网络安全服务 企业有良方
数字技术正在迅速改变民生和经济,也带来前所
未有的网络安全挑战。传统网络安全防御体系基本
处于被动的检测和防护,以单一或多个产品组合解
决特定的安全问题。用户大多仅仅以满足监管合规
要求为建设目标,只解决了安全产品有无问题。网
络安全产品只能做到由点到面的被动防御,主动的、
积极的安全防御需要持续的专业安全服务来做支撑。
不断升级并反哺业务,构建形成数字经济下的持续
全挑战的能力。
建设以能力为导向的安全体系
企业需要从应对特定威胁和合规式的安全建设模
式,走向安全能力导向的建设模式。能力导向的安
全防护体系建设强调“关口前移”,设计向主动防御、
态势感知、威胁情报、积极反制的方向演进,实现
对信息化投资和业务运营的真正保障。
为了应对各种能力下的网络空间威胁行为体的攻
击活动,企业的安全管理人员还需要具有体系化、
框架化的威胁与风险分析思维能力,以对各种攻击
行为展开分析,验证威胁、确认风险,进而实现更
有效的防御。但企业通常缺乏各类专业的安全管理
人员,如安全管理咨询师、安全研判分析师、数据
企业需要专业的安全运营服务
所以越来越多的企业在网络安全建设方面,并不
关心得到什么样的安全产品、具备哪些安全功能、
需要哪种安全服务,企业开始更多关注如何借助第
三方专业安全服务商的服务能力和经验积累,在满
足国家与行业安全合规监管要求前提下,把企业的
业务安全风险降到最低,企业自身安全能力可以得
到提升。同时,企业也希望得到第三方专业服务商
高质量的持续的“安全运营服务交付”能力保障。
安全运营服务的价值是什么?
相较于传统的安全建设与安全服务而言,持续安
全运营服务可以将各类安全产品、安全平台与安全
服务进行串联和循环,每一个阶段专注于该阶段的
任务和服务内容,根据当前的安全状态做出相应的
调整。安全产品与安全服务不再是单一的、一次性
的服务内容,而是形成持续有效的安全监测、安全
检测、安全防护、应急响应和恢复处置环环相扣的
IPDRR安全能力体系建设框架。
安全运营服务如何落地
依据企业规模与安全团队能力,当前安全运营服当前国内的网络安全建设存在着明显的“重产品轻服务”“重硬件轻软件”的特点,网络安全服务在安全总体市场占比偏低,加强网络安全服务已成为国内外产业发展趋势。对网络安全企业而言,网络安全服务无疑是企业发展的重点方向,我刊邀请多家在网络安全服务上具有深入实践的企业,从新型安全服务方式、实战化防护能力建设、行业发展趋势等角度,分享网络安全服务一线心得体会。
构建数字经济下的持续安全运营服务能力
文│本刊编辑部
游戏棋
奇安信集团副总裁 张翀斌
务落地的方式主要有三种:一是企业单位建设自己的安全运营体系;二是安全运营服务整体外包,主要以线下模式为主;三是安全运营服务部分外包,采用线上为主线下配合相结合的模式,由后端专家团队对一线人员进行持续赋能,实现最大程度的智能化、自动化,最大化复用后端专家团队的技术能力,这也是性价比最高的模式。
安全运营服务要与企业赋能建设同步思考,要以“业务发展生命周期”为核心,以“风险管控生命周期”为导向,以“数据治理生命周期”为抓手,将企业的安全建设过程与业务系统相适配,借助AI、大数据、威胁情报、数据建模等技术积累能力,通过“安全平台+安全服务+运营团队”和安全生态合作的模式来打造一套持续优化的安全运营战法。
在企业层面,要对企业用户业务安全需求进行统筹规划,构建分层风险识别、分类安全防护、统一安
全监测、及时应急响应、快速灾备恢复的安全运维能力;充分利用企业现有基础设施安全资源配置,百花仙酒
增补必要的安全服务配套工具,将技术、流程、人员有机整合,甲乙双方均需参与到不断优化安全运营体系流程中,实现全链路的安全管理闭环,有效抵御内外部威胁。
同时,评定安全运营服务的效果,需要依靠各类量化指标和SLA 进行评估和衡量。安全运营指标的建设需要甲乙双方的紧密配合,不同行业不同建设阶段下的安全运营度量指标是不同的。以
一定单位时间周期为基础来建议度量指标是常态方法。如资产识别率、违规外联发现率、高危漏洞修补率、有效攻击事件发现与验证率、安全应急处置效率、流程化等比值都可以做为度量指标。通过对客户安全运营指标的建立和改进,来度量服务人员的能力与效率及交付水平,为持续的安全运营能力成长与优化提供保障。
实战化背景下的安全防护能力体系建设思路
“实践是检验真理的唯一标准”,已经构建的防御体系是否有效,要通过实践的过程加以验证和检验。当前实战化网络安全攻防演习的工作方式开始被用于检验各单位的网络安全防御、监测和响应能力,检验网络安全保障工作成效,检验网络安全防护体系的有效性,促使攻防双方不断积累经验,从而持续提升防守能力。因此实战化网络安全攻防
演习已日趋常态,成为促进网络安全保障能力体系建设的有效手段。
实战化演习促进防御体系能力提升
实战化攻防演习对防守提出了更高的要求,需要防守人员深入关注整体防御体系的最短板,
能够充分检验防御体系的有效性。同时,网络安
安全产品与安全服务不再是单一的、一次性的服务内容,而是形成持续有效的安全监测、安全检测、安全防护、应急响应和恢复
展示架制作
处置环环相扣的IPDRR安全能力体系建设框架。
全人员对网络安全防护措施的关注点也从“数据中
心”的专业防护措施,逐渐外延至操作终端、无线
接入和人员网络安全意识等多方面。在实际工作
中,防守方需要构建主动防御的能力体系,持续地
应对攻击方发起的各种不同类型和方式的攻击,甚
至具有展开追踪反制的能力,这是防守方在防御能
力进阶的目标和方向。但达到主动防御能力的最佳
效果,需要防守单位具备扎实的架构安全以及基本
完善的被动防御体系。
实战化背景下的防护要点
结合常见的攻击方式,防守方应当具备如下防御
能力,对现有的网络安全保障体系加以补充和完善,
主要包括:
1.防微杜渐:防范被踩点
为了减少防守方情报泄露,防守各单位应加强对
信息披露内容的检测,尽量防止本单位敏感信息泄露
在公共信息平台;对供应链信息进行严格管理;定期
开展网络安全意识教育,加强对个人信息的管理,强
化对个人口令的安全使用。
2.收缩战线:收敛攻击面
让攻击面缩到最小,缩小防守半径,防守各单位
应加强对互联网暴露面的梳理,清理暴露在互联网上
的测试环境、后台界面、远程维护端口以及和下级单
位、业务合作单位等相关单位的联网边界资产等;梳
理网络边界设备(包括VPN、无线热点等)、系统
以及各类应用的账号和口令等,避免存在弱口令和资
产不清等情况;针对供应链厂商或服务商持有的信息
严格管控。
3.纵深防御:立体防渗透
强化自身架构安全,层层设防,全路径管控,真
正做到纵深防御。防守单位应根据统一的访问控制策
略,严格划分安全域并进行细粒度的访问控制策略设
置;加强对主机资产、补丁和口令的管理;加强对应
用系统的安全管理,减少应用系统自身的安全隐患;
整体部署符合标准要求的网络安全防护、监测和处置
措施。
4.守护核心:到关键点
二联件严守集权类系统和目标系统的安全。防守单位应野战光缆
针对集权类设备和核心资产进行最小化权限设置和
管理,核心资产可设置白名单机制,加强访问行为的
管控和监测分析,加强对核心资产访问的日志审计和地暖集分水器
监测预警,确保核心资产的安全可控。
5.洞若观火:全方位监控
构建全方位的网络安全监测和运营体系,结合威
胁情报持续进行网络安全监测分析和响应。构建网络
安全主动防御体系,收集相关情报,全面部署网络安
全威胁监测,通过专业的分析人员持续发现网络安全
威胁,并进行及时的响应,结合网络安全事件应急响
应体系,持续对网络安全事件进行分级分类处置,整
