雷锋网编者按:在越来越复杂的威胁和挑战下,企业安全体系应该怎么建设?十多年前,我们觉得部署几台设备和一些规则就可以,但实践证明不可行。安全不是静态,而是一个动态过程,需要持续的监控和分析。这就是绿盟科技的高级副总裁叶晓虎对于企业安全运营的基本观点。以下是叶晓虎最近在第25届中国国际金融展上对企业安全运营的详细阐述,在不改变愿意的基础上,雷锋网编辑对其演讲全文略有删减,小标题为雷锋网编者所加。
--
实际上,安全的日常工作没有发生更多改变,还是围绕核心资产做漏洞检测,事件的响应、调查的取证和持续改进。今天所发生的变化是——日常工作里所产生的一些数据要积累起来,对这些数据进行持续监控和分析。以这些数据为基础,建设相应的能力,包括态势感知、综合防御、预警监控、应急处置以及协同运营的能力。
企业安全运营需要的数据体系是怎样的?我认为可以分两大类。
一类是内部情报。也就是说,企业在运营过程中,在业务环境,内部业务环境中产生的相关的数据,包括流量、IP、域名、URL、帐号等。
一类是外部情报,引入第三方权威机构的数据,包括漏洞情报、威胁情报等。
通过对“内部情报+外部情报”,可以形成相对完整的数据体系。在这些数据体系之上,建设相关的安全能力。
利用这些数据,可以看到企业的安全态势情况,对发生的安全事件进行回溯、取证、分析,针对威胁的情况,判断下一步可能发生的风险隐患在什么地方。根据企业不同业务情况,可以来建设对应的入侵态势、DDoS 攻击的态势和网络安全态势。
同时,还可以建设对应的预警监控的能力。通过建设监控系统,可以看到企业暴露在互联网上面的资产情况,监控漏洞披露的情况、漏洞在黑客社区里面的活跃度、工具利用的热度以及相应的情报。通过采集这些情报,可以在企业本地网络进行资产核查,资产的核准包括对应的漏洞预警工作。
漏洞生命周期管理是安全管理中一个很基础的课题,几乎所有的报告都会提到安全团队的人数是不够的,但是企业的业务快速发展,资产数量变化很快,漏洞披露的数量越来越多,如果按照以往的工作方式,安全团队很难有效对漏洞进行生命周期的管理。
现在,漏洞生命周期的管理也发生了很多变化,更多靠情报驱动。
漏洞的活跃度是怎样的?企业的关键业务资产情况、匹配情况是怎样的?
了解之后,安全团队才能够专注在价值更高的工作上,提高工作能效。同时,企业还可以和专业安全厂家间建立漏洞处置过程,包括基于情报的风险处置,确认真实的威胁范围。
大家肯定听过这样的案例——出了一个威胁,它是针对 Linux 的系统攻击,我的系统是 Windows,还需要关注吗?以前可能需要做确认工作,今天这样的理念已经被大多数安全团队所接受。
基于资产的风险预警,可以在日常工作中收集,建立相应期限。一旦出现相应事件,不再需要紧急扫描。另外,可以把检测和防护结合一体,通过这样的过程可以促使安全厂家的专业安全团队和企业的安全团队建立一套有效的工作流程。在对应的工作流下发给相应的设备,有机完成整个过程。
传统的安全设备、防火墙、WAF 都是根据规则实时的检测威胁情况。未知威胁在模型上需要做更大变化。我们提出了这样一套平台和方案,对于被监控的网络径向它的流量,获取告警数据,把原数据获取下来,包括对于检测网络的扫描数据,存储在一个平台上面。威胁分析师可以在这个平台上面进行威胁的挖掘和捕获,根据攻击模型可以指引他做威胁分析,从而可以发现隐藏在威胁背后的蛛丝马迹。
当然,前面所说的都是我们在网络安全方面所做的工作,但是网络安全的范围也在不停扩展。一些新方法和新技术不断出现,这两年基于行为异常的威胁检测也是大家非常关注的技术方向。
通过建立行为期限,可以为用户的行为进行画像,随后做时间序列的分析,比如,机器学习和挖掘的方法,可以发现高危账户的异常,包括非法内容泄露的可能性。
大多数的业务系统的安全问题在立项的第一天已经出现,这是这两年来整个行业一直在谈的 DevOps的生命周期。
在业务系统需求规划的阶段,就应该引入对应的安全需求,在编码阶段需要对开发人员进行安全规范的培训,在上线发布的时需要做准入安全检查。在建设监的体系、整个运营的过程中,要持续、周期性评估业务系统的安全状况,包括技术手段、测试手段、配置核查的方法,以及漏洞扫描的方法。
企业安全运营不是一个静态的工作,也不仅是企业自身的工作,需要企业、安全厂家以及监管领导机构进行紧密合作。
攻击方的分布很精细,漏洞挖掘工作者在交易平台上发布漏洞,攻击工具的开发者在交易平台上发布攻击工具,一个攻击者可以轻易在交易平台上得到这样的工具,发动一次攻击是成本很低、效率很高的攻击过程。
作为防守方,我们需要经过预警、通报的环节,需要经济配合核查的环节,然后才进入处置阶段。提升防守方分工和协作效率是保持企业高水平安全状态的一个非常重要的课题。
比如,WannaCry 利用的漏洞在 4 月初已经发布了补丁。但是,大多数企业都是在事件发生的当天才进行扫描防备、防护设备、操作系统的升级,这说明企业在安全运营和安全协同运营的过程中,还需要很多改进的空间。
首先,改变对服务的观念,改变预算的决策机制和结构。
第二,企业需要将安全运营能力和开发进行整合。
第三,作为监管合规的限制。大多数安全厂家以前都做安全漏洞研究开发对应的安全产品,今天需要从单点的技术场景转化为解决方案的提供,从产品的交付转变价值能力的交付,这对于安全厂家而言,都是一个很大的挑战。攻防本质是对抗,对抗的背后是攻防双方的能力之间的较量。如果要为用户提供更好的安全服务,安全厂家需要积累更多的安全能力。只有积累更多安全能力,才能够有效的提升对抗水平和速度。我们要探讨如何在监管机构的领导下,企业和安全厂家能够建设有效的协同运营的体系。
【叶晓虎】