产业调研:网络安全运营中心如何建设?| 国君计算机李沐华
产业调研系列
— 作者:安恒信息安全服务专家 —
1 用户目前的网络安全问题有哪些?
总结了用户现在网络安全建设的4个问题,第一个问题就是静态的合规建设已经很难应对当前的严峻形势了。大多数用户在构建安全的时候,都以网络安全法为标准,大多数用户都是为了满足相关的法律要求,还有行业规定,以最低的成本压着及格线。其实用户如果是这种建设的话,其实是很难以应对一些高危风险的攻击的,因为从我们整体安全建设来看,等级保护的要求是很低的,几乎用户买几个盒子类的安全设备、买些安全软件往网络中一部署基本就可以过,那么这个设备究竟有没有用起来、有没有运营起来,这个很关键。
第二块是公安部要求落实“三化六防”新举措。“三化六防”是网络安全要做的实战化、体系化和常态化,那么基于静态合规的这种安全建设其实很难满足这种最新的要求,那么六防包括“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”,静态合规的建设其实是很难满足这些新要求的。
产品的堆砌实现不了安全能力的快速叠加。传统的安全建设就是现状——现在用户安全建设的现状就是安全设备简单的堆砌,比方说出口没有行为管控设备、缺少安全防护措施了,就在出口部署一台防火墙,又例如终端觉得安全性不够,又补上一套终端的安全,这种简单的安全设备的堆砌只能解决单一的问题。很多用户还秉承一种想法——这种安全设备要异构。异构建设采用不同厂家,比如互联网出口的防火墙,服务器端的防火墙,还有其他边界的防火墙,采用不同的安全厂家。这种不同厂家的安全设备堆砌,它的安全数据是彼此孤立的,没有通过数据共享的方式实现这种全网协同,很难打破数据的安全孤岛,所以说不同的防火墙它数据不能共享,就实现不了这种联防联控。
第三个是危险不断升级,威胁不断升级就要求用户有快速的风险预判,还有快速的风险处置的机制。刚才说了我们产品的堆砌不同的数据无法共享,那么在发生网络安全事件的时候就无法进行快速处置,比方说我们出口的防火墙,A厂家的防火墙联动不了,b厂家的杀毒软件无法进行数据共享,这样就无法进行快速处置。比较理想的情况下,就是防火墙在互联网出口发现安全风险,那么可以联动(我们终端的一些防护设备自动进行一些处置),但是现实建设中这种快速处置的机制其实是很难实现的。
第四个是缺乏安全实战能力,近些年体现的比较明显。尤其HW行动中,很多用户都是在重新购买设备、服务,因为它虽然部署了安全设备,但是本地没有专业的安全人员,没有安全人员去利用这些设备去做对抗,去做护网、攻防。同时从当前俄罗斯和乌克兰这边局势来看,其实信息战对网络安全攻防这种实战性要求很高,所以说在这种情况下,用户需要构建一个具备实战能力的安全体系。
2 安全事件发生的原因是什么?
关于信息安全事件,我总结了发生的三大原因。
第一个是人的问题,缺少专业的安全人员,今天讲的是运营和运维,其实它们的概念还是不一样,运营是通过人员把现已有的安全设备网络体系进行更好的赋能,能够发挥出它最大的价值。比方说一个防火墙,因为刚开始部署的时候会给添加一些安全策略,那么网络安全是动态发展的,你昨天部署的策略在今天可能就不够了,今天爆发了新的病毒新的漏洞,那你的策略是需要随之更新的,即安全是一个动态化的过程,它需要专业的安全人员不断的去运营我们的安全设备。很多安全事件都是因为缺乏现场专业人员对设备进行良好运营所导致的,缺乏专业的安全人员的问题也是一个根本的原因。
第二个原因是流程的问题,流程的问题主要是体现在缺少规范的流程指引,例如操作流程不标准,比如我们发现了一个漏洞,应该如何去修补?把这个流程提给谁?修补完了之后如何去检验漏洞修补的工作是否完成,是否解决了安全问题?发生了安全事件,我们的各个用户的各个部门现场的一线的工程师和我们的管理人员如何去配合去解决安全问题,发生了如何做应急响应?以上这些都没有一个标准化的流程。所以说在发生安全事件的时候,处置的方法是因人而异的,有的工程师的经验比较丰富,那么处理的问题比较完善,假如说工程师一变(人员离职等),那么它的流程会发生改变,所以说流程也是一个很大的问题。
第三个是技术问题——缺少一个智能的协调平台,智能平台主要是解决我们全网安全数据孤岛的问题。单点的效果防御差,安全设备彼此孤立,缺少一个智能协同平台把它们全都衔接在一起实现全网的联防联控。技术问题还有安全设备管理布局缺少集中式的服务支撑平台,缺少统一纳管、统一调度、统一分析的技术手段。其实这是安全事件频发的三大原因,人的因素,流程的因素和技术的因素。
今天讲的网络安全运营平台,安全运营平台解决的就是三大问题,包括人的问题,流程的问题和技术的问题。
3 安全运营中心建设思路是什么?
接下来讲安全运营中心解决方案诞生的前因,还有用户现状。
安全运营中心建设的思路要从实战角度理解。合作伙伴再去跟用户去交流的时候,也可以按照这个思路跟用户去交流,把安全建设的思路理清。要想知道安全如何才能体系化、常态化或更加完善,我们需要从红蓝对抗的角度,需要从实战的角度来看待安全建设,我们要了解攻击方红方黑客是如何进行攻击的,做到知己知彼我们的防御体系才能做的完善。
第一步,黑客在进行定点攻击的时候,第一步它要进行攻击面的分析。比方说他要设定好的目标要攻击某某单位,那么他第一步要做攻击面分析,攻击面分析就包括他对你的组织架构要进行一个调研(人员信息等),然后他会去找到你官方网站的地址,进到你的官方网站,从外网进入,或者收集到人员信息之后,对人员信息发送一些钓鱼邮件,或者去对你的网络进行扫描,扫描你现在有哪些对外开放的资产,它的地址是多少?这就是他进入我们网络的第一步。对应的资产用的什么样的操作系统,操作系统上有什么样的漏洞,他找到这些攻击面,事前要做攻击面的分析,再进行进入。
第二步,黑客会进行边界的突破。攻击面分析完了之后,它会找到突破点,第二步它就会定向的使用这种漏洞攻击——撞库或者漏洞化地利用后门攻击。比如还有破解密码,有口令爆破,还有这种调用邮件等方式去突破你的边界,获取到你内网权限,这是我们说的事前攻击面分析,然后做事中的边界突破,接着拿到一台机器的权限之后,开始进行横向渗透。假如说我拿下了一台内网机器的权限,通过这套机器作为跳板机横向地通过安全意识不强的员工去拿到了主机权限,通过它作为跳板去横向的扫描,比方说其他的IP或是其他存活的一些资产,去扫描服务器信息来进行横向的渗透,拿到更多内网的权限。
第四步就是攻陷。找到服务器之后再进行攻陷,撞库拿走留下后门进行提前获取的核心数据,或者是对应用系统做一个破坏。
以上这个就是黑客的一个攻击思路,从事前一直到事前的攻击面分析,事中的边界突破,横向渗透一直到最后的攻陷留下后门,它是有这样的一个时间顺序的逻辑的。
从黑客攻击的一个思路来看,我们也应该对应的根据时间顺序来进行对应的防护。
第一步,要想做好具备实战化的防护应该怎么做。第一步黑客做的是攻击面分析,那么对应着我的防护应该做暴露面的一个收敛。我们要检查一下内网在互联网上暴露了哪些资产,开放了哪些端口,还存在着哪些漏洞能被黑客攻击,最大化的缩减我们的暴露面。
第二步黑客做的是边界突破,那么我们对应的叫做边界防护。比如我们暴露面有哪些资产?开放了哪些端口?提供哪些服务?那么边界防护就要部署对应的安全问题防护,比如我们要边界防护、漏洞的修补、web的防护、垃圾邮件的防护、病毒防护等。我们可以部署相应的安全设备,或者调整一些安全策略来对边界进行加固。
第三步为了防止黑客进行横向渗透,我们要进行区域控制。区域控制主要的手段有代码监测、数据备份、木马查杀、异常监控、高级威胁分析等,可以察觉到也可以及时制止并进行阻断。所以说区域控制这一块其实就是监控手段的建设,因为网络安全只有看得到才能防得住。
从红蓝对抗的角度来看,可以很好的通过事前、事中、事后来做一个满足实战化要求的安全体系。
4 安全运营中心提供什么能力?
