三大因素驅(qū)動(dòng)安全高速發(fā)展安全進(jìn)入“工具賦能”階段
近幾年國家對(duì)網(wǎng)絡(luò)安全的重視有目共睹,網(wǎng)絡(luò)安全在千行百業(yè)中的部署之所以能夠如此迅速普及,馬虹斌認(rèn)為離不開三大“引擎”驅(qū)動(dòng),即政策引導(dǎo)、科技伴生驅(qū)動(dòng),以及網(wǎng)絡(luò)安全攻擊事情的頻發(fā)。
他解釋道,2019年等級(jí)保護(hù)2.0的實(shí)施讓很多企業(yè)更加重視安全建設(shè),而大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)辦公這些科技在疫情期間的大量應(yīng)用,也讓企業(yè)意識(shí)到需要給科技加道“安全鎖”才能更好發(fā)揮它們的價(jià)值。此外新聞中動(dòng)輒因安全攻擊導(dǎo)致企業(yè)損失慘重的事件,也讓企業(yè)領(lǐng)導(dǎo)者緊繃安全這道弦不敢松懈,從側(cè)面推動(dòng)了安全產(chǎn)業(yè)的發(fā)展。
在馬虹斌看來,安全建設(shè)不是一個(gè)從無到有的過程,而是一個(gè)不斷提升“工具賦能”的建設(shè)過程。在安全產(chǎn)品堆積建設(shè)中,安全運(yùn)營和運(yùn)維能力的建設(shè)迫在眉睫,除利用安全工具構(gòu)建基礎(chǔ)安全架構(gòu)之外,企業(yè)還需要加強(qiáng)安全工具的日常運(yùn)營,提升自動(dòng)化響應(yīng)運(yùn)維和安全設(shè)備協(xié)同能力,形成一個(gè)“分析-檢測-處置-預(yù)防”的閉環(huán)。
賦能+協(xié)同安全工具原來可以這么用?!
那么安全工具如何為企業(yè)賦能呢?馬虹斌以流量分析進(jìn)行舉例。眾所周知,流量數(shù)據(jù)一直是安全分析的一個(gè)重要手段,安全分析人員可以對(duì)已經(jīng)發(fā)生的攻擊行為進(jìn)行多角度、全方位、可反復(fù)的回溯檢測。大多數(shù)人一想到流量分析,往往第一個(gè)想到的就是原始數(shù)據(jù)包,其實(shí)在大型網(wǎng)絡(luò)中除了流量原始數(shù)據(jù)包分析外,DNS解析記錄和關(guān)鍵節(jié)點(diǎn)Flow數(shù)據(jù)也會(huì)對(duì)整體的分析手段進(jìn)行賦能。
東華軟件參與的數(shù)次攻防演練中,在客戶現(xiàn)場遇到過這樣一個(gè)案例,這家客戶企業(yè)擁有20多個(gè)數(shù)據(jù)中心,原始數(shù)據(jù)流在關(guān)鍵節(jié)點(diǎn)具備采集探針,但是缺乏宏觀的統(tǒng)計(jì)分析,當(dāng)企業(yè)想要統(tǒng)計(jì)一個(gè)月內(nèi)不活躍的IP數(shù)量時(shí),受限于探針的覆蓋范圍有限和響應(yīng)速度很難快速實(shí)現(xiàn)。但是通過flow采集就可以做到,只要網(wǎng)元設(shè)備支持flow協(xié)議,那么flow數(shù)據(jù)采集可以實(shí)現(xiàn)全網(wǎng)可達(dá)分析。于是在攻防對(duì)抗準(zhǔn)備階段,東華軟件幫助客戶通過flow數(shù)據(jù)收集,快速統(tǒng)計(jì)出了歷史活躍IP,同時(shí)與規(guī)劃IP做差額減法,很快就鎖定了一部分不活躍資產(chǎn),從而在演練中高效的縮減了攻擊面。
不僅如此,flow還可以作為在安全攻擊事件發(fā)生時(shí)固化證據(jù)的一個(gè)有效支撐手段。曾經(jīng)有一家企業(yè)中了勒索病毒,當(dāng)東華軟件的安全分析專家檢查主機(jī)日志時(shí),發(fā)現(xiàn)日志已經(jīng)被修改,很難界定確認(rèn)具體爆發(fā)時(shí)間,但是從flow數(shù)據(jù)中就發(fā)現(xiàn)了3389端口的突發(fā)流量時(shí)間節(jié)點(diǎn)和首發(fā)IP,從而快速的確認(rèn)了勒索病毒影響范圍,再通過范圍內(nèi)的原始流量探針回溯,很快做出了響應(yīng)處理,提高了整個(gè)檢測的效率。這就是一個(gè)很好的“工具賦能和安全協(xié)同”的例子。
企業(yè)安全怪圈如何破?
