FREEBUF2019企业安全威胁统一应对指南网络安全2019587页

关于报告关于FreeBuf研究院近一年，网络安全相关的政策法律陆续出台落实、技术投入应用、网络安全事件频发，带动网络安全行业进一步发展变化。传统威胁依旧存在，新的威胁与风险层出不穷，给企业安全带来更多挑战。了解并熟悉企业安全威胁应对流程并根据需要选择合适的安全产品，有助于企业做好安全建设，防范风险。FreeBuf针对近一年企业安全现状和安全产品情况进行了深入调查，并在安全专家和顾问的指导下，构建企业威胁应对流程模型，结合理论和应用进行分析，形成了《2019企业安全威胁统一应对指南》，期望给予企业从理论到实践的参考。FreeBuf.COM是斗象科技旗下、国内领先的互联网安全新媒体，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。FreeBuf研究院则集结了行业内经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，呈现有深度的安全行业现状和趋势分析。FreeBuf研究院谢忱徐钟豪鲍弘捷余桂茗施东奇金方成城许皓翔美术设计赵晖姚媛目录CATALOG22.1企业安全体系架构2.1.1法律与监管合规2.1.2安全规划2.1.3风险管理框架体系与职责2.1.4通信与网络安全2.1.5身份识别与访问控制2.1.6应用安全与软件开发安全2.1.7操作安全与安全运营2.1.8数据安全2.1.9安全事件管理第二章企业安全威胁及应对流程1.1企业安全发展概况1.22019企业安全展望1第一章概述2.2安全防护2.2.1WAF&云WAF2.2.2抗DDoS&云抗D2.2.3CWPP2.2.4RASP2.2.5Web内容安全2.2.6业务风控2.2.7数据安全2.2.8邮件安全2.2.9EMM2.2.10APP安全2.2.11身份识别与认证2.2.12访问控制2.2.13病毒防护目录CATALOG3第三章企业安全产品名录3.1背景概述3.3企业安全产品名录3.2网络安全市场浅析2第二章企业安全威胁及应对流程2.3检测2.3.1安全测试2.3.2主机漏洞检测2.3.3数据库安全2.3.4NTA/NDR2.3.5威胁情报2.3.6蜜罐2.3.7恶意软件检测（沙箱）2.3.8IDPS2.3.9EDR2.4应急响应与调查取证2.4.1专有管理检测和响应（MDR）服务2.4.2调查取证2.4.3SOC/态势感知2.4.4SIEM2.4.5容灾备份2.4.6行为审计2.5持续改进2.5.1安全咨询与培训教育2.5.2测评&认证2.5.3众测与SRC2.5.4风险评估2.5.5漏洞管理系统（VMS）2.5.6渗透测试与评估2.5.7攻防演练2.62019企业安全热词1概述第一章CHAPTERONE1.1企业安全发展概况当前，全球各国都将网络安全提升到了国家战略高度，并出台不同的政策对企业或个人进行约束，以落实网络安全保障工作。网络安全行业受到的关注持续增加、新政策层出不穷、技术不断革新、安全事件频发，既带来诸多挑战，也蕴藏着良多机遇。1.11政策法规推进发展合规是促进网络安全建设与发展的一大动因。在国内层面，《网络安全法》实施超过一周年，成效有目共睹，权威媒体报道或已公开的全国各相关判决和执法案例已达到百例左右。配套的实施细则或其他相关法规政策也陆续出台实施。据不完全统计，2018年国内发布、出台或实施的网络安全相关政策、法规、条例、细则（包括征求意见稿）等数量超过三十部。其中，公安部发布的《网络安全等级保护测评机构管理办法》、《公安机关互联网安全监督检查规定》、《互联网个人信息安全保护指引》（征求意见稿）；工信部发布的《网络安全实践指南—欧盟GDPR关注点》、国家网信办发布的《金融信息服务管理规定》、《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》；全国信息安全标准化技术委员会归口的《信息安全技术公钥基础设施数字证书格式》等多项标准都一一发布，对于企业的安全建设有着切实的监督和指导意义。