企业安全威胁简述 – 作者:阿尔法之梦

企业面临的威胁可以说是来自四面八方，既有恶意的外部攻击者，也不排除来自内部的安全隐患。往往在不经意间，又可能引入新的安全因素，也有可能在输出产品时给其他企业带来安全风险。大而言之，企业的威胁从个人理解的角度出发，大致可以分为以下几点：

• 输入威胁

• 内部威胁

• 外部威胁

• 输出威胁

• 

****  输入威胁分析 **** 

• 输入：第三方软件系统上线

• 输入：第三方硬件设备入网

• 输入：第三方开源框架与组件

企业常常需要向其他公司采购软、硬件设备，或采用第三方开源框架与组件进行开发。相关部门如果缺乏安全意识，就很有可能不经过任何安全相关评估，将安全风险带到公司，比如：买到即上线。然而对于一些稍有安全意识的公司，会对引入的产品进行安全评估，起初是这样一种情形：费&累

等待信息安全组沟通、验证回归漏洞完毕后，继续走流程购买付款，然后系统正式上线。在整个过程中，可见安全已经介入但出现较晚，导致的后果就是“费时费力帮别人家的产品做安全”。除此之外，再分享一个不靠谱的现象：飘&虚

难怪隔行如隔山，此类大跌眼镜、没有把安全落到实处的情形，估计还有不少。那问题来了，如何有效的对输入威胁进行有效控制？显而易见的是需要将安全提前，在业务方进行需求分析时，便把安全因素加入其中，成为需求的一个环节，在产品选型时可由安全组相关同事进行把关，可参考是否具有第三方安全机构出具的报告，可询问是否自行做过安全测试等保证产品安全性的流程。如果需要更进一步的确认，可以进行“抽样”式安全测试，对涉及到敏感数据环节或重要操作进行安全评估。

****  内部威胁浅析  **** 

企业内部威胁主要来自于人，如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量，比如：

 实际遇到的情况会比列出来的多、复杂的多、隐蔽的多，但在面对诸多威胁的时候，应该具备发现问题的眼光并深入下去，找到企业欠缺之处的根源，从源头进行修补。没有制度就制定并推行制度，安全意识不足就全员推送安全意识并坚持下去。以安全意识为例，可从视培读写四个方面开展：

****  外部威胁粗析 ****

竞争对手的长期觊觎，导致雇佣黑客攻击的恶意竞争；

业务发展壮大安全跟不上，导致不法分子的获利攻击；

公司架构采用主流与非主流框架，出现0day时的攻击；

……

“与其落后挨打，不如主动求变”，企业的安全建设只有主动将救火阶段慢慢的转到安全建设，才能在遭受外部攻击时稍微淡定一点。

****  输出威胁剖析 ****

• 技术输出：分享到外部的技术文档与其他资源存在安全缺陷，被其他人员当做模板使用。

• 产品输出：本身产品存在安全隐患，导致恶意攻击者恶意利用漏洞，或私藏后门开关按钮被外部发现且恶意利用。

公司产品（系统）严格控制经过安全测试后，再投入生产及交易。有条件的或时机成熟的公司，落地版的SDL走一遍，不仅是对客户负责，更有可能避免了以后某一天遭到曝光或攻击带来的麻烦。

原文发布于微信公众号 – 我的安全视界观（CANI_Security）

来源：freebuf.com 2018-07-01 17:48:39 by: 阿尔法之梦