最近,學習了一些安全知識,想提升一下自己的信息安全防護意識。雖說技術上沒什么收獲,但是在安全框架上有了一些新的,全局的認知。
最后只學到八個字,態勢感知和攻擊溯源。
企業架構里的定海神針
無論什么系統,都離不開安全。回憶一下,是不是每次講系統架構PPT的時候,不管左邊怎么劃分層次,最右邊都有一根粗壯有力的長條,豎在那里,上邊寫著“安全”字樣,好像一根定海神針。
自打“棱鏡門”事件之后,感覺信息安全一下子就被提到很高的高度上。從公司組織架構的變革上就可見一斑,開始有了專職的安全團隊,專人專崗,而且建制也在逐步提高,從處到部。一時間,安全團隊在組織中的地位水漲船高。
高層領導曾說過,“沒有網絡安全就沒有國家安全”,隨著《中華人民共和國網絡安全法》的頒布,安全團隊的話語權更重了。
《隱秘的角落》與態勢感知
安全圈里,除了黑產和暗網,還有大量敵對勢力的黑客,他們都藏在隱秘的角落里,不但謀取經濟利益,還從事非法的網絡破壞活動,讓信息安全充滿了威脅與挑戰。
以前總說老外會講概念,就好像當年IBM的電子商務隨需應變和智慧地球。
這一次,我國的信息安全行業也充分領悟了高層的講話內容,迅速達成共識,于是有了國產版的“態勢感知”。
套用某服務商的描述,一種基于時間和空間的環境要素,動態,整體洞悉安全風險能力,從全局視角提升對安全威脅的發現識別、理解分析和響應預警能力的一種方式,并預測他們即將呈現的狀態,以實現決策優勢。
態勢感知,聽上去很高大上,但是說白了,核心就是做了個以安全為主題的大數據項目。通過對相關安全設備和IT資產的實時數據采集,把安全相關日志進行歸集,將原本分散的孤立事件進行關聯,建立一個大數據智能分析平臺,其中包括業務畫像,資產風險等模型和視圖。
不過,由于國內安全生態中廠商林立,導致態勢感知在數據整合這一層進行系統集成時會遇到一些困難,項目落地應該是一項復雜的系統工程。
《無證之罪》與攻擊溯源
法制社會,辦案是講求證據,官方解讀是,應提出確實、充分的證據,并運用證據加以證明,而且對于證據還要排除合理懷疑。
具體到信息安全防護上,則是“誰主張,誰舉證”,不是簡單的指出是誰攻擊你了,而是你要用證據證明對方入侵的路線,作案的手段,對你造成的影響,將整個攻擊事件還原,并呈現出完整的證據鏈。
攻擊溯源看似簡單,但是技術含量其實非常高。首先你要能識別攻擊,才能有然后。真正的高手會用你知道的手段去攻擊你嗎?
面對當時跟我分享的“中睿天下”的高手,我就想,若沒實戰攻防過,他怎么知道這么多手段呢。就好像《無證之罪》中的法醫駱聞,因為熟悉公安的辦案手法和流程,才有相當強的反偵查能力和手段。
還是SOC套路深
之前把態勢感知比作日志派,攻擊溯源比作流量派,以為涇渭分明。后來發現,還是自己膚淺了。
前陣子求教IBM,交流QRadar,開始沒多久,一張PPT就吸引了我,因為剛想問是哪個技術派別的,結果PPT就給了答案,原來是個混合派,QRadar強調日志和流量的結合。
在安全這個領域,老外講的概念是SOC(Security Operating Center),講求的是人員,流程和技術的有機結合。
以往講安全,感覺更多的是做安全項目,但是這些系統往往都是聚焦于某個點,解決某個具體領域的風險,就好像病毒防護、漏洞掃描等,但不同系統之間相互孤立。
隨著網絡攻擊手段越來越隱蔽,單純依靠某個點的安全防護,很難抵御多變的攻擊行為,所以需要在現有的基礎防護體系上建設一個全面,智能、可視化的安全運營中心。
通過SOC,為信息安全工作提供統一的運營平臺,同時借鑒大數據,人工智能等新技術,全面提升安全態勢的感知能力。
其實,我覺得外國的SOC和我們國產的態勢感知,大同小異。
安全管理那點事
安全涉及的內容太多,對技術理解有限,談談日常工作中的一點心得。
你過了ISO20000和ISO27001,你也過了等保,可是你實際的安全防護水平是什么?
對于IT內審,感覺每次都是揪著那些條條框框去卡,給不出啥針對性建議,如果審計本身已經不是面向實戰,而是面向規則,那么有規則就很可能有漏洞,而有漏洞就一定有安全隱患,就像安全的專業人士也抨擊友商,說他們是基于既有規則進行判斷的,技術落后。
是軟件就有bug,是系統就有漏洞,所謂的安全基線也是有時效的,安全防護也永遠都是在路上。
感覺隔三差五的就有安全威脅情報,然后就是一系列的安全處置,這背后考察的不僅是安全的識別和預警,更是在考察執行效率。
記得2014年,ShellShock剛被爆出來,那會我正在學習Puppet,當時360就分享過他們如何給海量服務器快速修補漏洞的經驗。還有后來的WannaCry勒索病毒,不一而同。
運維響應和執行效率其實是對安全的有效支撐,根據我的經驗,技術上的解決方案不是問題,真正的問題其實是基線管理。
可惜,在基線管理這個問題上,我并沒有找到最佳實踐。只能說,在相對可控的時間范圍內可以維持。
不過,隨著技術的演進,從主機、虛擬化、再到容器化,甚至是最新的FaaS,我感覺未來,隨著相關業務邏輯和基礎架構的逐步解耦,會讓基線升級的成本變低,從而使基線管理這個問題變得簡單。
總之,對于安全管理,不管是態勢感知還是攻擊溯源,除了安全產品和技術本身之外,最后都會聚焦到資產的識別和管理上,從而引發出海量資產管理的運維基線和效率問題。
細細的紅線
未來的信息安全管理,應該是人機合一,一個靠譜的具有實時分析和威脅感知能力的系統平臺,在再搭配一個訓練有素的安全運營團隊,我想,大概就可以從容應對攻防演練了。
總之,信息安全無小事,每個人在做好隱私防護的同時,也應該提升各自崗位的防護意識,避免觸及信息安全這根細細的紅線。
原文標題:《無證之罪》:企業信息安全只需要懂8個字?
文章出處:【微信公眾號:ssdfans】歡迎添加關注!文章轉載請注明出處。
責任編輯:haq
-
安全系統
+關注
關注
0文章
411瀏覽量
66942 -
網絡安全
+關注
關注
10文章
3176瀏覽量
59927
原文標題:《無證之罪》:企業信息安全只需要懂8個字?
文章出處:【微信號:SSDFans,微信公眾號:SSDFans】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論