雷鋒網(wǎng)編者按：在越來(lái)越復(fù)雜的威脅和挑戰(zhàn)下，企業(yè)安全體系應(yīng)該怎么建設(shè)？十多年前，我們覺(jué)得部署幾臺(tái)設(shè)備和一些規(guī)則就可以，但實(shí)踐證明不可行。安全不是靜態(tài)，而是一個(gè)動(dòng)態(tài)過(guò)程，需要持續(xù)的監(jiān)控和分析。這就是綠盟科技的高級(jí)副總裁葉曉虎對(duì)于企業(yè)安全運(yùn)營(yíng)的基本觀點(diǎn)。以下是葉曉虎最近在第25屆中國(guó)國(guó)際金融展上對(duì)企業(yè)安全運(yùn)營(yíng)的詳細(xì)闡述，在不改變?cè)敢獾幕A(chǔ)上，雷鋒網(wǎng)編輯對(duì)其演講全文略有刪減，小標(biāo)題為雷鋒網(wǎng)編者所加。

--

實(shí)際上，安全的日常工作沒(méi)有發(fā)生更多改變，還是圍繞核心資產(chǎn)做漏洞檢測(cè)，事件的響應(yīng)、調(diào)查的取證和持續(xù)改進(jìn)。今天所發(fā)生的變化是——日常工作里所產(chǎn)生的一些數(shù)據(jù)要積累起來(lái)，對(duì)這些數(shù)據(jù)進(jìn)行持續(xù)監(jiān)控和分析。以這些數(shù)據(jù)為基礎(chǔ)，建設(shè)相應(yīng)的能力，包括態(tài)勢(shì)感知、綜合防御、預(yù)警監(jiān)控、應(yīng)急處置以及協(xié)同運(yùn)營(yíng)的能力。

企業(yè)安全運(yùn)營(yíng)需要怎樣的數(shù)據(jù)體系？

企業(yè)安全運(yùn)營(yíng)需要的數(shù)據(jù)體系是怎樣的？我認(rèn)為可以分兩大類。

一類是內(nèi)部情報(bào)。也就是說(shuō)，企業(yè)在運(yùn)營(yíng)過(guò)程中，在業(yè)務(wù)環(huán)境，內(nèi)部業(yè)務(wù)環(huán)境中產(chǎn)生的相關(guān)的數(shù)據(jù)，包括流量、IP、域名、URL、帳號(hào)等。

一類是外部情報(bào)，引入第三方權(quán)威機(jī)構(gòu)的數(shù)據(jù)，包括漏洞情報(bào)、威脅情報(bào)等。

通過(guò)對(duì)“內(nèi)部情報(bào)+外部情報(bào)”，可以形成相對(duì)完整的數(shù)據(jù)體系。在這些數(shù)據(jù)體系之上，建設(shè)相關(guān)的安全能力。

利用這些數(shù)據(jù)，可以看到企業(yè)的安全態(tài)勢(shì)情況，對(duì)發(fā)生的安全事件進(jìn)行回溯、取證、分析，針對(duì)威脅的情況，判斷下一步可能發(fā)生的風(fēng)險(xiǎn)隱患在什么地方。根據(jù)企業(yè)不同業(yè)務(wù)情況，可以來(lái)建設(shè)對(duì)應(yīng)的入侵態(tài)勢(shì)、DDoS 攻擊的態(tài)勢(shì)和網(wǎng)絡(luò)安全態(tài)勢(shì)。

同時(shí)，還可以建設(shè)對(duì)應(yīng)的預(yù)警監(jiān)控的能力。通過(guò)建設(shè)監(jiān)控系統(tǒng)，可以看到企業(yè)暴露在互聯(lián)網(wǎng)上面的資產(chǎn)情況，監(jiān)控漏洞披露的情況、漏洞在黑客社區(qū)里面的活躍度、工具利用的熱度以及相應(yīng)的情報(bào)。通過(guò)采集這些情報(bào)，可以在企業(yè)本地網(wǎng)絡(luò)進(jìn)行資產(chǎn)核查，資產(chǎn)的核準(zhǔn)包括對(duì)應(yīng)的漏洞預(yù)警工作。

