企业安全能力框架(IPDRR)
保护实物财产的方法很容易理解,比如人们如何保护自己的个人财产?
识别的第一步肯定是识别哪些资产有自己的风险。例如,现金、金银珠宝、贵重电器、所有权证明、1982年的拉菲、1992年的母亲和胎儿等。这些都是我们需要保护的资产,有被小偷偷走或损坏的风险。因此,我们需要采取一些措施来保护这些资产,比如现金、黄金、白银、宝石。金库里有所有权证书等,比如1982年的拉菲和1992年的茅台,一个酒窖已经适当地关闭了,房子里有防护门、防盗窗等。
布局这是保护的第二步,也是对需要保护的资产的基本保护。这是否足以实现这一目标?当然,这还不够。这只是一个很好的被动防御。我们还需要做好主动防御,即第三阶段的探测。此时,我们需要一些监控设备——摄像头,我们可以有传感器等。我们可以监控我们想要保护的资产,并确认存在什么情况。我们还可以雇佣安保人员进行24小时巡逻,进行实时监控。反应是指检测到故障时的反应行为,如果有人进入,我们会立即报警。或者停车,或者报警。如果有人闯入并损坏了它,他们必须修理它或换上更高、更安全的新门。
这同样适用于企业网络安全。第一步是确认公司的网络安全资产(如核心系统和服务器)位于何处,是否存在漏洞,以及基本配置是否符合要求。然后,还有输入和输出防火墙、主机EDR安装和web服务器WAF保护保证。必须采取基本的保护措施,如确保访问控制和部署IPS设备。基本保护存在后,使用NTA进行流量检测和分析,使用SIEM或协议分析系统仔细连接基本保护设备的警报,并执行安全警报检测和分析操作,操作需要执行和响应。如果检测设备检测到网络安全事件,则必须修补和加强漏洞,以防止IP攻击和其他对策。通过SOAR安全协调和自动响应平台,员工可以与工具和流程协作,以提高对安全事件的响应能力。最后,在发生损坏时恢复到正常状态,并删除、防病毒、重新安装和恢复丢失的主机。
本文将对市场上常见的安全产品进行分类,并将其分配给企业安全能力框架(IPDRR)的五个主要功能。
1、提供识别功能的产品包括资产管理平台、资产映射平台、基线管理平台、漏洞扫描工具等。
2、提供保护功能的产品包括主机防御EDR、VPN、4A、防火墙、IPS、WAF、DOS Resistance等。
3、提供威胁检测功能的产品包括IDS、NTA、蜜罐、恶意代码检测和异常用户行为检测。
4、提供响应功能的产品包括SIEM、安全审计、态势检测、SOAR等。
5、理论上,NG-SOC是提供恢复功能的产品之一,包括所有知识产权功能。
当然,企业的安全能力不能仅仅依靠工具、人员、策略来体现流程和工具的综合能力,组织可以参考企业安全能力框架(IPDRR)能力框架模型,增强网络安全能力,弥补不足,通过管理与技术的结合,有效地保证了系统核心业务的安全。
