freebuf 2020企业安全威胁统一应对指南

20 20 THE 2020 UNIFIED RESPONSE GUIDE FOR ENTERPRISE SECURITY THREATS b u m o c . 5 h t i g 2020 20 关于报告距离《2019企业安全威胁统一应对指南》发布已一年有余。随着网络安全相关的政策法规陆续出台落实、新技术投入应用，网络安全行业进一步发展变化。同时，传统威胁依旧存在，新的威胁与风险层出不穷，给企业安全带来更多挑战。面对2020年愈发严峻的安全形势，企业不仅要严防精心策划的外部攻击，也不能排除来自内部的安全隐患。与此同时，企业安全并非单点安全，而要兼顾到网络、系统、应用、人员、安全管理和运营等方方面面。如何做好企业安全架构与设计，采用哪些安全策略与产品，成为企业安全建设重点。 m o c . 5 FreeBuf咨询针对企业安全最新现状和安全产品发展状况，开展深入调查，并在安全专家和顾问团队的指导下，构建企业威胁应对流程模型，结合理论和实践进行分析，形成《2020企业安全威胁统一应对指南》，旨在为企业安全建设提供从理论到实践的参考。关于FreeBuf咨询 h t i g b u FreeBuf.COM是斗象科技旗下国内领先的网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现专业的研究与咨询服务。目录 1 CATALOG 第一章概述 1.1 前言 02 1.2 2020年国内网络安全态势综述 02 1.2.2 04 1.2.1 法律政策与等保合规 1.2.3 国内网络安全风险现状实战演习驱动安全发展 2 第二章企业安全威胁与应对流程 2.1 03 04 2.2 企业安全体系架构 08 2.1.2 10 2.1.1 法律政策与等保合规 2.1.3 国内网络安全风险现状实战演习驱动安全发展企业安全应对流程 2.2.1 通信网络安全 10 12 12 m o c . 5 抗DDoS 上网行为管理 2.2.2 b u h t i g 09 2.2.3 2.2.4 域名安全安全开发 14 交互式应用程序安全测试 IAST 17 静态应用程序安全测试 SAST 应用防护 15 19 RASP 19 邮件安全 21 WAF 网页防篡改身份识别与访问管理 20 22 23 SSO 23 零信任 24 IDaaS 边界访问控制 23 24 25 堡垒机 25 防火墙/NGFW 26 网络隔离/网闸内容安全 25 27 27 恶意内容检测 27 钓鱼监测 28 舆情监测 2.2.7 13 14 网络准入 2.2.6 12 动态应用程序安全测试 DAST VPN 2.2.5 12 业务风控 28 30 反欺诈 30 验证码安全 32 账户安全 31 目录 2 CATALOG 第二章数据安全 2.2.9 33 加密机 34 容灾备份 35 DLP 数据库安全云安全 35 35 36 云WAF 36 云主机安全 37 云抗DDoS 2.2.10 威胁检测 37 39 恶意软件检测（沙箱） 43 蜜罐 UEBA IDPS 2.2.11 安全情报网络空间资产绘测威胁情报 2.2.12 漏洞检测与管理漏洞检测漏洞管理 2.2.13 事件管理&响应 44 45 46 h t i g 46 48 51 51 51 52 SOAR 53 2.2.15 安全服务 52 54 55 安全咨询与培训教育 55 攻防演练 57 渗透测试安全众测风险评估等保评测/咨询安全靶场 2.2.18 移动安全 66 56 58 58 61 61 热词解释 64 69 第三章网络安全市场发展趋势 3.1 网络安全市场概述 74 3.2 发展趋势 75 参考文献 m o c . 5 b u 44 52 2.2.14 调查取证 3 41 SOC SIEM 2.3 39 NTA/NDR EDR&终端防病毒 61 2.2.17 物联网安全企业安全威胁与应对流程 2.2.8 2.2.16 工控安全附录1 / 应对指南厂商名录附录2 / CCSIP 2020中国网络安全产业全景图 CHAPTER ONE 第一章概述 h t i g b u m o c . 5 第一章概述 1.1 前言距离《2019企业安全威胁统一应对指南》发布已一年有余。近一年来，随着网络安全相关的政策法规陆续出台落实、技术投入应用，带动网络安全行业进一步发展变化。另一方面，传统威胁依旧存在，新的威胁与风险崭露头角，给企业安全带来更多挑战。面对2020年愈发严峻的安全形势，企业不仅要严防精心策划的外部攻击，也不能排除来自内部的安全隐患。在此背景下，网络安全不再是可选项或加分项，已成为企业的核心竞争力。与此同时，企业安全也不是单点的安全，而是关乎于物理、网络、系统、应用、人员、管理和运营等方方面面。