既然安全工具能夠?yàn)槠髽I(yè)賦能,那么是否已經(jīng)部署了安全工具和平臺(tái)的企業(yè)就可以高枕無憂呢?事實(shí)上,并非如此。
馬虹斌指出,雖然企業(yè)動(dòng)輒安裝了很多安全工具,但是真正實(shí)現(xiàn)“工具賦能”并非易事。他表示,由于很多安全工具彼此孤立,即使存在統(tǒng)一管理工具,但是各個(gè)異構(gòu)信息系統(tǒng)無法真正達(dá)成安全事件的共享和歸并,管理平臺(tái)每天告警事件上千上萬條,但真正能處理的安全事件不到7%。此外企業(yè)建設(shè)安全團(tuán)隊(duì)難度較大,安全人員匱乏,尤其是考慮到投資回報(bào)率之后,很少有企業(yè)會(huì)堅(jiān)持投入安全平臺(tái)的持續(xù)運(yùn)營服務(wù)建設(shè)。
事實(shí)上,正如馬虹斌所言,不少企業(yè)的安全建設(shè)似乎進(jìn)入一個(gè)怪圈——安全投資回報(bào)率很難衡量,導(dǎo)致企業(yè)安全投入就會(huì)遲疑,而安全人員投入不到位就只能依托安全工具,而安全工具的孤立又導(dǎo)致安全水平的不穩(wěn)定……
東華軟件安全運(yùn)維經(jīng)驗(yàn)談
這樣的困局如何破呢?東華軟件在過去服務(wù)客戶的經(jīng)驗(yàn)中總結(jié)了自己的一些經(jīng)驗(yàn):
首先安全建設(shè)不能脫離與運(yùn)維團(tuán)隊(duì)的溝通,單一的堆砌安全產(chǎn)品沒有意義,要把產(chǎn)品或工具融入到日常運(yùn)維工作中。馬虹斌表示IT運(yùn)維人員掌握著日常運(yùn)維操作,非常清楚知道安全痛點(diǎn)在哪里,最容易將安全目標(biāo)和業(yè)務(wù)對(duì)象做好對(duì)應(yīng)關(guān)系,因此安全最好不要獨(dú)立在運(yùn)維之外開展。
其次選擇有實(shí)力的服務(wù)提供商。要確認(rèn)廠商的后期服務(wù)支持,以及他的固有生態(tài),避免平臺(tái)綁架和交付困難。當(dāng)然有能力的客戶在平臺(tái)側(cè)建議自研和培養(yǎng)自己的安全團(tuán)隊(duì)人才。
馬虹斌介紹到,東華軟件長期駐扎在用戶現(xiàn)場從事主機(jī)和網(wǎng)絡(luò)運(yùn)維工作,有大量專業(yè)的運(yùn)維團(tuán)隊(duì)去服務(wù)用戶,協(xié)同工作效率非常高。同時(shí)又恰恰因?yàn)榧缮痰慕巧梢詮目蛻艚嵌热ヒ?guī)劃和協(xié)調(diào)多個(gè)安全廠商進(jìn)行“協(xié)同”發(fā)力,此外依托于東華本身的運(yùn)維產(chǎn)品,可以有效解決在安全建設(shè)過程中的流程復(fù)雜和閉環(huán)困難等問題,深得客戶信賴。像上文中提到的flow分析案例,就是通過東華流量分析產(chǎn)品解決的,這款產(chǎn)品早已廣泛應(yīng)用于金融、運(yùn)營商、能源等大型行業(yè)客戶。
最后要緊跟安全發(fā)展趨勢,順勢而為。馬虹斌認(rèn)為,未來軟件自主化,硬件平臺(tái)國產(chǎn)化的輸入,進(jìn)而適應(yīng)更多的“信創(chuàng)”市場需求。同時(shí)2020年疫情帶來了大規(guī)模移動(dòng)辦公、遠(yuǎn)程辦公的需求,數(shù)字化及混合云應(yīng)用場景的變化,也帶來了新的業(yè)務(wù)機(jī)會(huì),安全服務(wù)將會(huì)呈現(xiàn)SaaS化趨勢,安全服務(wù)托管及代運(yùn)營等遠(yuǎn)程安全服務(wù)已經(jīng)大規(guī)模應(yīng)用。
最后談及安全產(chǎn)業(yè)未來發(fā)展時(shí),馬虹斌強(qiáng)調(diào),網(wǎng)絡(luò)安全領(lǐng)域永遠(yuǎn)不會(huì)有唯一的解決方案,沒有一家廠商可以搞定所有的安全問題,也不會(huì)有萬能鑰匙。這種碎片化的狀態(tài),是問題也是機(jī)遇。在企業(yè)網(wǎng)絡(luò)安全建設(shè)領(lǐng)域,東華軟件未來將持續(xù)構(gòu)建安全體系生態(tài),關(guān)注新時(shí)代網(wǎng)絡(luò)安全人才培養(yǎng),打造網(wǎng)絡(luò)安全建設(shè)及運(yùn)營一體化服務(wù)能力,為企業(yè)信息安全保駕護(hù)航。
