谭晓生:用体系化作战思想做好网络空间安全丨CXO主笔团
谭晓生:用体系化作战思想做好网络空间安全丨CXO主笔团
2024-01-01 20:24:38 来源:
抢沙发
2024-01-01 20:24:38 来源:
摘要:12月1日到3日,由工业和信息化部人才交流中心指导,CIO 时代与新基建创新研究院主办,深信服协办的“第四期 CSO(首席安全官)高级研修班”正式开启。12月2日上午,北京赛博英杰科技有限公司创始人、董事长谭晓生带来了名为《用体系化作战思想做好网络空间安全》的专题演讲。
关键词:
网络安全
安全运营
基础能力
CXO主笔团
谭晓生
北京赛博英杰科技有限公司创始人、董事长
高级工程师,正奇学苑网络安全创业营创始人,前 360 集团技术总裁、首席安全官,2020 年获工业和信息化部网络安全产业发展中心首批网络安全创新创业导师称号,2018 年获中国互联网发展基金会网络安全优秀人才称号,中国计算机学会(CCF)理事、副秘书长,CCF YOCSEF 秘书长,2012 年获中关村高端领军人才称号,教育部安全科学与工程类专业教指委委员。
主笔强调:
匹夫无罪,怀璧其罪。不考虑对手的信息安全是自娱自乐。
信息安全是对抗、是刺刀见红的肉搏,是在小黑屋里打群架,是没有硝烟的战争。
静态的防御措施无法阻止蓄意的攻击者,需要随需应变,动静结合,以快打快。
我们做什么不取决于政策、规划,预算和个人意志,应该取决于对手做过什么、还想做什么、能做什么。
安全防御是尽力而为,是鞠躬尽瘁死而后已,是一场资源、时间和精神的消耗竞赛。
12月1日到3日,由工业和信息化部人才交流中心指导,CIO 时代与新基建创新研究院主办,深信服协办的“第四期 CSO(首席安全官)高级研修班”正式开启。12月2日上午,北京赛博英杰科技有限公司创始人、董事长谭晓生带来了名为《用体系化作战思想做好网络空间安全》的专题演讲。
演讲分为挑战,体系,安全运营,基础能力四大篇章。
以下为演讲内容精华的摘录:
挑战篇
随着安全体系建设的演进,攻击也呈现出体系化的发展趋势。针对攻击对象来说,只要有利益、有价值的系统和服务,都存在被攻击的现象,尤其是有影响力的国家级、企业级数据。由于针对安全攻击能够带来高回报率,所以越来越多的活跃数据正在被安全攻击团伙进行全面研究,琢磨如何去精准打击。
在攻击特点上,这些攻击正在变得聪明和大胆,不仅是蓄意且具备高智力,而且逐渐向拟人化和精密化的方向发展。攻击者们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。
在攻击趋势上,攻击趋势正从“单点突破”向“体系化”转变,攻击手段也越来越专业,甚至攻击任务都出现了“黑产链”、“专业外包”等情况。在这样复杂的进攻下,传统的安全边界或网络隔离策略变得形同虚设。
另外,从攻破到数据被盗窃的时间正在变得越来越短,并且与时间响应与处置时间的差距越拉越大,这就造成了攻防不对称的情况越来越严重。
体系篇
网络安全滑动标尺模型是被广泛接受的一个安全模型。这个模型主要分为五个部分,分别为基础结构安全,纵深防御,态势感知与积极防御,威胁情报,反制五个部分。
基础结构安全是在网络与系统的规划设计、建设和维护的过程中充分考虑安全防护,主要解决“资产—漏洞—配置—补丁”问题的系统安全。
纵深防御是在无人员持续接入的情况下,融合在系统架构之上可持续提供威胁防御和威胁洞察能力的纵深防御体系。纵深防御只有做到防护策略有效性,才能构成坚实的防御阵地。
态势感知与积极防御依托态势感知平台是由分析人员监控、分析、响应和猎杀网络内部威胁并对防御体系进行完善的过程,这部分的关键点是威胁的发现能力和处置威胁的及时性。
威胁情报指的是收集数据,将数据转换为信息,并将信息生产加工为威胁情报产品,以填补已知威胁知识缺口并驱动积极防御的过程。这一部分的关键是情报的覆盖面、时效性和可执行水平。
最后一部分反制,指的是以法律反制措施等形式针对进攻者采取的自我防卫行动。
除了网络安全滑动标尺模型之外,另外一种常用的模型是网络空间防御CDM模型。它是由横轴——识别,保护,检测,响应,恢复;纵轴——设备,应用,网络,数据,用户,依赖程度组成的坐标系。
