网络安全成熟度模型/评估


=Start=

缘由:

总结、提高需要

正文:

参考解答:
网络安全成熟度评估

&

网络安全合规成熟度示意图
参考链接:

网络安全法即将生效,企业如何识别差距并采取行动?#nice
https://www2.deloitte.com/cn/zh/pages/risk/articles/cybersecurity-law-self-assessing-maturity-model.html

企业信息安全的两个成熟度模型
http://www.ctocio.com/ccnews/18447.html
https://krebsonsecurity.com/
http://www.esg-global.com/
http://blue-lava.net/

首届中国数据安全峰会上阿里和华为都讲了啥 #nice
http://www.aqniu.com/industry/26134.html

2.0新防御体系下,网络安全成熟度模型以及各级别安全关键实践
https://zhuanlan.zhihu.com/p/28325198
https://www.zhihu.com/people/LeoPerfect/posts

=END=


《“网络安全成熟度模型/评估”》 有 25 条评论

  1. 平安集团企业信息安全实践
    https://mp.weixin.qq.com/s/ODrosVqnfG0NckiPSyvDaQ
    `
    企业信息安全一般关注点
      业务连续性
      业务安全
      数据安全
      网络安全

    企业信息安全风险关注点
      交易欺诈风险
      黑客攻击风险
      员工操作风险
      数据泄密风险
      法律合规风险

    企业信息安全一般技术框架
      终端
      应用
      系统
      网络
      数据
      物理
    `

  2. 【视频】TechWorld2017热点回顾 | 大型互联网企业安全实践
    http://blog.nsfocus.net/company-security-techworld2017/
    `
    安全建设方法:
    第一,进不来。这是目前市场上讲的最多的部分,通过各种纵深防御体系,安全产品、威胁情报、态势感知等手段尽可能的将威胁阻挡在外。
    第二,看不到。假设入侵者进来了,即使渗透了一些服务器,也不知道我的数据在哪。可能我的数据都是加密的,甚至内网流量都是加密的。攻击者也分不清资产分布,我的代码也不是明文,找密钥也得找半天。
    第三,拿不走。假设更坏的情况,攻击者能看到我的一些重要资产,但当他想拿的时候,我这时候就会采取一些措施让他尽可能拿不走。
    第四,解不开。假设攻击者拿走了数据,我的加密很强或者有一部分加密的密钥链的顶层密钥没有办法通过入侵手段拿到。即使攻击者拖了我的全站数据库,还是解密不了。

    反入侵方法:
    纵深防御
    降维
    入侵容忍
    `

  3. 再谈SIEM和安全管理平台项目的失败因素(1)
    http://yepeng.blog.51cto.com/3101105/1983449
    `
    SIEM/安全管理平台建设是一个复杂的工程性问题,而不是Yes OR No的技术性问题。

    SIEM部署失败的六大通病:
    计划不周、范围不清、期望过高、噪声过大、情境不够、资源不足。
    对应原文是:
    Failure to Plan Before Buying
    Failure to Define Scope
    Overly Optimistic Scoping
    Monitoring Noise
    Lack of Sufficient Context
    Insufficient Resources。
    `

  4. 【企业安全】企业安全项目-测试环境内网化
    https://mp.weixin.qq.com/s/lkfA7-Ii3KJtodWdcZUfog
    `
    经过长时间的风险发掘与分析,企业面临的安全风险已逐渐清晰并有了比较全面的视野。从投入与产出比的角度出发,结合当前正在承受的危害和实施难易程度考虑,可以将前期所规划的安全项目排入实施计划周期并进行推动。按照优先级从左往右可以分为P0~P3,依次落地:
    P0:正在遭受损失
    P1:影响较大且容易做
    P2:影响较大且难以做
    P3:影响不大且比较难做

    外部白帽子提交漏洞
    内部漏洞分析与风险调研
    组织安全接口人召开会议
    邮件搜集资产(效果不好)
    正确资产梳理
    QQ群沟通(效果欠佳)
    优化推动思路
    分布式进行内网化
    持续优化测试环境管控
    `

  5. ArcSight简介-ArcSight技术系列之一
    https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247483846&idx=1&sn=22671cab5c81369c4d9135b2a604a421
    `
    ArcSight是SIEM的老牌传统产品,成立于2000年5月,2010年10月被HP以约16亿美元收购,纳入其企业安全软件群中,2016年9月HPE以88亿美元将其软件业务出售给了Micro Focus,其中就包含ArcSight。

