三大因素驅(qū)動安全高速發(fā)展安全進入“工具賦能”階段
近幾年國家對網(wǎng)絡(luò)安全的重視有目共睹,網(wǎng)絡(luò)安全在千行百業(yè)中的部署之所以能夠如此迅速普及,馬虹斌認為離不開三大“引擎”驅(qū)動,即政策引導(dǎo)、科技伴生驅(qū)動,以及網(wǎng)絡(luò)安全攻擊事情的頻發(fā)。
他解釋道,2019年等級保護2.0的實施讓很多企業(yè)更加重視安全建設(shè),而大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、移動辦公這些科技在疫情期間的大量應(yīng)用,也讓企業(yè)意識到需要給科技加道“安全鎖”才能更好發(fā)揮它們的價值。此外新聞中動輒因安全攻擊導(dǎo)致企業(yè)損失慘重的事件,也讓企業(yè)領(lǐng)導(dǎo)者緊繃安全這道弦不敢松懈,從側(cè)面推動了安全產(chǎn)業(yè)的發(fā)展。
在馬虹斌看來,安全建設(shè)不是一個從無到有的過程,而是一個不斷提升“工具賦能”的建設(shè)過程。在安全產(chǎn)品堆積建設(shè)中,安全運營和運維能力的建設(shè)迫在眉睫,除利用安全工具構(gòu)建基礎(chǔ)安全架構(gòu)之外,企業(yè)還需要加強安全工具的日常運營,提升自動化響應(yīng)運維和安全設(shè)備協(xié)同能力,形成一個“分析-檢測-處置-預(yù)防”的閉環(huán)。
賦能+協(xié)同安全工具原來可以這么用?!
那么安全工具如何為企業(yè)賦能呢?馬虹斌以流量分析進行舉例。眾所周知,流量數(shù)據(jù)一直是安全分析的一個重要手段,安全分析人員可以對已經(jīng)發(fā)生的攻擊行為進行多角度、全方位、可反復(fù)的回溯檢測。大多數(shù)人一想到流量分析,往往第一個想到的就是原始數(shù)據(jù)包,其實在大型網(wǎng)絡(luò)中除了流量原始數(shù)據(jù)包分析外,DNS解析記錄和關(guān)鍵節(jié)點Flow數(shù)據(jù)也會對整體的分析手段進行賦能。
東華軟件參與的數(shù)次攻防演練中,在客戶現(xiàn)場遇到過這樣一個案例,這家客戶企業(yè)擁有20多個數(shù)據(jù)中心,原始數(shù)據(jù)流在關(guān)鍵節(jié)點具備采集探針,但是缺乏宏觀的統(tǒng)計分析,當企業(yè)想要統(tǒng)計一個月內(nèi)不活躍的IP數(shù)量時,受限于探針的覆蓋范圍有限和響應(yīng)速度很難快速實現(xiàn)。但是通過flow采集就可以做到,只要網(wǎng)元設(shè)備支持flow協(xié)議,那么flow數(shù)據(jù)采集可以實現(xiàn)全網(wǎng)可達分析。于是在攻防對抗準備階段,東華軟件幫助客戶通過flow數(shù)據(jù)收集,快速統(tǒng)計出了歷史活躍IP,同時與規(guī)劃IP做差額減法,很快就鎖定了一部分不活躍資產(chǎn),從而在演練中高效的縮減了攻擊面。
不僅如此,flow還可以作為在安全攻擊事件發(fā)生時固化證據(jù)的一個有效支撐手段。曾經(jīng)有一家企業(yè)中了勒索病毒,當東華軟件的安全分析專家檢查主機日志時,發(fā)現(xiàn)日志已經(jīng)被修改,很難界定確認具體爆發(fā)時間,但是從flow數(shù)據(jù)中就發(fā)現(xiàn)了3389端口的突發(fā)流量時間節(jié)點和首發(fā)IP,從而快速的確認了勒索病毒影響范圍,再通過范圍內(nèi)的原始流量探針回溯,很快做出了響應(yīng)處理,提高了整個檢測的效率。這就是一個很好的“工具賦能和安全協(xié)同”的例子。
企業(yè)安全怪圈如何破?