漏洞生命周期管理：情報(bào)驅(qū)動(dòng)

漏洞生命周期管理是安全管理中一個(gè)很基礎(chǔ)的課題，幾乎所有的報(bào)告都會(huì)提到安全團(tuán)隊(duì)的人數(shù)是不夠的，但是企業(yè)的業(yè)務(wù)快速發(fā)展，資產(chǎn)數(shù)量變化很快，漏洞披露的數(shù)量越來(lái)越多，如果按照以往的工作方式，安全團(tuán)隊(duì)很難有效對(duì)漏洞進(jìn)行生命周期的管理。

現(xiàn)在，漏洞生命周期的管理也發(fā)生了很多變化，更多靠情報(bào)驅(qū)動(dòng)。

漏洞的活躍度是怎樣的？企業(yè)的關(guān)鍵業(yè)務(wù)資產(chǎn)情況、匹配情況是怎樣的？

了解之后，安全團(tuán)隊(duì)才能夠?qū)Ｗ⒃趦r(jià)值更高的工作上，提高工作能效。同時(shí)，企業(yè)還可以和專業(yè)安全廠家間建立漏洞處置過(guò)程，包括基于情報(bào)的風(fēng)險(xiǎn)處置，確認(rèn)真實(shí)的威脅范圍。

如何發(fā)現(xiàn)日常威脅？

大家肯定聽(tīng)過(guò)這樣的案例——出了一個(gè)威脅，它是針對(duì) Linux 的系統(tǒng)攻擊，我的系統(tǒng)是 Windows，還需要關(guān)注嗎？以前可能需要做確認(rèn)工作，今天這樣的理念已經(jīng)被大多數(shù)安全團(tuán)隊(duì)所接受。

基于資產(chǎn)的風(fēng)險(xiǎn)預(yù)警，可以在日常工作中收集，建立相應(yīng)期限。一旦出現(xiàn)相應(yīng)事件，不再需要緊急掃描。另外，可以把檢測(cè)和防護(hù)結(jié)合一體，通過(guò)這樣的過(guò)程可以促使安全廠家的專業(yè)安全團(tuán)隊(duì)和企業(yè)的安全團(tuán)隊(duì)建立一套有效的工作流程。在對(duì)應(yīng)的工作流下發(fā)給相應(yīng)的設(shè)備，有機(jī)完成整個(gè)過(guò)程。

傳統(tǒng)的安全設(shè)備、防火墻、WAF 都是根據(jù)規(guī)則實(shí)時(shí)的檢測(cè)威脅情況。未知威脅在模型上需要做更大變化。我們提出了這樣一套平臺(tái)和方案，對(duì)于被監(jiān)控的網(wǎng)絡(luò)徑向它的流量，獲取告警數(shù)據(jù)，把原數(shù)據(jù)獲取下來(lái)，包括對(duì)于檢測(cè)網(wǎng)絡(luò)的掃描數(shù)據(jù)，存儲(chǔ)在一個(gè)平臺(tái)上面。威脅分析師可以在這個(gè)平臺(tái)上面進(jìn)行威脅的挖掘和捕獲，根據(jù)攻擊模型可以指引他做威脅分析，從而可以發(fā)現(xiàn)隱藏在威脅背后的蛛絲馬跡。

當(dāng)然，前面所說(shuō)的都是我們?cè)诰W(wǎng)絡(luò)安全方面所做的工作，但是網(wǎng)絡(luò)安全的范圍也在不停擴(kuò)展。一些新方法和新技術(shù)不斷出現(xiàn)，這兩年基于行為異常的威脅檢測(cè)也是大家非常關(guān)注的技術(shù)方向。

通過(guò)建立行為期限，可以為用戶的行為進(jìn)行畫像，隨后做時(shí)間序列的分析，比如，機(jī)器學(xué)習(xí)和挖掘的方法，可以發(fā)現(xiàn)高危賬戶的異常，包括非法內(nèi)容泄露的可能性。

