freebuf 2019企业安全威胁统一应对指南

h t i g b u m o c . 5 关于报告近一年，网络安全相关的政策法律陆续出台落实、技术投入应用、网络安全事件频发，带动网络安全行业进一步发展变化。传统威胁依旧存在，新的威胁与风险层出不穷，给企业安全带来更多挑战。了解并熟悉企业安全威胁应对流程并根据需要选择合适的安全产品，有助于企业做 m o c . 5 好安全建设，防范风险。FreeBuf针对近一年企业安全现状和安全产品情况进行了深入调查，并在安全专家和顾问的指导下，构建企业威胁应对流程模型，结合理论和应用进行分析，形成了《2019企业安全威胁统一应对指南》，期望给予企业从理论到实践的参考。关于FreeBuf研究院 b u h t i g FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。 FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，呈现有深度的安全行业现状和趋势分析。 FreeBuf研究院谢忱徐钟豪鲍弘捷余桂茗施东奇金方成城许皓翔美术设计赵晖姚媛目录 1 CATALOG 2 第一章概述 1.1 1.2 第二章企业安全发展概况企业安全威胁及应对流程 2.1 2019企业安全展望企业安全体系架构法律与监管合规 2.1.3 风险管理框架体系与职责 2.1.2 2.1.4 2.1.5 安全规划通信与网络安全身份识别与访问控制 b u 2.1.6 g m o c . 5 2.1.1 ti h 2.1.7 2.1.8 2.1.9 2.2 应用安全与软件开发安全操作安全与安全运营数据安全安全事件管理安全防护 2.2.1 WAF&云WAF 2.2.3 CWPP 2.2.2 2.2.4 2.2.5 2.2.6 2.2.7 2.2.8 2.2.9 抗DDoS&云抗D RASP Web内容安全业务风控数据安全邮件安全 EMM 2.2.10 APP安全 2.2.11 身份识别与认证 2.2.12 访问控制 2.2.13 病毒防护目录 2 CATALOG 第二章企业安全威胁及应对流程 2.3 检测 2.3.1 安全测试 2.3.3 数据库安全 2.3.2 2.3.4 2.3.5 2.3.6 2.3.7 2.3.8 2.3.9 2.4 EDR h t i g 调查取证 SIEM 容灾备份行为审计 2.5.1 安全咨询与培训教育 2.5.3 众测与SRC 2.5.5 2.5.6 2.5.7 企业安全产品名录网络安全市场浅析 m o c . 5 b u IDPS 持续改进 2.5.4 2.6 恶意软件检测（沙箱） SOC/态势感知 2.5.2 3.3 3.2 蜜罐 2.4.3 2.4.6 背景概述威胁情报专有管理检测和响应（MDR）服务 2.4.5 3.1 NTA/NDR 2.4.1 2.4.4 企业安全产品名录主机漏洞检测应急响应与调查取证 2.4.2 2.5 3 第三章测评&认证风险评估漏洞管理系统（VMS）渗透测试与评估攻防演练 2019企业安全热词 CHAPTER ONE 第一章 m o c . 5 h t i g 概述 1 b u 第一章概述 1.1 企业安全发展概况当前，全球各国都将网络安全提升到了国家战略高度，并出台不同的政策对企业或个人进行约束，以落实网络安全保障工作。网络安全行业受到的关注持续增加、新政策层出不穷、技术不断革新、安全事件频发，既带来诸多挑战，也蕴藏着良多机遇。 1.11政策法规推进发展合规是促进网络安全建设与发展的一大动因。在国内层面，《网络安全法》实施超过一周年，成效有目共睹，权威媒体报道或已公开的全国各相关判决和执法案例已达到百例左右。配套的实施细则或其他相关法规政策也陆续出台实施。据不完全统计，2018年国内发布、 m o c . 5 出台或实施的网络安全相关政策、法规、条例、细则（包括征求意见稿）等数量超过三十部。其中，公安部发布的《网络安全等级保护测评机构管理办法》、《公安机关互联网安全监督检查规定》、《互联网个人信息安全保护指引》（征求意见稿）；工信部发布的《网络安全实践指南—欧盟GDPR关注点》、国家网信办发布的《金融信息服务管理规定》、《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》；全国信息安全标准化技术委员会归口的《信息安全技术公钥基础设施数字证书格式》等多项标准都一一发布，对于企业的安全建设有着切实的监督和指导意义。同时，全国人大常委会也发布《十三届全国人大常委会立法规划》，将个人信息保护、数据安全、电子商务、密码等列入立法规划。 b u 《网络安全法》实施至今，配套的法规或标准虽然也在同步制定，全国信息安全标准化技术委员会接连制定了上百份支撑《网络安全法》实施的标准，但过度期间的监督和落实稍显薄弱，导致一部分违法违规行为未得到及时处罚。