    怎么做好ArcSight平台的规划和架构设计,按以下九个步骤进行基本就没有太大问题了,每个步骤基本都推荐了我们实战中的一些最佳做法,供大家参考:
    1、明确需求
    2、架构环境
    3、硬件规格
    4、日志管理策略
    5、应用的资产和架构信息
    6、外部信息集成策略
    7、开发方法及方式
    8、工作流规划
    9、成果度量
    `
    实施规划和架构设计-ArcSight实战系列之二
    https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247484002&idx=1&sn=962231e3b73e3e9c7f3d2472ab57949a

  6. 金融企业信息安全团队建设(务虚篇)
    https://mp.weixin.qq.com/s/1s0lQJXqIHc83Tithcj1sw
    `
    一、金融企业信息安全团队建设的痛点
    (一)价值感和存在感缺乏
    (二)投入少,绩效衡量难
    (三)风险压力大:道高一尺魔高一丈
    (四)信息安全覆盖领域广泛,但综合性人才、专业人才均稀缺
    (五)安全人员职业规划前景不明,职业发展的“天花板”较低

    二、金融企业信息安全团队面临的宏观环境
    (一)信息安全团队要有独立的使命、愿景和价值观,但必须服从企业整体的使命、愿景和价值观
    (二)信息安全团队建设必须遵从金融企业战略需要
    (三)信息安全团队建设必须与企业风险偏好相适应
    (四)信息安全团队建设必须着眼未来,立足长远

    三、信息安全团队文化建设
    (一)格局为先
    (二)认同价值
    (三)专业自信
    (四)处处用心
    (五)养成习惯
    (六)培养洁癖

    四、信息安全团队意识建设
    (一)客户意识
    (二)责任意识
    (三)风险意识
    (四)创新意识
    (五)学习意识
    (六)沟通意识
    `

  7. 网络安全商业模式分析
    https://www.sec-un.org/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%95%86%E4%B8%9A%E6%A8%A1%E5%BC%8F%E5%88%86%E6%9E%90/
    `
    看懂一家公司最重要的就是理解他们的商业模式。看了这么多国内网络安全企业,始终感觉大家在商业模式上缺少一些思考和创新。可能是这个生意大家都这么做,那我也这么做,这样的风险更小或是不愿意走出舒适区来革自己的命。上面的商业模式分析比较浅层,其实商业模式中包含的关键要素有很多,只要改变其中的任何一个环节,商业模式就会产生变化或升级。云大移物智的快速发展,不但让网络安全技术的应用场景变得更加丰富,放大网络安全市场,同时也在悄然的孕育着新的商业模式。网络安全保险、管理安全服务和威胁情报等概念在商业模式上就显著有别于行业内传统的商业模式,至于能不能成功还要看落地与执行。最后,希望企业能够在网络安全行业高速发展的今天找到适合自己商业模式,好好享受产业发展所带来的红利。
    `

  8. 金融企业信息安全团队建设(务实篇)
    https://mp.weixin.qq.com/s/63OayK-ASWYWawhsyQfjaA
    `
    四、信息安全团队能力建设
    五、信息安全团队建设路径
    六、信息安全团队绩效体系建设
    七、信息安全人员的职业规划
    八、信息安全团队与其他团队的关系处理
    `

  9. 网络安全日常工作梳理
    https://mp.weixin.qq.com/s/KcU5_jcC8cufFoQyU30EXw
    `
    安全治理:这个名字想了好久,其实主要是宏观策略制定、流程、运营、培训等偏管理层面的工作。名字只是个代号,意思就是这样。

    安全检测:这个比较好理解,从ids日志分析到态势感知,从漏扫到渗透都属于安全检测里领域。由于安全检测越来越多的依赖于数据分析的结果,所以这里将数据分析也加入进来,严格的说数据分析应该是手段,不算工作内容。另外,媒体对内容安全的重视程度很高,而一般防篡改产品又不能满足需求,所以内容安全虽然在图中占比很小,但十分重要,也投入了很多资源。

    安全防御:这个更好理解,搞安全不就是为了能防止被别人搞吗?但是这里多说一句,目前我们的策略是重检测轻防御,但这里说的“轻防御”不是轻视,而是“轻量级”,防御手段一定要快捷而有效。因为在国内大部分公司还是以业务为重,安全也是为业务服务的,防御策略搞得太重容易误拦,搞得太轻用处不大。只要有强大的检测手段快速发现各类问题,再启用相应的防御和应急预案还是很容易的。