既然安全工具能夠為企業(yè)賦能,那么是否已經(jīng)部署了安全工具和平臺的企業(yè)就可以高枕無憂呢?事實上,并非如此。
馬虹斌指出,雖然企業(yè)動輒安裝了很多安全工具,但是真正實現(xiàn)“工具賦能”并非易事。他表示,由于很多安全工具彼此孤立,即使存在統(tǒng)一管理工具,但是各個異構(gòu)信息系統(tǒng)無法真正達成安全事件的共享和歸并,管理平臺每天告警事件上千上萬條,但真正能處理的安全事件不到7%。此外企業(yè)建設(shè)安全團隊難度較大,安全人員匱乏,尤其是考慮到投資回報率之后,很少有企業(yè)會堅持投入安全平臺的持續(xù)運營服務(wù)建設(shè)。
事實上,正如馬虹斌所言,不少企業(yè)的安全建設(shè)似乎進入一個怪圈——安全投資回報率很難衡量,導(dǎo)致企業(yè)安全投入就會遲疑,而安全人員投入不到位就只能依托安全工具,而安全工具的孤立又導(dǎo)致安全水平的不穩(wěn)定……
東華軟件安全運維經(jīng)驗談
這樣的困局如何破呢?東華軟件在過去服務(wù)客戶的經(jīng)驗中總結(jié)了自己的一些經(jīng)驗:
首先安全建設(shè)不能脫離與運維團隊的溝通,單一的堆砌安全產(chǎn)品沒有意義,要把產(chǎn)品或工具融入到日常運維工作中。馬虹斌表示IT運維人員掌握著日常運維操作,非常清楚知道安全痛點在哪里,最容易將安全目標和業(yè)務(wù)對象做好對應(yīng)關(guān)系,因此安全最好不要獨立在運維之外開展。
其次選擇有實力的服務(wù)提供商。要確認廠商的后期服務(wù)支持,以及他的固有生態(tài),避免平臺綁架和交付困難。當然有能力的客戶在平臺側(cè)建議自研和培養(yǎng)自己的安全團隊人才。
馬虹斌介紹到,東華軟件長期駐扎在用戶現(xiàn)場從事主機和網(wǎng)絡(luò)運維工作,有大量專業(yè)的運維團隊去服務(wù)用戶,協(xié)同工作效率非常高。同時又恰恰因為集成商的角色,可以從客戶角度去規(guī)劃和協(xié)調(diào)多個安全廠商進行“協(xié)同”發(fā)力,此外依托于東華本身的運維產(chǎn)品,可以有效解決在安全建設(shè)過程中的流程復(fù)雜和閉環(huán)困難等問題,深得客戶信賴。像上文中提到的flow分析案例,就是通過東華流量分析產(chǎn)品解決的,這款產(chǎn)品早已廣泛應(yīng)用于金融、運營商、能源等大型行業(yè)客戶。
最后要緊跟安全發(fā)展趨勢,順勢而為。馬虹斌認為,未來軟件自主化,硬件平臺國產(chǎn)化的輸入,進而適應(yīng)更多的“信創(chuàng)”市場需求。同時2020年疫情帶來了大規(guī)模移動辦公、遠程辦公的需求,數(shù)字化及混合云應(yīng)用場景的變化,也帶來了新的業(yè)務(wù)機會,安全服務(wù)將會呈現(xiàn)SaaS化趨勢,安全服務(wù)托管及代運營等遠程安全服務(wù)已經(jīng)大規(guī)模應(yīng)用。
最后談及安全產(chǎn)業(yè)未來發(fā)展時,馬虹斌強調(diào),網(wǎng)絡(luò)安全領(lǐng)域永遠不會有唯一的解決方案,沒有一家廠商可以搞定所有的安全問題,也不會有萬能鑰匙。這種碎片化的狀態(tài),是問題也是機遇。在企業(yè)網(wǎng)絡(luò)安全建設(shè)領(lǐng)域,東華軟件未來將持續(xù)構(gòu)建安全體系生態(tài),關(guān)注新時代網(wǎng)絡(luò)安全人才培養(yǎng),打造網(wǎng)絡(luò)安全建設(shè)及運營一體化服務(wù)能力,為企業(yè)信息安全保駕護航。
