SDL自动化安全建设 从ODAY识别到巡检

SDL建设到了这个阶段,我们已经具有一定的安全自动化能力,如何实现突破呢?整理业务链路的风险后,我们开始建模威胁,从系统结构上从上到下管理。其中,重点关注IPDRR和STRIDE模型,辅助DREAD模型进行威胁评价,优化和联动原有安全能力的缺失,收敛现有安全风险点。


从不同的业务场景和不同的数据流程分别定制风险削减措施,分配人才形成项目组,推进管理优化。具体的风险链接大盘子,这里由于内容敏感不方便,所以直接发送,简单谈谈重点项目的建设。在原来的工作中,我们自己的资产库依赖于运输部门的注册信息,在我们内部用扫描仪补充资产。


之后,我们发现对于细粒度的资产标签,例如追加端口、服务器所属区域、服务类型列表、反复接口等,不能及时控制,不利于监视我们的深度系统。因此,我们着重补充这方面的能力,通过被动监视流量,积极整理代码AST树,描绘复杂的调用网状关系,集中标签相关资产。这样,问题发生后,我们也可以立即切断和追踪定位。


内部巡逻检查,对于内部的一些通用漏洞,由于信息关联度的问题,我们在原来的工作中没有很好地横向通过。加强内部对0day、1day的识别能力后,可以更好地识别入侵事件。在后SOC运营平台的建设中,对脆弱因素进行细粒度的手动标签,支持自动识别,加强资产的测试环境和边界环境,立即进行横向巡检,将风险杀死在摇篮中。


边界管理。管理很多风险时,必须考虑收敛边界安全。在这方面的工作中,我们可以考虑做以下工作。重点检查出入的流量。一键式深度保护开放的外部网络服务。启用备份机制,随时更换发生脆弱性升级故障的边界服务。立即扫描和控制边界资产。自动化检查应将边界优先级提高到最高。我们面前的资产库优化工作也能为边界安全管理提供效能。

分享: