最近,学习了一些安全知识,想提升一下自己的信息安全防护意识。虽说技术上没什么收获,但是在安全框架上有了一些新的,全局的认知。
最后只学到八个字,态势感知和攻击溯源。
企业架构里的定海神针
无论什么系统,都离不开安全。回忆一下,是不是每次讲系统架构PPT的时候,不管左边怎么划分层次,最右边都有一根粗壮有力的长条,竖在那里,上边写着“安全”字样,好像一根定海神针。
自打“棱镜门”事件之后,感觉信息安全一下子就被提到很高的高度上。从公司组织架构的变革上就可见一斑,开始有了专职的安全团队,专人专岗,而且建制也在逐步提高,从处到部。一时间,安全团队在组织中的地位水涨船高。
高层领导曾说过,“没有网络安全就没有国家安全”,随着《中华人民共和国网络安全法》的颁布,安全团队的话语权更重了。
《隐秘的角落》与态势感知
安全圈里,除了黑产和暗网,还有大量敌对势力的黑客,他们都藏在隐秘的角落里,不但谋取经济利益,还从事非法的网络破坏活动,让信息安全充满了威胁与挑战。
以前总说老外会讲概念,就好像当年IBM的电子商务随需应变和智慧地球。
这一次,我国的信息安全行业也充分领悟了高层的讲话内容,迅速达成共识,于是有了国产版的“态势感知”。
套用某服务商的描述,一种基于时间和空间的环境要素,动态,整体洞悉安全风险能力,从全局视角提升对安全威胁的发现识别、理解分析和响应预警能力的一种方式,并预测他们即将呈现的状态,以实现决策优势。
态势感知,听上去很高大上,但是说白了,核心就是做了个以安全为主题的大数据项目。通过对相关安全设备和IT资产的实时数据采集,把安全相关日志进行归集,将原本分散的孤立事件进行关联,建立一个大数据智能分析平台,其中包括业务画像,资产风险等模型和视图。
不过,由于国内安全生态中厂商林立,导致态势感知在数据整合这一层进行系统集成时会遇到一些困难,项目落地应该是一项复杂的系统工程。
《无证之罪》与攻击溯源
法制社会,办案是讲求证据,官方解读是,应提出确实、充分的证据,并运用证据加以证明,而且对于证据还要排除合理怀疑。
具体到信息安全防护上,则是“谁主张,谁举证”,不是简单的指出是谁攻击你了,而是你要用证据证明对方入侵的路线,作案的手段,对你造成的影响,将整个攻击事件还原,并呈现出完整的证据链。
攻击溯源看似简单,但是技术含量其实非常高。首先你要能识别攻击,才能有然后。真正的高手会用你知道的手段去攻击你吗?
面对当时跟我分享的“中睿天下”的高手,我就想,若没实战攻防过,他怎么知道这么多手段呢。就好像《无证之罪》中的法医骆闻,因为熟悉公安的办案手法和流程,才有相当强的反侦查能力和手段。
还是SOC套路深
之前把态势感知比作日志派,攻击溯源比作流量派,以为泾渭分明。后来发现,还是自己肤浅了。
前阵子求教IBM,交流QRadar,开始没多久,一张PPT就吸引了我,因为刚想问是哪个技术派别的,结果PPT就给了答案,原来是个混合派,QRadar强调日志和流量的结合。
在安全这个领域,老外讲的概念是SOC(Security Operating Center),讲求的是人员,流程和技术的有机结合。
以往讲安全,感觉更多的是做安全项目,但是这些系统往往都是聚焦于某个点,解决某个具体领域的风险,就好像病毒防护、漏洞扫描等,但不同系统之间相互孤立。
随着网络攻击手段越来越隐蔽,单纯依靠某个点的安全防护,很难抵御多变的攻击行为,所以需要在现有的基础防护体系上建设一个全面,智能、可视化的安全运营中心。
通过SOC,为信息安全工作提供统一的运营平台,同时借鉴大数据,人工智能等新技术,全面提升安全态势的感知能力。
其实,我觉得外国的SOC和我们国产的态势感知,大同小异。
安全管理那点事
安全涉及的内容太多,对技术理解有限,谈谈日常工作中的一点心得。
你过了ISO20000和ISO27001,你也过了等保,可是你实际的安全防护水平是什么?
对于IT内审,感觉每次都是揪着那些条条框框去卡,给不出啥针对性建议,如果审计本身已经不是面向实战,而是面向规则,那么有规则就很可能有漏洞,而有漏洞就一定有安全隐患,就像安全的专业人士也抨击友商,说他们是基于既有规则进行判断的,技术落后。
是软件就有bug,是系统就有漏洞,所谓的安全基线也是有时效的,安全防护也永远都是在路上。
感觉隔三差五的就有安全威胁情报,然后就是一系列的安全处置,这背后考察的不仅是安全的识别和预警,更是在考察执行效率。
记得2014年,ShellShock刚被爆出来,那会我正在学习Puppet,当时360就分享过他们如何给海量服务器快速修补漏洞的经验。还有后来的WannaCry勒索病毒,不一而同。
运维响应和执行效率其实是对安全的有效支撑,根据我的经验,技术上的解决方案不是问题,真正的问题其实是基线管理。
可惜,在基线管理这个问题上,我并没有找到最佳实践。只能说,在相对可控的时间范围内可以维持。
不过,随着技术的演进,从主机、虚拟化、再到容器化,甚至是最新的FaaS,我感觉未来,随着相关业务逻辑和基础架构的逐步解耦,会让基线升级的成本变低,从而使基线管理这个问题变得简单。
总之,对于安全管理,不管是态势感知还是攻击溯源,除了安全产品和技术本身之外,最后都会聚焦到资产的识别和管理上,从而引发出海量资产管理的运维基线和效率问题。
{2}
细细的红线
未来的信息安全管理,应该是人机合一,一个靠谱的具有实时分析和威胁感知能力的系统平台,在再搭配一个训练有素的安全运营团队,我想,大概就可以从容应对攻防演练了。
总之,信息安全无小事,每个人在做好隐私防护的同时,也应该提升各自岗位的防护意识,避免触及信息安全这根细细的红线。
添加微信免费获取完整网络安全方案
微信号:landuiyun001