体提升对网络安全攻击的发现和处置能力。
审视网络安全体系建设成效
在实战化攻防能力提升的过程中,不仅仅是缺啥
补啥,而是要不断审视已有网络安全体系建设成效,
总结网络安全体系中的技术和管理措施,分析其效能
和短板,从而对现有的网络安全保障体系进行体系化
的改进和完善。
基于最佳实践,各单位可参考SANS的网络安全
滑动标尺模型对网络安全保障体系进行审视。SANS
提出的滑动标尺模型划分为五个阶段,即架构安全、
被动防御、主动防御、威胁情报和进攻反制。通过该
模型五个阶段的分析,可以使防守方验证当前网络安
全保障体系在每个阶段的建设情况,并结合实战化攻
防演习中发现的具体问题,出短板,进行系统化的
完善和改进。例如重构安全架构体系,深化纵深防御
体系,健全安全管理体系,建设安全运营体系等。
安全防御能力的形成并非一蹴而就,单位管理者应
重视安全体系建设,在实战背景下建立起“以人员为核
心、以数据为基础、以运营为手段”的安全运营模式,
逐步形成威胁预测、威胁防护、持续检测、响应处置的
闭环安全工作流程,构建有效的网络安全保障体系。
新华三集团 安全服务技术部
数字经济时代,各政企单位为满足基础设施数字化转型的需要,开展了大量的新基建战略布局,在当前如火如荼的数字化建设中,安全运营服务却没有跟上数字化转型的“速度”,仍采用工业经济时代工
程师现场人工配置的落后方式,亟需做出改变,向数字化方向迈进。
云端安全运维模式的实现
云端安全运维是数字经济时代的产物,也是网络安全服务未来发展趋势。云端安全运维是将以往在用户现场的安全运维工作,由云端安全服务专家来开展。用户侧设备全部接入云端安全运营中心平台,让安全运维工作能够云端化、数字化、智能化,极大地提升了人机交互水平。
云端安全运维,首先要做的是将用户侧所有设备的远程运维功能联网,并且全部接入到云端安全运营中心,安全运维需求由云端安全专家提供安全服务,接受来自用户侧的安全运维需求。同时,在用户设备初装、大规模网络改造的过程中,可采用线下项目经理对接协调,线上云端专家配置的方式。云端专家还可通过部署在用户现场的流量探针、日志收集设备汇总到态势感知平台,实时7*24小时帮助用户监控网络安全状态,安全事件得以第一时间发现、分析、处置、恢复。
在对用户提供一段时间的网络安全运维工作后,云端安全专家可以基于用户侧网络环境和安全运维需求,梳理用例,通过自动编排,逐步通过脚本实现安全运维工作自动化。自动化类型可以分为:防御自动化,防止威胁或风险发生的措施;取证自动化,试图获取所有证据的措施;弹性自动化,在特定触发条件下启动防御措施的措施。
云端安全运维常见应用场景1.日常运维场景
中小型单位前期对网络安全的投入更加偏向于硬件设备,“看得到”是信息化采购的主要方向,在网络安全人员方面投入较少,也很难组建起一只专业的人才队伍,导致产生了“有设备,没人用”的情况。采用云端安全运维的方式,可在最短的时间内,帮助中小单位用户大幅提升网络安全能力,实现向BAT 等互联网公司看齐的安全运维水平。
2.应急响应场景
出现安全事件时,在响应时间上云端安全运维
超出以往任何运维方式,有专家7*24小时的网络安全监控,云端专家可第一时间直接接入用户侧网
络开展应急工作,而不是在上级单位通报或者在社交媒体披露后,产生了一定的社会影响后才开展。其次,因所有设备都接入了云端安全运营中心,可以结合平台强大的数据分析能力,关联各方面的日志告警,迅速发现攻击源及受影响范围。
3.重保护网场景
近年来重保、护网期间的“抢人大战”,让本来就欠缺的网络安全人才变得更加紧缺。这时云的“弹性”优势就充分体现出来,采用云端安全运维的单位,可以在重要时期临时增加服务内容,如变成全天实时监控,增派响应的专家实时待命准备应急。
云端安全运维有哪些优势?
