【专家分享】王泽玺:基于运营体系,构建平战一体化防护能力

2022-01-06 13:39:41  来源:

摘要:在12月11日下午的安全专场活动中,深信服北京分公司技术总监王泽玺发表主题演讲——《基于运营体系,构建平战一体化防护能力》,以下是演讲实录:
关键词: 深信服,CIO领域,王泽玺,CIO时代,互联网行业
作为中国CIO领域的极具影响力的互联网行业盛会,2021年12月10-12日,“第七届中国行业互联网大会暨CIO班16周年年会”在北京召开。本次大会由电子工业出版社和CIO时代联合主办,《中国信息化》杂志社协办,新基建创新研究院作为智库支持单位。本次大会汇聚了数智时代的顶尖行业专家、研究学者、优秀CIO群体和科技服务商,聚焦大会主题“数字化赋能产业大变革”纷纷发表重要观点。
 
在12月11日下午的安全专场活动中,深信服北京分公司技术总监王泽玺发表主题演讲——《基于运营体系,构建平战一体化防护能力》,以下是演讲实录:

\

\
 
各位嘉宾,大家好! “十四五”规划里明确提出了加速数字化转型目标,打造数字经济的新优势。在数字化转型落地过程中,应用到云、数据等技术,伴随着新机遇也面临着新的安全风险,如云原生风险、物联网亚终端接入风险。据Gartner分析报告显示,大部分用户做业务上云、建设远程移动互联时,投资重点首要考虑的是安全性问题。其次,从攻击者视角来看,现在的攻击都是有规模、有组织的黑客团队,为了经济利益,甚至是政治利益而去开展持续性的APT攻击。这对于关键基础设施的单位或者一般政府单位、事业单位来讲,组织能力、安全技术建设能力、流程建设能力都面临着巨大挑战。最后,从政策变化来看,合法合规、以攻促防需双管齐下。《网络安全法》、等保2.0标准、《关键信息基础设施保护条例》等为基础安全运营提供了标准框架。

\

实战中有没有效果要靠运营流程来检验。国家级包括各行业级、省市级的攻防演习已经常态化,这就是用来检验运营攻防能力能不能在实战化场景下抵御复杂的攻击手段。网络安全建设不仅需要合法合规,还需要真正的持续有效。

\

此外,实战化中威胁最大的是未知的威胁。据数据统计,每秒钟在互联网上会产生4个新的恶意攻击,一年就是1.2亿。因此我们需要建立多点协同防控机制和非常强大的威胁情报,以及真正有攻击来的时候,能够及时溯源、反制、对抗。

\

因此,构建安全运营需要具备平战一体化能力。根据积累的攻防演练以及安全运营中心经验来看,总结出四个短板问题。第一,风险难管控。资产规模大、多云环境较普遍,多云多地业务分布、资产分散……第二,集团性企业最薄弱的地方是集团建设的很安全,技术体系、管理体系很完善,但下属单位、二三级单位风险较大,很有可能在实战化中就成了黑客入侵的入口并进行扩散。这个过程中面临的是没有办法在所有的下级单位都能安排专业的安全人员,也没有办法在所有下级单位都有完善的建设。第三,安全设备没有很好的发挥价值。部署了,但设备终究是工具、组件,没有发挥价值。这是要靠安全管理和安全运营的人员,利用工具去做攻防对抗、安全分析产生价值,但往往很多用户缺少把组件用好的能力。当检测到威胁时,要有人工通报机制。第四,平战差距大,战时投入很多资源。拿护网来讲,单位平常可能只有四、五个安全运维人员,到攻防演练的时候,发现通过安全厂商、服务商的人员驻场,一下子来七、八十人的团队,两周演习结束后又只剩四、五人继续对抗。虽然在演习过程中投入资源确实能保障效果,但要考虑到黑客真正攻击不是演习,随时可能发生,因此,对战时能力最好的建设是做好平时常态化安全运营,战时叠加高级能力。
 
人机共智的实战化理论

\

以最终保护业务作为核心目标,体系合规是基石,常态保护和实战有效是最关键的能力。平时即战时,平时就能够很好的整合人员、机制、流程、安全组件,按照机制流程去做,当真正面临实战化演习或真正攻防对抗时,就可以很好将日常沉淀下来的机制、流程、经验、应用去发挥。
 
从政策角度来说,等保和关基保护条例里对于安全运营的建设有几个核心能力的要求:像监测预警、人员保障、机制流程等。
 
\

如何建设贴合用户实际的网络和业务场景,并且真正能发挥出价值的实战有效的安全运营体系?深信服安全运营建设理念是这样的:首先安全运营的本质是整合人员、工具、流程,三者有机整合,甚至是跨厂商、跨生态,应该站在用户视角,根据实际需求结合起来。其次,需要重点构建资产和脆弱星管理、监测预警与分析研判,以及响应闭环和沉淀优化三大能力。无论是常态化运营还是实战化运营,都最关键、最需要。最后把人员、工具、流程、能力整合起来,提高整体安全运维效果,体现价值。