    安全响应:这个主要是为了给前三个方向来个保险,以面对这种情况:某种安全事件在制定策略的时候没想到,或者各类安全监测工作没发现,又或者防护手段出了问题,总之出了安全问题(这也是难免的)。这就需要一系列的安全相应工作,从应急响应到溯源、反制,甚至一些公关手段都可以归纳到这个范畴。
    `

  10. 云盾态势感知
    https://help.aliyun.com/knowledge_detail/42306.html
    `
    态势感知收集企业20种原始日志和网络空间黑客实体威胁情报,利用机器学习还原已发生的攻击,并预测未发生的攻击。(HIDS+NIDS+威胁情报)

    帮客户解决的问题:
    (集中)业务上云后,安全事件的集中化管理
    (实时)扩大安全可见性,并实时监控
    (合规)满足安全合规性,180天的日志存储和检索
    `

  11. 了解漏洞管理的五个阶段,从而减少组织的攻击面
    http://www.4hou.com/vulnerable/12527.html
    https://www.tripwire.com/solutions/vulnerability-and-risk-management/the-five-stages-of-vulnerability-management-maturity-register/
    http://www.tutorialspoint.com/cmmi/cmmi-maturity-levels.htm
    `
    想要在组织内部建立良好的信息安全程序,关键是要拥有一个良好的漏洞管理计划。本文将概述基于能力成熟度模型(CMM)的五个成熟阶段,来让您了解如何使您的组织达到更好的阶段。

    第1阶段:初始
    第2阶段:管理
    第3阶段:定义
    第4阶段:量化管理
    第5阶段:优化
    `

  12. 中国信息安全测评中心孙明亮 位华 王琰:风险评估服务能力成熟度模型研究
    https://mp.weixin.qq.com/s/y9Qx4htmcoWgC96G2sWvpw
    `
    信息安全风险评估服务是我国信息安全保障工作的重要环节之一,信息安全风险评估技术手段一直为行业内所推崇。目前,因多方面因素影响,信息安全风险评估服务能力的水平在地区、行业间等呈现参差不齐的现象。结合SSE-CMM理论及信息安全风险评估服务的最优实践,提出风险评估服务能力成熟度模型概念,即RAS-CMM。RAS-CMM围绕资源配置、技术过程、项目管理等能力因素对风险评估服务能力等级提出理论评价框架。

    1、信息安全风险评估服务能力成熟度模型概述
     1.1 信息安全风险评估服务过程描述
     1.2 信息安全风险评估服务能力要素
     1.3 风险评估服务能力成熟度模型
     1.4 风险评估服务能力要素
     1.4.1 风险评估服务资源配置能力
     1.4.2 风险评估服务技术过程能力
      1.4.2.1 PA01-业务识别与分析
      1.4.2.2 PA02-资产识别与分析
      1.4.2.3 PA03-威胁识别与分析
      1.4.2.4 PA04-脆弱性识别与分析
      1.4.2.5 PA05-现有安全措施有效性识别与分析
      1.4.2.6 PA06-风险分析
      1.4.2.7 PA07-质量保证
      1.4.2.8 PA08-配置管理
      1.4.2.9 PA09-项目风险管理
      1.4.2.10 PA10-项目规划
      1.4.2.11 PA11-项目监控
      1.4.2.12 提供不断发展的技能

    2. 风险评估服务过程能力级别定义
     2.1 风险评估服务过程能力概述
     能力级别具体定义如下所示:
      1) 能力级别1——基本执行;
      2) 能力级别2——计划跟踪;
      3) 能力级别3——充分定义;
      4) 能力级别4——量化控制;
      5) 能力级别5——持续改进。
    `

  13. 安全管理中心(SOC)发展的三个维度
    http://blog.51cto.com/zhaisj/41887
    `
    网络安全的发展随着网络建设经历了三个阶段:一是防火墙、防病毒与IDS(入侵检测系统)部署的初级阶段。二是随着网络扩大,各种业务从相互独立到共同运营,网络管理中出现的安全域的概念,利用隔离技术把网络分为逻辑的安全区域,并大量的使用区域边界防护与脆弱性扫描与用户接入控制技术,此时的安全技术分为防护、监控、审计、认证、扫描等多种体系,纷繁复杂,称为安全建设阶段。三是随着业务的增多,网络的安全管理成为网络建设的新重点,把各个分离的安全体系统一管理、统一运营,我们称为安全管理阶段,最典型的就是综合性安全运营中心(Security Operation Center)SOC的建设。从这个阶段开始,网络安全开始走上业务安全的新台阶,业务持续性保障BCM(Business Continuity Management)成为下一步业务安全评价的重点。

