近年来,全球网络空间中硝烟弥漫,高危0Day漏洞、复杂隐蔽的APT攻击事件频发,网络安全形势日益严峻,国内对网络安全实战攻防演练也越发重视,信息安全已经被提升到了前所未有的高度。
在这样的形势下,网络安全正在回归向效果导向,越来越多的政企机构逐渐意识到了安全服务才是发挥安全效能的最有效途径,因为安全服务首先就是人与相关安全技术、产品的竞合。因此,随着安全服务重要性和价值的凸显,政企机构开始加大对安全服务预算,用采购安全服务的方式替代对安全软硬件的需求。
但事实上,我国网络安全服务市场刚刚处于发展初期,仍然存在大量监管方面的盲点。针对安全服务市场到底应该朝哪里发展的问题,业内一众安全厂商们也在持续探索和实践。
3月份,安全厂商永信至诚发布了春秋云服高能效安服管控平台,希望为所有参与安全服务的操作人员提供统一的虚拟化云端操作界面及可信链路,可实时审查和全面审计操作人员对目标系统进行安全服务过程中的操作行为及流量链路,对整个安服过程全程可视,助力业主单位实施规范化、高效化和可视化的安全服务全生命周期管理。
近日,安全419(anquan419.com)见到了永信至诚高级副总裁李炜,请他聊了聊为什么会通过春秋云服来做安服管控这件事情,以及对国内安全服务发展方向有哪些更深层面的思考。
“安全服务不应该是‘黑盒子’,服务的每一个环节都必须是透明的。”
在李炜看来,当前我国的网络安全服务市场仍然处于一个粗放式发展阶段,无论是对服务人员、服务的过程,还是对服务过程中所使用的工具都缺乏有效的监管,“灯下黑”的现象并不少见。大多数情况下,对采购安全服务的甲方,尤其是对非安全行业的甲方而言,安全服务的过程是失控的。
服务人员都是谁?他们的技术水平、职业素养怎么样?服务过程中是否会存在是否存在非正常手段?是否会存在趁火打劫?安全服务项目的成果、效果和价值应该怎样量化和评估?这一系列问题后面都要打上一个问号。“但实际上,安全服务不应该是一个黑盒子。”
对政企机构而言,在正式启动一次安全服务项目时,其实也要做严格的审批流程。因为安全服务本身是一个高风险性的项目,做一次网络安全服务和检查就像是在对企业做一台专业的外科手术,要找出病变的组织和细胞,将他们剔除出去。但是假设外科医生自身的技术水平不过关,这一台手术其实是存在难以预期的风险的。
为了让患者和家属放心接受手术治疗,手术室内通常会辅助一些监控设备来进行监管,以保证医生的操作过程的规范化和透明化。但实际上,在安全服务的整个流程中,这一套监管的环节是完全缺失的。
因此,政企机构如今也都意识到了这样一个问题,出现了这方面的困扰:怎么评判一次安全检查服务是否是成功的?如果买了一次安全服务,一次安全检查,反而给单位带来了更大的问题和风险怎么办?
随着我国网络安全实战演习活动频次渐高,无论从国家角度还是政企机构自身的角度,安全服务的风险应该是可控的。不管是安全服务的人员、工具、技术、理念,还是安全服务的种类,都需要更精细化,集约化,扁平化,而这也是永信至诚打造春秋云服高能效安服管控平台的初心和原点。
“安全服务既是行业发展的排头兵,反过来也可能成为限制行业发展的瓶颈”
2020年Gartner的统计数据显示,我国当前网络安全服务在网络安全市场中占比仅为三成,以国外安全市场结构为参考,我国网络安全服务市场占比远低于全球水平,我国网络安全服务发展潜力巨大,有望成为增速最快的网络安全子市场之一。
李炜认为,从大方向上来看,当前我国网络安全产品的市场集中度较低,同质化竞争十分严重,传统的软硬件安全产品已经很难再给企业带来可观的利润空间,网络安全服务市场必然是以后引领整个行业发展带动的一个合适的道路,为安全企业创造新的利润增长点。
但网络安全本身是一个伴生型产业,所有的信息化发展都会有网络安全问题,同时所有信息化技术的发展也会带动网络安全相关的技术迭代,导致网络安全特别是网络安全服务的碎片化太严重。因此,网络安全服务也存在一定的专业性和风险性,如果没有办法将安全服务标准化或价值化,那么很有可能网络安全服务会因为发展速度缓慢,反过来成为限制整个行业发展的瓶颈。