大多數(shù)的業(yè)務(wù)系統(tǒng)的安全問(wèn)題在立項(xiàng)的第一天已經(jīng)出現(xiàn)，這是這兩年來(lái)整個(gè)行業(yè)一直在談的 DevOps的生命周期。

在業(yè)務(wù)系統(tǒng)需求規(guī)劃的階段，就應(yīng)該引入對(duì)應(yīng)的安全需求，在編碼階段需要對(duì)開(kāi)發(fā)人員進(jìn)行安全規(guī)范的培訓(xùn)，在上線發(fā)布的時(shí)需要做準(zhǔn)入安全檢查。在建設(shè)監(jiān)的體系、整個(gè)運(yùn)營(yíng)的過(guò)程中，要持續(xù)、周期性評(píng)估業(yè)務(wù)系統(tǒng)的安全狀況，包括技術(shù)手段、測(cè)試手段、配置核查的方法，以及漏洞掃描的方法。

企業(yè)安全運(yùn)營(yíng)不是靜態(tài)的

企業(yè)安全運(yùn)營(yíng)不是一個(gè)靜態(tài)的工作，也不僅是企業(yè)自身的工作，需要企業(yè)、安全廠家以及監(jiān)管領(lǐng)導(dǎo)機(jī)構(gòu)進(jìn)行緊密合作。

攻擊方的分布很精細(xì)，漏洞挖掘工作者在交易平臺(tái)上發(fā)布漏洞，攻擊工具的開(kāi)發(fā)者在交易平臺(tái)上發(fā)布攻擊工具，一個(gè)攻擊者可以輕易在交易平臺(tái)上得到這樣的工具，發(fā)動(dòng)一次攻擊是成本很低、效率很高的攻擊過(guò)程。

作為防守方，我們需要經(jīng)過(guò)預(yù)警、通報(bào)的環(huán)節(jié)，需要經(jīng)濟(jì)配合核查的環(huán)節(jié)，然后才進(jìn)入處置階段。提升防守方分工和協(xié)作效率是保持企業(yè)高水平安全狀態(tài)的一個(gè)非常重要的課題。

比如，WannaCry 利用的漏洞在 4 月初已經(jīng)發(fā)布了補(bǔ)丁。但是，大多數(shù)企業(yè)都是在事件發(fā)生的當(dāng)天才進(jìn)行掃描防備、防護(hù)設(shè)備、操作系統(tǒng)的升級(jí)，這說(shuō)明企業(yè)在安全運(yùn)營(yíng)和安全協(xié)同運(yùn)營(yíng)的過(guò)程中，還需要很多改進(jìn)的空間。

企業(yè)和安全廠家如何更好協(xié)同運(yùn)營(yíng)？

首先，改變對(duì)服務(wù)的觀念，改變預(yù)算的決策機(jī)制和結(jié)構(gòu)。

第二，企業(yè)需要將安全運(yùn)營(yíng)能力和開(kāi)發(fā)進(jìn)行整合。

第三，作為監(jiān)管合規(guī)的限制。大多數(shù)安全廠家以前都做安全漏洞研究開(kāi)發(fā)對(duì)應(yīng)的安全產(chǎn)品，今天需要從單點(diǎn)的技術(shù)場(chǎng)景轉(zhuǎn)化為解決方案的提供，從產(chǎn)品的交付轉(zhuǎn)變價(jià)值能力的交付，這對(duì)于安全廠家而言，都是一個(gè)很大的挑戰(zhàn)。攻防本質(zhì)是對(duì)抗，對(duì)抗的背后是攻防雙方的能力之間的較量。如果要為用戶提供更好的安全服務(wù)，安全廠家需要積累更多的安全能力。只有積累更多安全能力，才能夠有效的提升對(duì)抗水平和速度。我們要探討如何在監(jiān)管機(jī)構(gòu)的領(lǐng)導(dǎo)下，企業(yè)和安全廠家能夠建設(shè)有效的協(xié)同運(yùn)營(yíng)的體系。

【葉曉虎】

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。