同时，全国人大常委会也发布《十三届全国人大常委会立法规划》，将个人信息保护、数据安全、电子商务、密码等列入立法规划。《网络安全法》实施至今，配套的法规或标准虽然也在同步制定，全国信息安全标准化技术委员会接连制定了上百份支撑《网络安全法》实施的标准，但过度期间的监督和落实稍显薄弱，导致一部分违法违规行为未得到及时处罚。但值得关注的是，等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《GB/T36627-2018网络安全等级保护测试评估技术指南》等国家标准都已公开发布。新的等保条例增加云计算安全、物联网安全、工业控制安全、大数据安全以及移动互联安全等五个领域的要求与标准，同时将其中的基本要求、测评要求以及设计要求的相关标准由单一标准变为系列标准。第一章概述网络安全战略规划目标网络安全综合防御体系安全管理中心安全建设等级测评安全整改监督检查总体安全策略国家信息安全等级保护制度定级备案组织管理机制建设安全规划安全监测通报预警应急处置态势感知能力建设技术检测安全可控队伍建设教育培训经费保障风险管理体系安全管理体系安全技术体系网络信任体系通信网络区域边界计算环境等级保护对象网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动物联网、智能设备等国家网络安全法律法规政策体系国家信息安全等级保护政策标准体系2.5Improve持续改进1.12安全事件引发社会关注勒索软件造成严重损失2016至2018年，包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在内的勒索软件不断出现变种。虽然勒索软件整体增长开始放缓，但带来的财物损失不断攀升。有预测显示，2019年，勒索软件造成的损失可能升至115亿美元，攻击频率可能缩减到14秒一次。2020年，勒索软件攻击将翻两番。其中，医疗保健等公共机构将成为重灾区。值得注意的是，除了以经济为目的的攻击外，近一年媒体公开报道的勒索攻击中有很多与民族国家黑客组织有关。勒索攻击正在从随机攻击转向有针对性的攻击，潜在利润较大的行业未来更可能成为勒索软件的目标。信息泄露再创新高近几年每年都会有大规模数据泄露事件曝出，且一年比一年严重。信息泄露给企业、个人带来的损失越来越大：企业蒙受财产和声誉损失，个人财产和生活稳定也受到威胁。在欧盟GDPR法规正式实施之后，大大小小的数据泄露事件爆出频率增加。FaceBook剑桥分析事件；大规模汽车厂商商业文档泄露事件；Google+泄露事件；英国航空、国泰航空数据泄露；几大酒店集团数据泄露等等，每一起都牵动着企业与公民的神经。2019年开年之后，几起不安全数据库泄露的信息以亿万为单位计算，黑客更是在暗网中大批量售卖账号等信息。每周都会出现的数据泄露新闻表明信息泄露事件已经常态化，且不分行业、领域、国家。随着全球进一步数字化转型，大量信息上网、联网，信息泄露情况还将加剧。DDoS攻击加剧行业报告显示，DDoS攻击占整体网络攻击的70%。大量企业已经将DDoS攻击列为最大威胁。DDoS攻击不仅是出于勒索或商业竞争等利益目的，还可能由于意识形态、政治等原因而造成。由于成本低、风险低，很容易实施，以及近些年“DDoSasaService”（DDoS服务）的兴起，DDoS攻击进一步加剧。当前，DDoS产业化已经非常成熟，从业者分工明确，并与其他黑灰色产业存在交集。医疗、物联网、教育等传统行业互联网化后，都遭受到了不同程度的攻击，且呈上升的趋势。DDoS攻击连年加剧，造成的损失也愈发惨重。新的等保条例即将实施，将成为继《网络安全法》之后又一重要法规，也将成为各机构部门、重点行业部署与开展安全工作的核心基础。可以预见，这一条例将进一步推进国内社会对网络安全的重视，推动网络安全行业全面发展，对企业的约束也将更加严格。在国际层面，2018年5月，欧盟《通用数据保护条例》（GDPR）正式实施，成为当年全球最受关注的标志性网络安全相关法律。