业网络安全精细化治理(28页).pdf(28页珍藏版)》请在三个皮匠报告上搜索。
1、 数据带来的思考 网络安全之怪现象 网络安全精细化治理 数据带来的思考 网络安全之怪现象 网络安全精细化治理专项预算专职人员安全技术支撑单位资源投入管理体系企业法人代表是第一安全责任人技术体系法律法规网络安全法计算机网络安全保护网络安全流程规范管理体系网络信息安全领导小组网络信息安全技术负责人框架框架技术技术平台平台设备设备刻舟求剑目的是为了满足合规要求不关心网络安全实际效果亡羊补牢精力都放在事后应急处置事前事中不愿意投入资源本末倒置盲目追求新技术新平台注重边界轻视内网安全 数据带来的思考 网络安全之怪现象 网络安全精细化治理 企业40%的攻击源自社会工程 网络资产弱口令占比高达20%30%的
2、漏洞是由配置错误导致数据来源:ACSC、NCSC、CISA、FBIMicrosoft Exchange:CVE-2020-0688、CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065Microsoft Office:CVE-2017-11882、CVE-2019-0604Microsoft Windows:CVE-2020-0787、CVE-2020-1472Citrix ADC gateway:CVE-2019-19781Atlassian Confluence:CVE-2019-3396、CVE-2019-11580、CV
3、E-2021-26084Pulse Secure:CVE-2019-11510、CVE-2021-22893、CVE-2021-22894、CVE-2021-22899、CVE-2021-22900F5 Big-ip:CVE-2020-5902Accellion FTA:CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104Telerik Ui For A Ajax:CVE-2019-18935Vmware Vcenter Server:CVE-2021-21985Debian Drupal Core Multiple:CVE-2
4、018-7600Fortinet Fortios:CVE-2018-13379、CVE-2020-12812和CVE-2019-5591MobileIron Monitor And Reporting Database:CVE-2020-15505数据来源:麻省理工2825427366620000202021Zero-days caught in the wild数据来源:Claroty33378021H 20192H 20191H 20202H 20201H 2021 2H 2021
5、ICS/OT vulnerabilities 数据带来的思考 网络安全之怪现象 网络安全精细化治理典型案例一:典型案例二:软件版本陈旧配置错误普遍弱口令无人管资产管理混乱软件版本保持更新识别配置对象,针对性管理,建立检测机制和方法从管理制度和绩效对弱口令问题进行高压管理资产梳理、监测,资产上线变更管理,测试环境与办公系统治理软件版本陈旧配置错误普遍资产管理混乱弱口令无人管共性问题共性问题测试环境与办公系统治理:测试环境与办公系统治理:1.1.禁止直接暴露公网禁止直接暴露公网2.2.环境分类网络隔离环境分类网络隔离3.3.必要的扫描监测必要的扫描监测4.4.防范横向移动,建立白名防范横向移动,建
6、立白名单访问机制单访问机制解决设备账号体系管理混乱问题:共享账号、僵尸账号、弱口令账号、临时账号解决认证方式不统一的问题:身份须与每一个人对应起来账号管理账号管理认证管理认证管理解决访问权限管理失控的问题:最小化原则、权限可控可审核权限管理权限管理解决业务操作层面不透明的问题:明确流程规范、明确责任关系、可溯源过程管理过程管理关键是解决运维人员“偷懒”的问题!典型案例一:默认用户权限安装问题典型案例二:默认路径安装问题安装用户权限最小化安装用户权限最小化应用严禁默认安装目录应用严禁默认安装目录修改必要配置文件修改必要配置文件RASPRASP技术技术欺骗技术欺骗技术典型案例一:篡改边端数据上行云端典型案例二:遍布OT环境的勒索病毒和挖矿木马多元环境风险点1.1.使用使用ISA-62443ISA-62443标准构建标准构建OTOT安全的生安全的生命周期模型命周期模型2.2.边端与云端上下行数据须鉴权边端与云端上下行数据须鉴权3.3.利用利用PLCPLC模拟软件构建模拟软件构建SCADASCADA蜜罐蜜罐4.IT/OT4.IT/OT网络分级,层级之间上防火墙网络分级,层级之间上防火墙5.5.为为IDS/IPSIDS/IPS创建工控协议规则创建工控协议规则