与单纯的渗透测试或攻防演练相比，企业安全兼顾了更多的环节，更加需要大局观。在实践中，越来越多的企业意识到，企业安全不仅关乎技术，更关乎体系化的安全架构与设计。《2020企业安全威胁统一应对指南》在之前版本的基础上升级换代，进一步更新、完善企业威胁应对流程模型，并结合理论和应用进行分析，为企业提供从安全策略到安全实践的最新参考。 m o c . 5 我们采用的研究方法如下：问卷调查：通过问卷调查的形式获取多家企业的安全产品以及相应的自评信息，作为基础参考信息；专家访谈：拜访业内安全专家，探讨并记录2020安全行业及企业安全的热点与趋势；权威参考：参考国内外网络安全领域的各类奖项、Gartner魔力象限以及专业机构发布的权威报告等，积累国内安全厂商和安全产品相关信息的数据 b u 库；数据分析：依托多渠道信息，对安全产品进行基于模型的分类，并由专家评审团从品牌影响力、整体创新性、技术先进性、用户口碑等多个维度对厂商及产品进行分析，作为收录依据； h t i g 成果撰写：基于以上资料，编写《2020企业安全威胁统一应对指南》，并以附录形式展示《CCSIP 2020中国网络安全产业全景图》。 1.2 2020年国内网络安全态势综述近年来，全球网络安全行业迎来高速发展期。一场突如其来的疫情，改变不了国内安全市场规模不断扩大、各色安全企业百家争鸣的现状。2020年年底，等保2.0已正式落地一周年，多部网络安全相关法律法规出台实施；社会发展阶段使然，加之新冠疫情因素叠加，各行各业都在加速数字化转型，随之而来的安全问题也就接踵而至；愈加频繁的信息泄露、网络攻击事件，也在刺激着人们的神经。以上种种交织协力，使得网络安全在全国范围内获得了相比往年更高的关注度。在此背景下，企业网络安全需求不断增长，越来越多的经营者与技术人员意识到网络安全建设的重要性与紧迫性。 Balbix.的最新报告显示： 64%的企业对自己的安全状况缺乏信心 90%的企业认为网络钓鱼和勒索软件是他们面临的最大威胁 60%的企业有至少1/4的网络设备未被统计。企业资产安全意识的缺失，是改善安全状况的重大难点 80%的企业员工访问权限都高于完成工作所需的权限 �� 温故而知新，我们有必要对2020年的网络安全现状进行一次系统性的回顾，从中吸取经验，并加以改进。企业安全威胁统一应对指南/02 1.2.1 法律政策与等保合规随着习总书记发表“4·19”重要讲话以及《网络安全法》、《信息安全技术网络安全等级保护基本要求》（以下简称等保2.0）等法律、法规和标准的颁布实施，网络安全的重要性得到越来越多的重视， “没有网络安全就没有国家安全，没有信息化就没有现代化”深入人心。当前环境下，等保合规已成为促进网络安全建设与发展的一大动因，过等保已成为多数大型企业的政策性要求。此外，不少关键行业还要面临相应的安全合规检查。比如拥有支付牌照的支付公司，每年需经过人民银行的多次安全检查，各种合规性要求必须达标。 2020年《数据安全法（草案）》与《个人信息保护法（草案）》的陆续出台，也毫无疑问地对企业数据安全建设提出了全新的挑战。中华人民共和国密码法《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，自2020年1月1日起施行。 m o c . 5 网络信息内容生态治理规定为了营造良好网络生态，保障公民、法人和其他组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规，制定本规定。本规定自2020年3月1日起施行。网络安全审查办法 b u 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。本办法自 2020年6月1日起实施，《网络产品和服务安全审查办法（试行）》同时废止。信息安全技术个人信息安全规范 h t i g 本标准针对个人信息面临的安全问题，根据《中华人民共和国网络安全法》等相关法律，规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。本规范于2020年3 月6日发布，自2020年10月1日起实施。工业数据分类分级指南（试行）为贯彻《促进大数据发展行动纲要》《大数据产业发展规划（2016-2020年）》有关要求，更好推动《数据管理能力成熟度评估模型》（GB/T 36073-2018）贯标和《工业控制系统信息安全防护指南》落实，指导企业提升工业数据管理能力，促进工业数据的使用、流动与共享，释放数据潜在价值，赋能制造业高质量发展，制定本指南。个人信息行为认定方法根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自