安全运维工作持续化。云端安全运维的方式,会记录每次安全运维工作内容,在遇到问题时,查询之前的运维记录可以迅速定位问题,不会因单个安全运维工程师的原因而造成整体运维工作的影响。
专家协同处理。云端安全运维可以根据安全运维
启明星辰专业安全服务中心
数字化时代网络安全服务化转型的关键
如果网络安全得不到保证,数字经济下的信息和
数据将是“空谈”,网络安全服务通常被视作是解
决网络安全体系运行效能的“最后一公里”,当前
需要构建新型网络安全服务体系,以适应数字经济
所带来的变化和需求。
网络安全服务化转型的关键点
数字化时代,网络安全将被重新定义,网络安全
向服务化转型是产业发展趋势。数字经济带来的智能化、在线化、数字化等多种新业务场景,将对网络安
全行业和网络安全服务产生新的需求,驱动产生一系
列新兴网络安全服务,如新业务场景下的网络安全体
系规划设计服务、结构化业务威胁建模服务、威胁情
报和应急响应协同服务、数据安全治理服务等。
通过借鉴十多年来IT服务化转型取得的经验,
我们认为在数字化时代网络安全服务化转型有以下
几个关键点:
首先,通过安全体系建设咨询服务同步规划设计
网络安全能力。专业的网络安全体系咨询与规划在建设过程中尤为重要,以体系化的顶层设计为指导,以建设符合实战化的安全基础设施为支撑,构建持续优化的安全运行输出能力,确保信息系统建立在安全环境之上,形成体系化、实战化、常态化的动态综合的网络安全防御体系。
其次,专业安全人员的安全监测与态势分析服务能力,将成为未来必备的网络安全建设内容。数字化时代网络安全对抗呈现出多样化、多元化的特点,需要全面收集云、管、端、业务等数据,对数字经济下的业务活动进行全面持续的实时安全监测,同时借助安全分析工具和专业安全人员形成人机协同的态势分析能力,及时发现和处置越来越复杂的安全威胁,促使企业形成包括人、技术、流程的专业安全服务体系。
再次,以实战化优化网络安全运行服务体系,持续形成安全服务能力输出。在网络安全建设过程中,需要通过常态化的网络实战演习来持续优化网络安全运行服务体系和效能,向信息系统和信息化团队持续输出安全服务能力。
需求,以迅速协调多名相关领域的专家开展安全运维工作。同时,云端安全运维自动积累组织知识,
知识得到快速积累,即使是新加入的专家也可以了解所有工作是怎样完成的,就像全程和之前的专家进行结对运维。
操作记录留存。云端运维所有的操作记录全部会留存下来,可以用于后期审计。相比于堡垒机,云端运维的记录保存更久,查询更加方便。
优化策略管控。传统的安全运维方式,安全运维工程师只关注接收到的策略调整需求,采用“填鸭式”的方式管理策略,安全策略经常混乱不已,给防火墙等设备性能带来不必要的性能损耗。云端安全运维可以对策略生命周期进行管控,采用工单管理的方式,记录策略开启原因、开启时间周期、策略开启需求,审核策略开启的合理性、必要性。定期对策略进行梳理,整合重合部分策略,关闭老旧不再使用的策略。
云端大数据分析。云端安全运营中心会对全国的安全运维数据进行大数据分析,根据分析结果对正在扩散的安全风险,如病毒的目标用户进行预警,并且通过云端直接下发相应策略,有效抑制安全风险的传播。