安全运营服务主要为我们提供哪些安全能力?根据刚才的安全建设思路,首先第一步安全运营会给用户提供暴露面监测的能力或服务,比如资产核查、外网资产监测、漏洞扫描等等,这些都可以构成暴露面监测能力域;
第二步暴露面监测完了之后,要提供安全防御能力,对现网的已经建设的安全体系进行查漏补缺、调整策略。安全运营中心提供的第二大能力就是安全防御能力。
第三个是威胁狩猎能力,即监控。比如态势感知、大数据分析,因为事前做了暴露面监测还有安全防御,那么第三步提供的服务就是威胁狩猎,也可以理解为全网的态势感知、监测预警、监测分析的能力;
第四步是事后就要提供这种应急处置的能力域,应急处置的能力发生安全问题之后,我们可以利用现网的安全设备快速解决安全问题,做到司法取证、危机处置和攻击溯源。这是我们说的事前、事中、事后的四大能力。
除了这四大能力之外,还要提供一个贯穿事前、事中、事后的安全运营能力。就是,我们要通过专业的团队、专业的安全人员、专业的安全服务团队,把我们所有的事前、事中、事后这几项全都运营起来,让它发挥最大的价值。
以上这5大核心能力就是安全运营中心能够给用户提供的一套体系化的保护思路和安全能力,每一个能力域都要由三要素构成(专业的人员、标准的流程、统一的技术平台)来进行支撑。每一个能力在实际网络中、客户在运行的时候都要由专业的安全人员和标准的流程来进行操作。比如,暴露面能监测的能力域,需要专业的人员通过专业的安全工具和标准的流程(每天固定在什么时间、通过什么工具、需要获取到哪些信息)。技术平台就是统一,无论是任何厂家的安全设备,我们本地现在已有的安全设备都可以进行统一管理,都要能对接到安全运营平台上来。
5 安全运营中心是什么架构?
安全运营平台建设的架构。安全运营中心或其他安全设备,核心保护的是用户的信息资产,用户传统基础架构和云计算架构,都要进行防护。
假如说有用户已经做了等保,那么安全运营中心建设是需要在它有的安全基础之上进行建设的。假如说用户任何安全防护设备都没有,我们这个平台也能做,就可以通过这个平台对它的安全进行查漏补缺,然后再进行整体安全运营。所以我们的安全运营中心需要有一些基础的安全设备来进行支撑。我们在基础的安全设施之上来搭建运营平台,通过这运营平台输出5大能力,事前的暴露面监测能力,事中的安全防御能力,事中的威胁狩猎,或者是态势感知能力,事后的应急响应能力,以及贯穿整个前中后的安全运营能力。除了这5大能力之外,还需要一套标准的流程,还有一个专业的运营服务团队,这个就是我们安全运营中心建设的框架架构。
6 如何建设一个安全运营中心 ?
第二步提提到要构建一个专业的服务团队。服务团队应该怎么去建设(是不是招一个驻场的运维工程师,或者买两年的设备运维服务)?这里我们提出一个概念叫做九维彩虹团队,九维是通过红橙黄绿青蓝紫再加1个黑和白,一共9个颜色来代表我们实现安全运营服务需要的9种能力,因为从红蓝对抗的角度,可以看到在实际的攻防中要想做到安全运营,其实它需要很多安全能力,比方说红队漏洞研究员有渗透测试能力、可以做安全威胁分析。橙队是安全经理和安全讲师,可以提高本地人办公人员的安全意识。黄队是安全集成专家,安全咨询顾问和安全架构师,它会有一个设计的能力,做网络安全架构的设计,安全产品的设计,策略的设计,下一步发展方向的咨询,青队就是应急响应工程师、网络犯罪分析师,还有蓝队的安保专家、重保专家,绿队的产品专家、开发专家、攻方分析师、研究员,白队的运营专家,这个是我们服务团队建设需要具备的9种能力。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
41. 网安公司三季报分化之谜
42. 深信服:重构防火墙,用意深远
43. 读完Fortinet三季报,我对网安行业又有了信心(附纪要)
44. Palantir:野心贼大,想做世界的创新引擎(附纪要)
46. 为什么中国没有真正的云安全公司?
49. 产业调研:威努特董事长谈工控安全
50. 产业调研:再论数据安全
54. 安恒信息:数据安全领头羊(深度)
55. 产业调研:HW具体怎么做?
- end -
欢迎加入产业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
法律声明
本订阅号发布内容仅代表作者个人看法,并不代表作者所属机构观点。涉及证券投资相关内容应以所属机构正式发布的研究报告内容为准。市场有风险,投资需谨慎。在任何情况下,本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容为原创。订阅人对本订阅号发布的所有内容(包括文字、影像等)进行复制、转载的,需明确注明出处,且不得对本订阅号所载内容进行任何有悖原意的引用、删节和修改。