最近,學(xué)習(xí)了一些安全知識(shí),想提升一下自己的信息安全防護(hù)意識(shí)。雖說(shuō)技術(shù)上沒(méi)什么收獲,但是在安全框架上有了一些新的,全局的認(rèn)知。
最后只學(xué)到八個(gè)字,態(tài)勢(shì)感知和攻擊溯源。
企業(yè)架構(gòu)里的定海神針
無(wú)論什么系統(tǒng),都離不開安全?;貞浺幌?,是不是每次講系統(tǒng)架構(gòu)PPT的時(shí)候,不管左邊怎么劃分層次,最右邊都有一根粗壯有力的長(zhǎng)條,豎在那里,上邊寫著“安全”字樣,好像一根定海神針。
自打“棱鏡門”事件之后,感覺(jué)信息安全一下子就被提到很高的高度上。從公司組織架構(gòu)的變革上就可見一斑,開始有了專職的安全團(tuán)隊(duì),專人專崗,而且建制也在逐步提高,從處到部。一時(shí)間,安全團(tuán)隊(duì)在組織中的地位水漲船高。
高層領(lǐng)導(dǎo)曾說(shuō)過(guò),“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”,隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的頒布,安全團(tuán)隊(duì)的話語(yǔ)權(quán)更重了。
《隱秘的角落》與態(tài)勢(shì)感知
安全圈里,除了黑產(chǎn)和暗網(wǎng),還有大量敵對(duì)勢(shì)力的黑客,他們都藏在隱秘的角落里,不但謀取經(jīng)濟(jì)利益,還從事非法的網(wǎng)絡(luò)破壞活動(dòng),讓信息安全充滿了威脅與挑戰(zhàn)。
以前總說(shuō)老外會(huì)講概念,就好像當(dāng)年IBM的電子商務(wù)隨需應(yīng)變和智慧地球。
這一次,我國(guó)的信息安全行業(yè)也充分領(lǐng)悟了高層的講話內(nèi)容,迅速達(dá)成共識(shí),于是有了國(guó)產(chǎn)版的“態(tài)勢(shì)感知”。
套用某服務(wù)商的描述,一種基于時(shí)間和空間的環(huán)境要素,動(dòng)態(tài),整體洞悉安全風(fēng)險(xiǎn)能力,從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析和響應(yīng)預(yù)警能力的一種方式,并預(yù)測(cè)他們即將呈現(xiàn)的狀態(tài),以實(shí)現(xiàn)決策優(yōu)勢(shì)。
態(tài)勢(shì)感知,聽上去很高大上,但是說(shuō)白了,核心就是做了個(gè)以安全為主題的大數(shù)據(jù)項(xiàng)目。通過(guò)對(duì)相關(guān)安全設(shè)備和IT資產(chǎn)的實(shí)時(shí)數(shù)據(jù)采集,把安全相關(guān)日志進(jìn)行歸集,將原本分散的孤立事件進(jìn)行關(guān)聯(lián),建立一個(gè)大數(shù)據(jù)智能分析平臺(tái),其中包括業(yè)務(wù)畫像,資產(chǎn)風(fēng)險(xiǎn)等模型和視圖。
不過(guò),由于國(guó)內(nèi)安全生態(tài)中廠商林立,導(dǎo)致態(tài)勢(shì)感知在數(shù)據(jù)整合這一層進(jìn)行系統(tǒng)集成時(shí)會(huì)遇到一些困難,項(xiàng)目落地應(yīng)該是一項(xiàng)復(fù)雜的系統(tǒng)工程。
《無(wú)證之罪》與攻擊溯源
法制社會(huì),辦案是講求證據(jù),官方解讀是,應(yīng)提出確實(shí)、充分的證據(jù),并運(yùn)用證據(jù)加以證明,而且對(duì)于證據(jù)還要排除合理懷疑。
具體到信息安全防護(hù)上,則是“誰(shuí)主張,誰(shuí)舉證”,不是簡(jiǎn)單的指出是誰(shuí)攻擊你了,而是你要用證據(jù)證明對(duì)方入侵的路線,作案的手段,對(duì)你造成的影響,將整個(gè)攻擊事件還原,并呈現(xiàn)出完整的證據(jù)鏈。
攻擊溯源看似簡(jiǎn)單,但是技術(shù)含量其實(shí)非常高。首先你要能識(shí)別攻擊,才能有然后。真正的高手會(huì)用你知道的手段去攻擊你嗎?