GDPR实施以来，以Facebook、谷歌为代表的企业被欧盟各国“约谈”并受到不同程度的处罚，数据泄露报告案例数量激增，大小企业纷纷整改并加强数据保护。以GDPR为参考，美国《加州消费者隐私法2018》紧随其后，全球掀起了个人数据保护的立法与执法新浪潮。作为全球网络空间规则指定的引领者，欧美在2018年的立法依旧引人注目。美国的《国家网络战略》、《网络安全战略》；欧盟的NIS指令、《欧盟网络防御政策框架》等纷纷更新、通过或实施。此外，澳大利亚、新加坡、印度、越南、巴西等也相继推出适用于其本土的网络安全相关战略和立法。网络主权、数据保护、网络基础设施安全等成为全球立法的共同关注点。更多新法律、法规、政策的制定与出台，意味着网络安全在国家层面上受到的重视程度进一步提高。展望2019年，国际网络空间立法呈现出博弈与融合并重的趋势。国内外网络安全立法热度不会降低，且在网络主权、关键基础设施保护等领域将有更严格举措。此外，地缘政治的因素将使得安全产品、服务的国际化受到更多法律法规的约束。当前形势下，网络安全越来愈多地参与到全球政治、经济、科技、军事等领域的博弈之中，国际间舆论影响、商业竞争、破坏关键基础设施等事件层出不穷，很多民族国家黑客攻击从早前的暗中试探转变为更明确的破坏性攻击，未来依旧有愈演愈烈之势。企业在发展过程中也应当考虑这一因素，及时调整产品与业务架构。2018年，共有400多份高级威胁研究报告发布，同比增长约3.6倍。我国研究机构发现的APT攻击组织包括APT28、Lazarus、海莲花、MuddyWater等53个，攻击目标主要分布在中东、亚太、美洲和欧洲地区。攻击的领域涵盖军队国防、政府、金融、外交和能源等。同时，医疗、传媒、电信等国家服务性行业领域面临的APT攻击风险也日益攀升。APT攻击带来更多风险1.22019企业安全展望Gartner的报告显示，全球网络安全支出2019年将超1240亿美元。这既包括各类安全事件造成的损失及相应的补救支出，也包括企业为抵御风险而购买的产品、服务等投入。一方面，整个安全行业攻防技术不断升级，安全市场需求水涨船高，对于安全策略、安全产品的要求也越来越高。另一方面，全球数字化转型带来的数据化、在线化和移动化也让全球网络关联更深、互相依赖程度更高。人与人、人与设备、人与系统之间的互动与连接导致安全边界更加模糊。技术发展综合人为因素，让网络安全形势更加复杂。展望2019，安全威胁在数量和种类上都将持续增长，带来更多挑战。值得一提的是，《2017企业安全威胁统一应对指南》中的展望内容至今依然有参考价值，本报告则立足2018年企业安全领域出现的发展变化，展望新要点。除了前文所说的勒索软件、信息泄露以及DDoS攻击等已经发生且将持续发生的安全威胁外，2019年的安全威胁还将呈现以下特征：在这样严峻的形势下，企业可采取尽量全面的安全架构和可靠的安全技术来应对威胁。2019年，AI态势感知与零信任安全架构有望在威胁分析、身份识别与授权以及安全运营方面实际应用并发挥作用。AI推动网络安全⸺经过几年时间的发展，AI在网络安全领域的落地应用逐渐成熟。例如，杀毒、WAF、反SPAM、反欺诈等领域中都需要使用大量规则体系，而机器学习本身能自动生成规则，省去了高昂的人力资源维护成本。同时利用SVM、RandomForrest等算法，结合深度学习自动提取特征的能力以及一些深度学习模型，可以快速识别安全事件，显著提升安全工具的规则运维效率，并应用在移动杀毒、网页安全防护中。另一方面，AI在生物识别（如指纹识别、人脸识别）与身份验证中也已经有实际应用。在智能门禁、需要人脸识别登录的软件等生物识别场景中，AI技术常常用于提取特征、生成模型、识别并分析内容等，以达到精准的识别效果。此外，基于数据和算法、结合人工分析的模式，也让AI成为安全自动化发展的一大动力。AI进一步用于网络攻击⸺人工智能在网络安全领域的应用逐渐成熟，但也成为了攻击者的目标和工具。攻击者不仅会攻击人工智能系统，还会使用AI驱动的自动化攻击来探测网