在这个坐标系中,越靠左越依赖于技术,越靠右越依赖于人。这个坐标系又可以分为结构性感知和态势感知两大部分。在结构性感知是在事前,收集有关状态的信息,从漏洞评估中发现弱点,并为预期行为和互动设定基线,然后进行风险管理;态势感知是在事后收集有关事件和活动的信息,并从中发现漏洞利用的证据并进行调查,并对触发意外状态或行为变化的事件进行事件管理。
安全运营篇
安全运营是安全运维的2.0版本,安全运维一般为单点式的被动防御的状态监测。而安全运营作为升级版,是通过主动防御,安全协同,态势感知打造闭环可控的专业流程。安全运营的范围比安全运维要多很多。
安全运营的能力包括:攻击面管理、威胁狩猎、威胁情报、安全设备运维、取证分析、安全合规管理、安全培训、安全事件响应、安全监控。
为了实现安全运营需要有工具,人,流程形成的稳定铁三角架构。
还需要可以实现敏捷开发的BizDevOps。BizDevOps也称为 DevOps 2.0,是Business(业务)+ Dev(开发)+ Ops(运营),是一种软件开发方法, 它鼓励开发人员、运营人员和业务团队一起工作,以使组织可以更快地开发软件,对用户需求做出更快的响应并最终实现收入最大化。
为了实现高效的主动安全运营体系,还需要有新一代安全运行平台。相比传统安全运营平台,新一代安全运行平台可以跨区域收集来自多种安全设施的检测数据,并对其进行统一的集成、关联和上下文等事件化分析,并以全局视角进行威胁研判,从而获得更准确和全面的检测结果。
同时,这一平台旨在高效集成产品,打破信息孤岛,降低企业内的无效告警和安全运营成本。
这样一个平台具有一体化威胁检测(云/网/端覆盖),AI/ML/UEBA等技术的高效利用,多源数据整合与上下文关联分析,ATT&CK等攻击链覆盖与攻击溯源,API集成与自动化响应的核心能力。
在安全运营服务这一方面,按照目标客群、服务范围、能力边界不同,又分为传统MSS服务(托管式安全服务)和新型MDR服务(托管式检测与响应服务)。MSS服务侧重于管理和维护与安全相关的技术和产品,以保障企业IT基础设施稳定运行为目标,MDR服务则以更高的视角聚焦攻击与威胁,通过云网端数据共享与分析,提升企业在威胁检测与响应处置方面的能力。目前MSS与MDR服务商已呈现融合趋势,未来随着市场服务型需求持续释放,这种融合趋势将进一步加深。
安全运营服务可以拥有更多的中高级安全专家数量,并实现人员高效复用;实现自动化工作流;实现威胁情报能力集成;整合产品、平台;拥有7x24小时的全天候安全监控与报警,并且还有规范的应急响应制度,可输出准确全面的安全分析报告。
基础能力篇
作为一项基础能力,安全云服务是解决网络安全运营问题的重要钥匙。安全云服务会自带安全运营平台,省去客户建设安全运营平台的繁杂工作;还会提供更多优选的安全产品或工具,提供更多专业的网络安全运营人员,更强的威胁情报的获取能力,还可以提供7X24小时运营服务。
安全云服务在效率上更高,总体拥有成本(Total Cost of Ownership,TCO)显著优于自配安全团队。特别是当下在AI加持下,安全云服务会进一步提高效率。
2023年是大模型爆发的一年。ChatGPT取得的成果,已经显示了大模型所取得的巨大进展,IBM在4年前已展示了Qradar与Waston联合进行机器辅助安全运维人员进行安全排查。Microsoft于2023年3月发布Microsoft Security Copilot,ChatGPT所展示的AI能力的巨大进步,引起AI用于网络安全运营的一系列尝试,并且结果可期。
在ChatGPT的触动下,人工智能正在对网络安全进行重塑。几乎传统安全的方方面面,均出现了AI的渗透应用,如,AI驱动的威胁检测、AI驱动的安全运营、AI驱动的云安全等。AI驱动安全以智能识别、认知计算、安全测试自动化等技术为主体,以处理不同类型的安全威胁和安全事件的恢复机制为导向,使得网络安全计算过程比传统的安全系统更加自动化和智能化,从而极大提高了处理效率,节约了人工成本。
但是,AI在安全领域的应用尚处于襁褓期,各家的产品发展水平也都良莠不齐。总体来说,理想化的AI驱动安全产品应依赖于高效的模型训练和评估。这需要选择合适的算法和模型架构,并使用大量的高质量数据进行训练,以提高AI模型的准确性和泛化能力。同时,还应进行严格的模型评估,以确保模型在实际场景中表现良好。
内容来源:“第四期 CSO(首席安全官)高级研修班”研修课程整理
·END·
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
