現在,你問安全的同事,“一起去爬山嗎?”
他鐵定會說,“最近太忙,要不,一起來HW吧!”
追完熱劇《隐秘的角落》,再追《無證之罪》,最後發現,竟然都是在為信息安全打基礎。
最近,學習了一些安全知識,想提升一下自己的信息安全防護意識。雖說技術上沒什麼收獲,但是在安全框架上有了一些新的,全局的認知。
最後隻學到八個字,态勢感知和攻擊溯源。
企業架構裡的定海神針無論什麼系統,都離不開安全。回憶一下,是不是每次講系統架構PPT的時候,不管左邊怎麼劃分層次,最右邊都有一根粗壯有力的長條,豎在那裡,上邊寫着“安全”字樣,好像一根定海神針。
自打“棱鏡門”事件之後,感覺信息安全一下子就被提到很高的高度上。從公司組織架構的變革上就可見一斑,開始有了專職的安全團隊,專人專崗,而且建制也在逐步提高,從處到部。一時間,安全團隊在組織中的地位水漲船高。
高層領導曾說過,“沒有網絡安全就沒有國家安全”,随着《中華人民共和國網絡安全法》的頒布,安全團隊的話語權更重了。
《隐秘的角落》與态勢感知
安全圈裡,除了黑産和暗網,還有大量敵對勢力的黑客,他們都藏在隐秘的角落裡,不但謀取經濟利益,還從事非法的網絡破壞活動,讓信息安全充滿了威脅與挑戰。
以前總說老外會講概念,就好像當年IBM的電子商務随需應變和智慧地球。
這一次,我國的信息安全行業也充分領悟了高層的講話内容,迅速達成共識,于是有了國産版的“态勢感知”。
套用某服務商的描述,一種基于時間和空間的環境要素,動态,整體洞悉安全風險能力,從全局視角提升對安全威脅的發現識别、理解分析和響應預警能力的一種方式,并預測他們即将呈現的狀态,以實現決策優勢。
态勢感知,聽上去很高大上,但是說白了,核心就是做了個以安全為主題的大數據項目。通過對相關安全設備和IT資産的實時數據采集,把安全相關日志進行歸集,将原本分散的孤立事件進行關聯,建立一個大數據智能分析平台,其中包括業務畫像,資産風險等模型和視圖。
不過,由于國内安全生态中廠商林立,導緻态勢感知在數據整合這一層進行系統集成時會遇到一些困難,項目落地應該是一項複雜的系統工程。
《無證之罪》與攻擊溯源法制社會,辦案是講求證據,官方解讀是,應提出确實、充分的證據,并運用證據加以證明,而且對于證據還要排除合理懷疑。
具體到信息安全防護上,則是“誰主張,誰舉證”,不是簡單的指出是誰攻擊你了,而是你要用證據證明對方入侵的路線,作案的手段,對你造成的影響,将整個攻擊事件還原,并呈現出完整的證據鍊。
攻擊溯源看似簡單,但是技術含量其實非常高。首先你要能識别攻擊,才能有然後。真正的高手會用你知道的手段去攻擊你嗎?
面對當時跟我分享的“中睿天下”的高手,我就想,若沒實戰攻防過,他怎麼知道這麼多手段呢。就好像《無證之罪》中的法醫駱聞,因為熟悉公安的辦案手法和流程,才有相當強的反偵查能力和手段。
還是SOC套路深
之前把态勢感知比作日志派,攻擊溯源比作流量派,以為泾渭分明。後來發現,還是自己膚淺了。
前陣子求教IBM,交流QRadar,開始沒多久,一張PPT就吸引了我,因為剛想問是哪個技術派别的,結果PPT就給了答案,原來是個混合派,QRadar強調日志和流量的結合。
在安全這個領域,老外講的概念是SOC(Security Operating Center),講求的是人員,流程和技術的有機結合。
以往講安全,感覺更多的是做安全項目,但是這些系統往往都是聚焦于某個點,解決某個具體領域的風險,就好像病毒防護、漏洞掃描等,但不同系統之間相互孤立。
随着網絡攻擊手段越來越隐蔽,單純依靠某個點的安全防護,很難抵禦多變的攻擊行為,所以需要在現有的基礎防護體系上建設一個全面,智能、可視化的安全運營中心。
通過SOC,為信息安全工作提供統一的運營平台,同時借鑒大數據,人工智能等新技術,全面提升安全态勢的感知能力。
其實,我覺得外國的SOC和我們國産的态勢感知,大同小異。
安全管理那點事安全涉及的内容太多,對技術理解有限,談談日常工作中的一點心得。
你過了ISO20000和ISO27001,你也過了等保,可是你實際的安全防護水平是什麼?
對于IT内審,感覺每次都是揪着那些條條框框去卡,給不出啥針對性建議,如果審計本身已經不是面向實戰,而是面向規則,那麼有規則就很可能有漏洞,而有漏洞就一定有安全隐患,就像安全的專業人士也抨擊友商,說他們是基于既有規則進行判斷的,技術落後。
是軟件就有bug,是系統就有漏洞,所謂的安全基線也是有時效的,安全防護也永遠都是在路上。
感覺隔三差五的就有安全威脅情報,然後就是一系列的安全處置,這背後考察的不僅是安全的識别和預警,更是在考察執行效率。
記得2014年,ShellShock剛被爆出來,那會我正在學習Puppet,當時360就分享過他們如何給海量服務器快速修補漏洞的經驗。還有後來的WannaCry勒索病毒,不一而同。
運維響應和執行效率其實是對安全的有效支撐,根據我的經驗,技術上的解決方案不是問題,真正的問題其實是基線管理。
可惜,在基線管理這個問題上,我并沒有找到最佳實踐。隻能說,在相對可控的時間範圍内可以維持。
不過,随着技術的演進,從主機、虛拟化、再到容器化,甚至是最新的FaaS,我感覺未來,随着相關業務邏輯和基礎架構的逐步解耦,會讓基線升級的成本變低,從而使基線管理這個問題變得簡單。
總之,對于安全管理,不管是态勢感知還是攻擊溯源,除了安全産品和技術本身之外,最後都會聚焦到資産的識别和管理上,從而引發出海量資産管理的運維基線和效率問題。
細細的紅線
未來的信息安全管理,應該是人機合一,一個靠譜的具有實時分析和威脅感知能力的系統平台,在再搭配一個訓練有素的安全運營團隊,我想,大概就可以從容應對攻防演練了。
總之,信息安全無小事,每個人在做好隐私防護的同時,也應該提升各自崗位的防護意識,避免觸及信息安全這根細細的紅線。
該來的總會來,2020年度的HW行動就要開始啦,祝大家順利收工!
非安全專業人士出品,不足之處,敬請見諒!
(以上圖片來源于網絡)
,