应用安全运营概念
时间:2023年5月6日 星期六
作者:小王
安全运营的实践的主要目的是保护资产,有助于识别威胁和漏洞,并实施控制来降低组织资产的整体风险。
1.知其所需(need to know)
强制要求授予用户仅访问执行工作所需数据或资源的权限,通常与安全许可(security clearance)有关,约等于权利(right),即拥有访问数据的资格。
2.最小特权(least privilege)
一般不选
主体被授予完成工作所需的特权,而不再被授予更多特权。与知其所需的区别包括适用范围广,即不仅适用于访问数据,还适应于系统访问;最小特权包括权利和权限,而知其所需更多的偏向于权利。
3.职责分离(SoD)
职责分离确保一个人无法完全控制关键职能或系统,即一个人无法破坏系统,有助于防止欺诈、串通等行为。
4.双人控制(two-person control)
需要两个人对关键人物进行批准才可进行,可实现同行评审、减少欺诈和串通。
5.拆分知识(split knowledge)
将职责分离和双人控制整合成一个解决方案。
6.岗位轮换(job rotation)
员工定期更换工作职责,可实现同行评审、减少欺诈并实现交叉培训。
7.强制休假(mandatory vacation)
强制员工休假一周或两周,有助于发现欺诈和串通行为。
8.特权账户管理(PAM)
限制对特权账户的访问,或检测账户何时特权提升,以及监控特权账户的行为操作,可使用SIEM用以监测特权提升活动,还可以发现高级持续性威胁(APT)。
9.服务水平协议(SLA)
服务水平协议是组织与供应商之间签订的协议,用以确保供应商提供的产品或服务满足性能要求,通常包含处罚条款。
除了SLA外,还会签订谅解备忘录(MOU)或互连安全协议(ISA),但不涉及处罚条款。
常见协议
OLA服务
NDA
NCA
MAA