但值得关注的是，等保2.0相关的《信息安 h t i g 全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《GB/T 36627-2018网络安全等级保护测试评估技术指南》等国家标准都已公开发布。新的等保条例增加云计算安全、物联网安全、工业控制安全、大数据安全以及移动互联安全等五个领域的要求与标准，同时将其中的基本要求、测评要求以及设计要求的相关标准由单一标准变为系列标准。网络安全战略规划目标安全建设等级测评区域边界等级保护对象网络信任体系计算环境网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动物联网、智能设备等经费保障安全管理中心教育培训安全技术体系监督检查队伍建设安全管理体系安全可控网络安全综合防御体系安全整改技术检测能力建设态势感知应急处置通报预警通信网络安全监测安全规划机制建设风险管理体系国家信息安全等级保护制度国家信息安全等级保护政策标准体系定级备案组织管理国家网络安全法律法规政策体系总体安全策略新的等保条例即将实施，将成为继《网络安全法》之后又一重要法规，也将成为各机构部门、重点行业部署与开展安全工作的核心基础。可以预见，这一条例将进一步推进国内社会对网络安全的重视，推动网络安全行业全面发展，对企业的约束也将更加严格。在国际层面，2018年5月，欧盟《通用数据保护条例》（GDPR）正式实施，成为当年全球最受关注的标志性网络安全相关法律。GDPR实施以来，以Facebook、谷歌为代表的企业被欧盟各国“约谈”并受到不同程度的处罚，数据泄露报告案例数量激增，大小企业纷纷整改并加强数据保护。以GDPR为参考，美国《加州消费者隐私法2018》紧随其后，全球掀起了个人数据保护的立法与执法新浪潮。作为全球网络空间规则指定的引领者，欧美在2018年的立法依旧引人注目。美国的《国家网络战略》、《网络安全战略》；欧盟的NIS指令、《欧盟网络防御政策框架》等纷纷更新、通过或实施。此外，澳大利亚、新加坡、印度、越南、巴西等也相继推出适用于其本土的网络安全相关战略和立法。网络主权、数据保护、网络基础设施安全等成为全球立法的共同关注点。更多新法律、法规、政策的制定与出台，意味着网络安全在国家层面上受到的重视程度进一步提高。展望2019年，国际网络空间立法呈现出博弈与融合并重的趋势。国内外网络安全立法热度不会降低，且在网络主权、关键基础设施保护等领域将有更严格举措。此外，地缘政治的因素将使得安全产品、服务的国际化受到更多法律法规的约束。当前形势下，网络安全越来愈多地参与到全球政治、经济、科 m o c . 5 技、军事等领域的博弈之中，国际间舆论影响、商业竞争、破坏关键基础设施等事件层出不穷，很多民族国家黑客攻击从早前的暗中试探转变为更明确的破坏性攻击，未来依旧有愈演愈烈之势。企业在发展过程中也应当考虑这一因素，及时调整产品与业务架构。 1.12安全事件引发社会关注勒索软件造成严重损失 h t i g b u 2016至2018年，包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在内的勒索软件不断出现变种。虽然勒索软件整体增长开始放缓，但带来的财物损失不断攀升。有预测显示，2019 年，勒索软件造成的损失可能升至115亿美元，攻击频率可能缩减到14秒一次。2020 年，勒索软件攻击将翻两番。其中，医疗保健等公共机构将成为重灾区。值得注意的是，除了以经济为目的的攻击外，近一年媒体公开报道的勒索攻击中有很多与民族国家黑客组织有关。勒索攻击正在从随机攻击转向有针对性的攻击，潜在利润较大的行业未来更可能成为勒索软件的目标。信息泄露再创新高近几年每年都会有大规模数据泄露事件曝出，且一年比一年严重。信息泄露给企业、个人带来的损失越来越大：企业蒙受财产和声誉损失，个人财产和生活稳定也受到威胁。在欧盟GDPR法规正式实施之后，大大小小的数据泄露事件爆出频率增加。FaceBook剑桥分析事件；大规模汽车厂商商业文档泄露事件；Google+泄露事件；英国航空、国泰航空数据泄露；几大酒店集团数据泄露等等，每一起都牵动着企业与公民的神经。 2.5 Improve 持续改进 2019年开年之后，几起不安全数据库泄露的信息以亿万为单位计算，黑客更是在暗网中大批量售卖账号等信息。每周都会出现的数据泄露新闻表明信息泄露事件已经常态化，且不分行业、领域、国家。随着全球进一步数字化转型，大量信息上网、联网，信息泄露情况还将加剧。 DDoS攻击加剧行业报告显示，DDoS攻击占整体网络攻击的70%。大量企业已经将DDoS攻击列为最大威胁。 DDoS攻击不仅是出于勒索或商业竞争等利益目的，还可能由于意识形态、政治等原因而造成。由于成本低、风险低，很容易实施，以及近些年“DDoS as a Service” （DDoS服务）的兴起，DDoS攻击进一步加剧。当前，DDoS产业化已经非常成熟，从业者分工明确，并与其他黑灰色产业存在交集。医疗、物联网、教育等传统行业互联网化后，都遭受到了不同程度的攻击，且呈上升的