面對(duì)當(dāng)時(shí)跟我分享的“中睿天下”的高手,我就想,若沒(méi)實(shí)戰(zhàn)攻防過(guò),他怎么知道這么多手段呢。就好像《無(wú)證之罪》中的法醫(yī)駱聞,因?yàn)槭煜す驳霓k案手法和流程,才有相當(dāng)強(qiáng)的反偵查能力和手段。
還是SOC套路深
之前把態(tài)勢(shì)感知比作日志派,攻擊溯源比作流量派,以為涇渭分明。后來(lái)發(fā)現(xiàn),還是自己膚淺了。
前陣子求教IBM,交流QRadar,開始沒(méi)多久,一張PPT就吸引了我,因?yàn)閯傁雴?wèn)是哪個(gè)技術(shù)派別的,結(jié)果PPT就給了答案,原來(lái)是個(gè)混合派,QRadar強(qiáng)調(diào)日志和流量的結(jié)合。
在安全這個(gè)領(lǐng)域,老外講的概念是SOC(Security Operating Center),講求的是人員,流程和技術(shù)的有機(jī)結(jié)合。
以往講安全,感覺(jué)更多的是做安全項(xiàng)目,但是這些系統(tǒng)往往都是聚焦于某個(gè)點(diǎn),解決某個(gè)具體領(lǐng)域的風(fēng)險(xiǎn),就好像病毒防護(hù)、漏洞掃描等,但不同系統(tǒng)之間相互孤立。
隨著網(wǎng)絡(luò)攻擊手段越來(lái)越隱蔽,單純依靠某個(gè)點(diǎn)的安全防護(hù),很難抵御多變的攻擊行為,所以需要在現(xiàn)有的基礎(chǔ)防護(hù)體系上建設(shè)一個(gè)全面,智能、可視化的安全運(yùn)營(yíng)中心。
通過(guò)SOC,為信息安全工作提供統(tǒng)一的運(yùn)營(yíng)平臺(tái),同時(shí)借鑒大數(shù)據(jù),人工智能等新技術(shù),全面提升安全態(tài)勢(shì)的感知能力。
其實(shí),我覺(jué)得外國(guó)的SOC和我們國(guó)產(chǎn)的態(tài)勢(shì)感知,大同小異。
安全管理那點(diǎn)事
安全涉及的內(nèi)容太多,對(duì)技術(shù)理解有限,談?wù)勅粘9ぷ髦械囊稽c(diǎn)心得。
你過(guò)了ISO20000和ISO27001,你也過(guò)了等保,可是你實(shí)際的安全防護(hù)水平是什么?
對(duì)于IT內(nèi)審,感覺(jué)每次都是揪著那些條條框框去卡,給不出啥針對(duì)性建議,如果審計(jì)本身已經(jīng)不是面向?qū)崙?zhàn),而是面向規(guī)則,那么有規(guī)則就很可能有漏洞,而有漏洞就一定有安全隱患,就像安全的專業(yè)人士也抨擊友商,說(shuō)他們是基于既有規(guī)則進(jìn)行判斷的,技術(shù)落后。
是軟件就有bug,是系統(tǒng)就有漏洞,所謂的安全基線也是有時(shí)效的,安全防護(hù)也永遠(yuǎn)都是在路上。
感覺(jué)隔三差五的就有安全威脅情報(bào),然后就是一系列的安全處置,這背后考察的不僅是安全的識(shí)別和預(yù)警,更是在考察執(zhí)行效率。
記得2014年,ShellShock剛被爆出來(lái),那會(huì)我正在學(xué)習(xí)Puppet,當(dāng)時(shí)360就分享過(guò)他們?nèi)绾谓o海量服務(wù)器快速修補(bǔ)漏洞的經(jīng)驗(yàn)。還有后來(lái)的WannaCry勒索病毒,不一而同。
運(yùn)維響應(yīng)和執(zhí)行效率其實(shí)是對(duì)安全的有效支撐,根據(jù)我的經(jīng)驗(yàn),技術(shù)上的解決方案不是問(wèn)題,真正的問(wèn)題其實(shí)是基線管理。
可惜,在基線管理這個(gè)問(wèn)題上,我并沒(méi)有找到最佳實(shí)踐。只能說(shuō),在相對(duì)可控的時(shí)間范圍內(nèi)可以維持。
不過(guò),隨著技術(shù)的演進(jìn),從主機(jī)、虛擬化、再到容器化,甚至是最新的FaaS,我感覺(jué)未來(lái),隨著相關(guān)業(yè)務(wù)邏輯和基礎(chǔ)架構(gòu)的逐步解耦,會(huì)讓基線升級(jí)的成本變低,從而使基線管理這個(gè)問(wèn)題變得簡(jiǎn)單。
總之,對(duì)于安全管理,不管是態(tài)勢(shì)感知還是攻擊溯源,除了安全產(chǎn)品和技術(shù)本身之外,最后都會(huì)聚焦到資產(chǎn)的識(shí)別和管理上,從而引發(fā)出海量資產(chǎn)管理的運(yùn)維基線和效率問(wèn)題。
細(xì)細(xì)的紅線
未來(lái)的信息安全管理,應(yīng)該是人機(jī)合一,一個(gè)靠譜的具有實(shí)時(shí)分析和威脅感知能力的系統(tǒng)平臺(tái),在再搭配一個(gè)訓(xùn)練有素的安全運(yùn)營(yíng)團(tuán)隊(duì),我想,大概就可以從容應(yīng)對(duì)攻防演練了。
總之,信息安全無(wú)小事,每個(gè)人在做好隱私防護(hù)的同時(shí),也應(yīng)該提升各自崗位的防護(hù)意識(shí),避免觸及信息安全這根細(xì)細(xì)的紅線。
原文標(biāo)題:《無(wú)證之罪》:企業(yè)信息安全只需要懂8個(gè)字?
文章出處:【微信公眾號(hào):ssdfans】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
責(zé)任編輯:haq
-
安全系統(tǒng)
+關(guān)注
關(guān)注
0文章
410瀏覽量
66876 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3088瀏覽量
59477
原文標(biāo)題:《無(wú)證之罪》:企業(yè)信息安全只需要懂8個(gè)字?
文章出處:【微信號(hào):SSDFans,微信公眾號(hào):SSDFans】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論