\

实际上,建设安全运营中心或者安全运营体系会出现两种现象,一是前面提到的构建人员、工具、流程整合,另外是人机共智、云地协同。在本地,需要安全工具、安全平台、安全人员,同时为了保证真对抗事件发生时,调用安全高级能力有保障。如图所示,在平台工具上云协同,人员、专家层做云地协同。当本地安全工具、安全人员资源有限的时候,云端是有安全专家和更强的安全分析对抗能力,实现联动对抗的效果。
 
平战一体化的防护体系

\


这是一张面向企事业单位如何做平战一体化的框架图。首先按照等保2.0、关基保护条例等把基础能力打造好,然后构建起平时常态化安全运营机制和流程。围绕四个抓手、四个要素为重点,做好日常运营、资产管理、漏洞管理、威胁管理以及事件管理。最后,在战时只需要增加作战能力,如全天候监测预警、溯源反制、威胁狩猎等,实现平滑过度,平时常态化安全运营,战时叠加高级作战能力挂图作战,做好应急对抗。

\

深信服提供广泛的安全运营类产品及服务,如态势感知、防火墙、终端安全等安全组件,还有云端安全运营中心安全服务,两者结合。同时构建了三层安全人员团队,可以派驻现场,或者T1人员做现场支持,到确实要做威胁件、溯源反制、对抗时,云端T2、T3辐射到更多用户和行业中,三者协同配置。

\

常态化保护的关键是做到常态化,真正不间断。最大优势是采用云地协同、人机共智模式后,可以提供7×24小时不间断的威胁监测和主动响应能力。常态保护还包括资产和脆弱性管理,通过本地、通过工具先去做数据排查,在云端安全运营团队做探测,最后双方做信息校验,形成结果。在监测预警分析与研判上,本地有安全设备、安全工具来去采集信息,可以做基本初级的分析研判。但确实有未知的威胁或者需要做深度分析的风险时,可以同步到云端,再由云端T2、T3更高级的安全人员做分析,再生成相关规则同步到本地,这也是云地协同模式。高效闭环响应:本地人员可以处置的都处置掉,需要深入分析和检验的,完成后生成规则,再回到云端做检测和排查,最后同步到本地下发。

\

常态化安全运营还需要通过数字化手段展示出来,有多少资产,面临哪些威胁,哪些攻击事件我是否能够处置,处置率多少,把这些展现出来。
 
实战更要的是基于攻击视角、攻击链条来看他在做什么,然后无论在最开始的踩点侦查,还是中间的定点突破以及横向扩散,这些都是T1、T2、T3三级人员协同,以及针对资产漏洞和实践管理都有。

\

在实战化当中最需要、最关注的两个能力:第一是威胁分析能力。威胁分析能力很多安全公司都在探索,深信服基于usecase去组合、调动现在各个安全组件,有终端、云、边界、检测等场景。

\

如何用高效的方式关联分析发现威胁IP呢?举个例子,如图,采用的原理是采集了两部分日志,一部分是VPN登录日志,一部分是同事在公司的刷卡门禁记录。建立的规则是,假如同一个客户5分钟内或者更短时间1分钟内,既登陆了SSRVPN,又有单位门禁刷卡的记录,基本上会把它定位成可疑行为,或者直接把这个行为定义成疑似攻击事件,因为SSRVPN一般情况下证明我肯定在那里,但是一分钟之内又检测到了在刷门禁记录,将这两个日志关联分析形成了一个usecase。这个应急的就是未知威胁,定义为潜在风险,可能会导致VPN账号或者门禁卡消失。

\

第二个能力是利用SOAR实现高效响应闭环。核心是将经验和能力沉淀下来,应用到后续安全事件的处置和决策当中。举例说明下,假如说现在安全运营平台识别到一个攻击行为,按照以往经验来讲,下一步是做详细分析,分析后在防火墙上做执行策略。当执行过一次案件后就是经验,沉淀下来就变成了雷同,以后检测到这样的病毒时,直接形成自动化手段调动各个安全组件,实现处置,这就是实战化的响应能力。

\

深信服安全运营中心,包括安全运营服务构建7×24小时人机共智的监测模式,在云端运营平台、云端专家能力和用户共享,直接赋能给用户。共享厂家安全专家团队,线上线下快速协同处置。同时也帮助用户打造了实际针对各种安全事件能够去做高效处置的流程,实现整体所有的安全事件平均处置时长小于1小时,处置闭环率大于90%的效果。
 
以上是我们今天的分享,谢谢大家。
 

第三十四届CIO班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:baxuedong

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。