    Ø 安全防护管理:负责安全网络设备的管理与基础安全体系的运营。是安全事件出现前的各种防护管理,其鲜明的特征就是制定的各种安全策略并下发到相关的安全设备。
    Ø 监控与应急调度中心:对安全事件综合分析,根据威胁程度进行预警,并对各种事件做出及时的应对反应。
    Ø 审计管理平台:事件的取证与重现、安全合规性审计、数据的统计分析、历史数据的挖掘。安全的审计安全管理的事后“总结”,也是安全防护的依据。
    `

  14. 大型互联网公司数据安全实践
    https://www.anquanke.com/post/id/190093
    `
    相信很多企业都面临数据泄漏的问题,例如用户投诉注册后收到了很多骚扰电话,内部员工频繁接到到猎头电话骚扰,业务上的竞争对手准确地掌握了公司的经营数据动态等。而这些泄漏事件的追查难度又非常大。如下图,用户的一个购买行为,沿途可能经过若干路径,每个路径下面又包含N多分叉。最终交易成功,可能会被几百个服务调用,这些服务同时又对应到后台,最终可能有几千人会看到,究竟是谁泄漏了,如同大海捞针。

    按照数据安全生命周期理论,从数据采集、传输、存储、处理、交换和销毁去评估和保护,这一路下来,成本非常高。在大型企业里,业务种类可能上万种,而且每天都在发生变化,如果严格按照这个理论去套现实,成本非常巨大,实现可能性也很小。对于业务复杂度较高的企业,迫切需要新的方法来指导。所以业界也出现了一些其他的理论,例如“以数据为中心的安全”、“数据安全治理模型”等。本文不准备变成一个纯理论的研究,而是谈一谈在实践中的数据安全。

    0x00 识别
    · 敏感数据识别
    · 敏感操作识别
    · 敏感人群识别

    0x01 数据保护
    · 数据收口,集中管控。
    · 风险指标收敛,安全能力是手段,而降低风险才是目标。
    · 业界对标,对标考虑的是质量、时间、成本,明确目标、少走弯路、提高ROI。

    0x02 检测
    · 基础数据准备(nginx日志、业务日志、DLP日志、重点系统访问操作日志、……)
    · 分析提取,用户画像、设备画像、行为基线,黑样本分析拆解
    · 风险场景枚举,竞对渗透、内部账号借用/盗用、权限滥用、数据外发、数据爬取、……
    · 外部风险快速收集、录入、分析、沉淀、规则固化
    · 分析模块组合,风险评分加权输出
    · 规则引擎实时检测,针对特定类型问题加快响应速度;ETL离线分析,借助长周期历史数据,结合特定资源进行全面分析,查漏补缺

    0x03 响应
    · 提前梳理、制定规章制度,做到有”法”可依,避免没有必要的扯皮、推诿
    · 上下游处理节点沟通确认整体流程分工
    · 借助工单系统实现问题记录、超期提醒,实现问题闭环
    · 问题复盘,每一个真实case后面,都反映着一连串的现存问题,是对自己防护和检测能力的验证,避免安全人员自嗨
    · 风险大盘展示,包括风险趋势、误报率、漏报率、闭环时长,为老板提供一目了然的信息
    `

    大规模多租户数据平台安全思考(一)
    https://www.anquanke.com/post/id/169958

    大规模多租户数据平台安全思考(二)
    https://www.anquanke.com/post/id/169959

  15. 【君哥访谈】谭晓生:论CISO的个人修养(抖音直播整理)
    https://mp.weixin.qq.com/s/OQgfTosjAWVSEGlCuBKF5A
    `
    【谭校长】:如果你是一个保障部门,就是不要出什么太大的事。保障部门在老板的优先级里面,他能不能记得安全部门的负责人的名字,这在过去好多年恐怕都是一个问题。现在我觉得大家都应该要感谢现在这个时代,因为IT在业务中的比重越来越大,从Process IT进入到Produnct IT。