当下,网络攻击、网络犯罪的技术水平也在不断的更新和迭代,专业的网络安全服务也需要适应不断变化的网络安全格局。
“安全服务的效果,不应该将期望寄托在人的自觉性上。”
在李炜看来,“当前安全服务市场存在诸多的管控盲点,主要体现在人员工控、过程监督、效果偏差和缺乏服务延续性这四个方面。”
首先不同安全服务人员的技能水平和职业素养是不一样的,不能把所有的期望寄托在人的自觉性上,尤其是考虑到网络安全领域的特殊性,不同人员的安全服务的质量存在着较大的差距。同时,人员的频繁流动也是一个潜在的风险隐患点。所以对人员的风险的管控和监管,是整个行业当前面临的一个重大挑战。
在过程的监督方面,在安全服务的实施过程中,对操作的合规性、行为的可控性缺乏有效的监控,服务过程也可能被人为隐藏隐患。比如在技术检测过程中植入木马,发现的安全漏洞存在瞒报,或者是在做完风险评估后评估报告是否会人为泄露,这些问题以往都是未知的,所以如何对安全服务过程中的风险进行有效管理,这一点仍然是缺失的。
在效果层面,通过一次安全检查发现了多少个漏洞、弱口令,实际上并不完全算是有效果的,真正的效果应该是通过安全服务触动客户去整改,并且消除隐患。由于缺失人员的管控和过程的监控,难以形成效果沉淀。所以才会出现行业中“日常检测没问题,实战演习都是洞”这样的怪象。而演习的强度和真正的网络战更是有本质的区别,从如何抵御网络战这个程度来说效果的偏差很大。
除此之外还有服务延续性的问题,很多企业会因为安全服务团队替换,企业自身安全管理人员流动而导致的服务信息断层问题,信息的断层会造成安全风险的失控,制约整个产业的后续发展。
“这些挑战我们自己也在思考,永信至诚作为一家以网络安全服务起家的技术性公司,希望能够通过春秋云服安服管控平台来实现对风险的管控,带动整个安全服务的发展。当前行业里面还没有人做这样一件事情,我们愿意做第一个吃螃蟹的人。”李炜表示。
春秋云服平台如何实现对人员和过程的管控呢?
李炜介绍,春秋云服安服管控平台会利用成熟的靶场云技术生成不同的操作虚拟机,在安全服务项目启动前为服务人员下发登录入口,要求安全人员通过专用链路登录,在经过审核后上传个人特定安全工具至私有云盘,或是使用云盘中提供的安全工具开展安全服务,这一切安全服务操作都会严格限制在虚拟机环境下进行。
此外,平台对服务人员彼此之间的隔离也更加严苛,对平台本身在云端也做了强隔离与强安全加固,帮助甲方政企机构提前规避不可预期的安全风险。在服务进行中,春秋云服平台会对安全人员的所有操作行为进行持续性监控和记录,一旦发现高危操作行为就会第一时间进行隔离和阻断。
这一套春秋云服安服管控平台目前已经成功应用与多家政企机构单位,去年12月,在某省的实网攻防演练任务中,平台帮助客户监控到了演练过程中的全部风险,并将演练过程中检测队伍的战术战法、报告成果,防守队伍所做出的的应急响应处置动作都统计在了平台中,一方面保证了部分被打穿的系统后续维护过程中的零失误和零风险,另一方面也为演练活动的主办方沉淀了这些高价值的数据。
“安服管控平台不单是对服务的整个过程进行管理,我们更关注后续做完服务之后客户能留下什么。”
李炜谈到,人的风险是贯穿于始终的,除了帮助甲方政企机构对安全服务进行有效监管,春秋云服管控平台其实更关注帮助企业客户留下安全服务人才的数据,这部分价值是无可估量的。
基于实战和服务的过程,以及全部安全服务的记录,春秋云服管控平台会帮助政企机构梳理建设一个安全人才库。“无论这个服务人员何时何地提供了安全服务,我们都可以对他的能力和所有行为进行记录,如果这个服务人员一直很出众,我相信很多客户都希望未来让他提供安全服务。同时,人才库也便于追踪内部的信息到底流转到哪,谁掌握了哪些信息,掌握到什么程度?谁有可能让信息流转出去?这对很多重要的行业客户来说都是非常重要的,我们希望帮政企机构把这部分数据沉淀下来。”
李炜表示:“当前永信至诚提供的安全服务都与这套平台进行了匹配,永信希望自己先把安全服务的整个过程和结果,以及风险管控的流程标准化起来,并在行业里面形成一个示范性标杆,这样以后客户看到了实际的效果后,会要求整个行业向这方面做,这样整个安全服务才会在一个正确的方向上发展的更快。”