三大因素驅動安全高速發展安全進入“工具賦能”階段
近幾年國家對網絡安全的重視有目共睹,網絡安全在千行百業中的部署之所以能夠如此迅速普及,馬虹斌認為離不開三大“引擎”驅動,即政策引導、科技伴生驅動,以及網絡安全攻擊事情的頻發。
他解釋道,2019年等級保護2.0的實施讓很多企業更加重視安全建設,而大數據、云計算、物聯網、移動辦公這些科技在疫情期間的大量應用,也讓企業意識到需要給科技加道“安全鎖”才能更好發揮它們的價值。此外新聞中動輒因安全攻擊導致企業損失慘重的事件,也讓企業領導者緊繃安全這道弦不敢松懈,從側面推動了安全產業的發展。
在馬虹斌看來,安全建設不是一個從無到有的過程,而是一個不斷提升“工具賦能”的建設過程。在安全產品堆積建設中,安全運營和運維能力的建設迫在眉睫,除利用安全工具構建基礎安全架構之外,企業還需要加強安全工具的日常運營,提升自動化響應運維和安全設備協同能力,形成一個“分析-檢測-處置-預防”的閉環。
賦能+協同安全工具原來可以這么用?!
那么安全工具如何為企業賦能呢?馬虹斌以流量分析進行舉例。眾所周知,流量數據一直是安全分析的一個重要手段,安全分析人員可以對已經發生的攻擊行為進行多角度、全方位、可反復的回溯檢測。大多數人一想到流量分析,往往第一個想到的就是原始數據包,其實在大型網絡中除了流量原始數據包分析外,DNS解析記錄和關鍵節點Flow數據也會對整體的分析手段進行賦能。
東華軟件參與的數次攻防演練中,在客戶現場遇到過這樣一個案例,這家客戶企業擁有20多個數據中心,原始數據流在關鍵節點具備采集探針,但是缺乏宏觀的統計分析,當企業想要統計一個月內不活躍的IP數量時,受限于探針的覆蓋范圍有限和響應速度很難快速實現。但是通過flow采集就可以做到,只要網元設備支持flow協議,那么flow數據采集可以實現全網可達分析。于是在攻防對抗準備階段,東華軟件幫助客戶通過flow數據收集,快速統計出了歷史活躍IP,同時與規劃IP做差額減法,很快就鎖定了一部分不活躍資產,從而在演練中高效的縮減了攻擊面。
不僅如此,flow還可以作為在安全攻擊事件發生時固化證據的一個有效支撐手段。曾經有一家企業中了勒索病毒,當東華軟件的安全分析專家檢查主機日志時,發現日志已經被修改,很難界定確認具體爆發時間,但是從flow數據中就發現了3389端口的突發流量時間節點和首發IP,從而快速的確認了勒索病毒影響范圍,再通過范圍內的原始流量探針回溯,很快做出了響應處理,提高了整個檢測的效率。這就是一個很好的“工具賦能和安全協同”的例子。
企業安全怪圈如何破?
既然安全工具能夠為企業賦能,那么是否已經部署了安全工具和平臺的企業就可以高枕無憂呢?事實上,并非如此。
馬虹斌指出,雖然企業動輒安裝了很多安全工具,但是真正實現“工具賦能”并非易事。他表示,由于很多安全工具彼此孤立,即使存在統一管理工具,但是各個異構信息系統無法真正達成安全事件的共享和歸并,管理平臺每天告警事件上千上萬條,但真正能處理的安全事件不到7%。此外企業建設安全團隊難度較大,安全人員匱乏,尤其是考慮到投資回報率之后,很少有企業會堅持投入安全平臺的持續運營服務建設。
事實上,正如馬虹斌所言,不少企業的安全建設似乎進入一個怪圈——安全投資回報率很難衡量,導致企業安全投入就會遲疑,而安全人員投入不到位就只能依托安全工具,而安全工具的孤立又導致安全水平的不穩定……
東華軟件安全運維經驗談
這樣的困局如何破呢?東華軟件在過去服務客戶的經驗中總結了自己的一些經驗:
首先安全建設不能脫離與運維團隊的溝通,單一的堆砌安全產品沒有意義,要把產品或工具融入到日常運維工作中。馬虹斌表示IT運維人員掌握著日常運維操作,非常清楚知道安全痛點在哪里,最容易將安全目標和業務對象做好對應關系,因此安全最好不要獨立在運維之外開展。
其次選擇有實力的服務提供商。要確認廠商的后期服務支持,以及他的固有生態,避免平臺綁架和交付困難。當然有能力的客戶在平臺側建議自研和培養自己的安全團隊人才。
馬虹斌介紹到,東華軟件長期駐扎在用戶現場從事主機和網絡運維工作,有大量專業的運維團隊去服務用戶,協同工作效率非常高。同時又恰恰因為集成商的角色,可以從客戶角度去規劃和協調多個安全廠商進行“協同”發力,此外依托于東華本身的運維產品,可以有效解決在安全建設過程中的流程復雜和閉環困難等問題,深得客戶信賴。像上文中提到的flow分析案例,就是通過東華流量分析產品解決的,這款產品早已廣泛應用于金融、運營商、能源等大型行業客戶。
最后要緊跟安全發展趨勢,順勢而為。馬虹斌認為,未來軟件自主化,硬件平臺國產化的輸入,進而適應更多的“信創”市場需求。同時2020年疫情帶來了大規模移動辦公、遠程辦公的需求,數字化及混合云應用場景的變化,也帶來了新的業務機會,安全服務將會呈現SaaS化趨勢,安全服務托管及代運營等遠程安全服務已經大規模應用。
最后談及安全產業未來發展時,馬虹斌強調,網絡安全領域永遠不會有唯一的解決方案,沒有一家廠商可以搞定所有的安全問題,也不會有萬能鑰匙。這種碎片化的狀態,是問題也是機遇。在企業網絡安全建設領域,東華軟件未來將持續構建安全體系生態,關注新時代網絡安全人才培養,打造網絡安全建設及運營一體化服務能力,為企業信息安全保駕護航。
