|
“把网络安全当作一个战场,攻方可以在任意时间和地点,利用任意漏洞发起攻击;守方必需全时全网防护,很难用一个固定的产品实现全数据的监测。安全只能反映某个时间点攻防力量的暂时状态,终极安全结果很难达到。而只要保证过程持续安全,则结果更加趋向安全。”在第五届可视化网络安全技术论坛暨SIIP过程安全架构发布会上,安博通CEO苏长君谈到。 如今,网络攻击者正变得善于规避安全解决方案,攻击质量提升,而在指挥和控制方面变得更加隐秘,通用类的安全监测很难察觉。同时,应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。 云计算、AI、物联网等技术的兴起,网络威胁的方式也变得逐渐多元化,从钓鱼邮件到撞库攻击,再到DDoS、网络爬虫,被攻击和如何防护是一个网络安全行业的长期命题。随着技术的发展,勒索软件攻击在20多年间呈在指数级上升的同时也在不断演化,并在近年间逐渐体现危害,通过加密企业宝贵的数字资产来获得利益,许多受到攻击的公司都付出了惨重的代价。 对于金融行业来说,安全防护和风险管理就更为关键。在东方证券信息安全执行总监邬晓磊看来,金融系统所包含的信息维度众多、数据种类复杂、维护成本高是资产威胁管理中的难题所在。为此,东方证券构建了高价值的CMDB(配置管理数据库)进行多平台的信息融合,把这些信息通过数据接口的方式交叉比对、使用,以自主开发和合作开发的模式形成一系列自动化的操作。在安全性方面,打通内外部信息源的API,将漏洞信息关联到资产摸清背后的联系以加强防护。 例如在CMDB数据关联后,会根据评估结果对具体信息进行打分,根据结果和规则发送邮件或者发送工单到系统和设备的负责人,实现漏洞持续监测。再如设备上线过程中的安全状态监测,根据设备和状态信息进行自动检查,如果发现补丁没有安装,或者有安全的Agent没有安装,会通过工单和邮件的方式发送给上线单负责的人由其,直到状态达到上线要求,之后流程继续,设备会进入资产库CMDB库,后者会同步到堡垒主机系统,这个时候运维人员可以申请相应权限,整个过程自动化处理,不需要人干预。 苏长君表示:“网络安全并不是一种或者多种有形的硬件或者软件的成果,并不是我们买了硬件和软件就可以保证安全,而我们认为安全其实是一种无形的柔性的能力,这种能力需要融入到网络中任何系统,让这些数据之间跨平台流动起来,这样保证持续优化,包括组件之间关联和协同,我们认为是一种能力。” 2019年,中信银行启动全行网络访问控制策略智能化管理平台的策略,目前已经基本建设完毕投产,支撑了全行集约化运维工作的顺利开展。至此,实现了网络访问控制的端到端配置自动化生成,有效降低了管理员工作量,提升了变更步骤的准确性和网络访问准确效率,可以基本实现T+1,对总分行进行网络访问控制开通的交付。同时,还实现了网络访问控制策略的一体化和全项目周期的管理,做到同一套标准和规范统一运维,确保后续的合规管理顺利开展,提升了全行网络运维安全保障能力。中信银行网络架构师王一凡称,全行集约化运维带来一点很大的价值,就是分行科技人员在进行转型,慢慢参加到一些业务当中,形成了业务和科技双轮驱动的模式。 平安集团信息安全部银河实验室 蓝军(猎鹰)团队负责人“高小厨”所负责的团队,支撑了整个集团及平安集团旗下的各个子公司红蓝对抗的工作。安全蓝军所做的工作更偏向在漏洞利用和深入的过程中发现安全管理、安全运营、APT、架构的一系列问题,涉及的技术栈包括与安全运营对抗、与安全设备对抗,Oday漏洞瓦解,漏洞利用,工程化的能力,包括持久化,还有木马技术等。“安全蓝军可以检验安全运营的发现率和阻断率,发现问题进行整改,完善ATT、CK矩阵中的薄弱项。这个过程其实是一个对抗升级的过程。”高小厨说。 国融证券数据中心基础架构、网络安全团队负责人欧林升则认为,对于大部分中小金融企业,普遍存在费用、人力等资源不足的问题,安全建设的重点首先还是满足监管合规要求。以可以帮助企业实现监管合规要求的解决方案或工具为切入点,循序渐进推动完善企业网络安全体系化建设。 可以看到,无论是技术赋能于安全体系的防护,还是安全网络和信息化系统的体系化建设,过程安全都至关重要。经过自身的经验总结与实践,安博通提出SIIP(Security is in Process)过程安全架构。强调:网络安全是一种过程,而不是一个结果。从2011年洛克西德马丁公司提出的网络入侵杀伤链模型,到2014年、2017年Gartner先后提出的资讯安全架构和持续持续自适应风险与信任评估战略方法,都强调了过程安全的重要性。 SIIP基于大数据与AI能力,深度融合了网络安全基础架构建模、脆弱性评估与分析、高级威胁检测技术,构建了可视化的网络安全风险评估态势监测和响应处置的模型,实现了资产、业务、网络结构、安全控制、脆弱性以及入侵事件等要素的关联分析,能够对网络攻击面进行精确的评估,可以为客户提供更高的网络安全可建性,从而帮助使用者看清网络攻击面,并及时准确的发现网络攻击行为与过程。
同时,该架构还可以根据预设的剧本和不同的分类优先级提供个性化的响应处置能力,从而提高安全管理的工作效率,避免使用者陷入网络安全疲劳的状态,并且提供系统化与自动化的网络安全运维工作流,将网络安全防御工作融入到日常的网络运维工作中,使网络安全工作可以做到常备不懈。 此外,过程安全架构面向用户业务视角,按照安全防御体系的事前、事中、事后三个阶段提供了闭环的网络安全管理界面与处置能力:事前实现网络攻击面的风险评估,优化漏洞的处置排序以及收敛网络攻击面;事中提供高精度的用心检测能力与自动化的响应能力;事后提供安全事件数据挖掘和回溯分析能力。 |