    最近某个保险机构,它的财险、人险和寿险都在招新的CIO,价码也都开的很高,想解决什么问题呢?他是希望科技能够在他的业务中扮演更大的角色,这个是一个很大的变化。

    给大家讲个段子:大概三四年前我去参加Gartner在奥兰多的Supposing峰会,当时请了GE的CIO还有GE的CEO,IBM的CEO做主持人。主题挺好玩,叫CIO Rising。结果GE的CEO上去之后, IBM的CEO就问他说你们的CIO blabla……然后CEO马上就问,CIO?他来这里干嘛?他不是应该回去让我们的 ERP系统不要出问题,Oracle系统不要DOWN,他来参加这个会干什么?当时下面的CIO们一片哗然,我们刚开始本来气氛搞得挺煽情的,结果CEO来了之后直接就是一盆冷水,他就认为你就应该回去把费用控制好,把成本控制好,让ERP系统不要DOWN机,这就是他对CIO的理解。

    到现在这个时代,像刚才聂君说的,《数据安全法》、《网络安全法》等等一系列的法规出台,让网络安全成为一把手的一个考核指标。所以一把手如果搞不好,他就可能会被网络安全的业绩所拖累。这个给我们的网络安全的主管们其实带来了一个非常好的发展机会。但是同时也是因为咱们过去的角色更多的是在一个辅助角色,重要性不够,所以我们不管是CISO还是网络安全的负责人,是否真正具备战略思考能力,以及是否深刻地理解了他组织的业务的根本是什么,我觉得这个会是一个比较大的问题。这个东西我觉得你不能怪别人,这个是在过去自己的能力确实还没有达到这个水平,解决的方法就只能是提升自己的战略思考能力。你要具备站在CEO的角度去考虑组织的业务,然后再想你自己在这个业务中怎么样能够更好地提供支撑。我相信对于很多人来说可能会差了1~2个段位这种能力,唯一的办法就是快速把它补起来。

    在一个成熟的组织里面,当遇到问题的时候,老大想去挖一个能人过来把这一摊事撑起来,这是非常正常的。其实他们挖回来的大多数人可能到最后也会被去掉,也照样会出事,但是对他们来讲,你想想 CEO的逻辑,不换,我就是把自己的脑袋别到他的裤腰带上,哪天他给我搞出问题来,我不是死菜了。如果我不换,是一定会出事。我换了还可能会出事,但是假如我运气好,我真的去请了业内一个牛人了。你想想咱们这业内有多少很牛逼的企业家,最后遇到了很多骗子,为啥,因为其实他是要求变,他不会那么保守,他要激进,他要变。而安全的行业里面其实骗子也不少,有各种各样的善于炒作的人去炒作自己的名声,他会能吃到红利,他就会能够骗到一些人,其实任何一个行业都是这个样子的。这种过程之中,如果你自己不能很好地提升自己,不能去表现自己的团队,你让自己的团队和自己在老大面前没有存在感,被换这个事也挺正常,这事本身没啥。
    `

  16. 【安永观察】数据安全法解读系列(二)《数据安全法》解读
    https://mp.weixin.qq.com/s/yGiGkswxBgL4nW0oVNmmdg
    `
    # 立法背景

    2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(以下简称“数据安全法”),在经历了三次审议后最终决定于2021年9月1日起施行。

    《数据安全法》是数据领域的第一部基础性法律,将与《中华人民共和国网络安全法》和计划颁布的《中华人民共和国个人信息保护法(草案)》共同构建我国的数据和网络安全的法律保护体系,体现了国家对数字化经济发展的决心。

    # 金融机构面临的挑战

    01-数据泄漏难以溯源——金融机构需持续完善数据安全管控精细度和技术应用
    02-安全评估及技术检测流于表面——金融机构需提升安全风险检测能力
    03-数据安全能力建设和文化熏陶——金融机构需建立数据安全培养机制
    `

  17. Cyber Defense Matrix – A FRAMEWORK CREATED BY @SOUNILYU TO HELP YOU EXPERTLY NAVIGATE THE CYBERSECURITY LANDSCAPE
    https://cyberdefensematrix.com/
    https://github.com/cyberdefensematrix/cyberdefensematrix.github.io
    https://owasp.org/www-project-cyber-defense-matrix/
    `
    The basic construct of the Cyber Defense Matrix starts with two dimensions. The first dimension captures the five operational functions of the NIST Cybersecurity Framework:
    IDENTIFY – 识别
    PROTECT – 保护
    DETECT – 检测
    RESPOND – 响应
    RECOVER – 恢复

    The second dimension captures five assets classes that we try to secure:
    DEVICES – 设备
    APPLICATIONS – 应用
    NETWORKS – 网络
    DATA – 数据
    USERS – 用户/账号

    When these two dimensions are put into a grid, we arrive at with a five-by-five matrix that we call the “Cyber Defense Matrix.”
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注