腾讯云安全运营中心(Cloud SOC)产品负责人肖煜
在数字化转型进程加快的大背景下,政企上云的趋势已不可逆转,但在此过程中, 必然会伴随着更多业务场景的接入,政企单位所暴露出来的攻击也同样随之增大,尽管所面临的仍是那些熟悉的安全问题,但其威胁和挑战却更加复杂。
针对云上的主要安全威胁,腾讯安全将其主要总结线上资产梳理不清晰、攻防节奏加快导致响应处置不及时、云时代下多角色安全保障不到位,以及主流可视化技术无法满足分析运营需求的四大安全难点。
首先是线上资产梳理不清晰的问题,云的场景由于具有“用完即走”的特征,资产变化更加频繁,可能会出现大量未被纳入监管范围内的资产,导致安全部门无法及时了解云上资产的具体情况,无法判断资产是否有不合规的配置。这类情况的出现对资产梳理这项工作提出了很大的挑战,进而可能会成为一个较大的风险点。
其次是攻防节奏加快导致的响应处置不及时,业务上云后所面对的安全环境也发生了变化,攻防节奏相比以往会更快。据统计,有71%的安全运营人员认为信息量过大,64%的安全运营人员认为告警多到处置不了的程度。因此,如何应对内、外部威胁的挑战也成为一大难题。
再则是云时代下的多角色安全保障不到位,云时代下,不可避免的会出现提供云服务的平台以及使用云服务的用户(腾讯安全将其形象的描述为“租户”)等多个角色,当安全业务上线后,既要满足平台的安全需求,同时也要对平台的用户提供足够的安全保障,这就对管理多角色状态下的安全服务提出了不小的挑战。
此外,呈现整体的安全工作是相当重要的一个环节,业界常见可视化大屏能将该部分工作很好展示,但是对于运营人员而言要想相关数据加以定制化分析和利用的需求仍无法很好满足。
面对这些难题和挑战,腾讯安全运营中心(Cloud SOC)解决方案均提供了相应的化解之道。
资产梳理难题的化解之道
——发现未被监管资产及资产配置风险检查双管齐下
资产梳理是做好安全工作的第一步,随后把安全基线也要梳理清楚,这两步的重要性和价值甚至要大于挖掘0Day漏洞。
在这方面,腾讯Cloud SOC不仅可以做到针对包括云服务器、对象存储、CLB、MySQL等等原生资产进行有效的梳理,同时还可以将CMDB、主机管理、资产导入等第三方资产进行梳理。毫无疑问,这所带来的最大好处就是能够全面且清晰的了解资产的整体状况,这种运用多手段发现未被监管资产的方式也是腾讯Cloud SOC的一大优势。
资产状况清晰之后,接下来还要做好与之相关的风险排查工作,以规避因资产配置不正确而导致的风险。
腾讯Cloud SOC通过云安全配置管理(CSPM)及主机安全配置管理,实现了对包括日志审计、数据安全、网络控制、身份认证与权限、监控告警以及基础安全防护等全方位的自动化风险状况感知,进一步强化了资产配置的同时,也有效提升了防御水平。
攻防节奏加快导致的响应处置难题的化解之道
——运用NDR、XDR两套解决思路满足不同用户需求
检测和响应一直是安全运营中的一个重点,随着近些年攻防趋势的发展,传统的被动防御已经无法满足需求,基于检测-响应的主动积极的威胁应对方式则逐渐成为主流。Cloud SOC根据需求的不同有着NDR和XDR两套解决思路。
NDR——最经济高效的威胁检测响应闭环
对于云上业务而言,基于流量的NDR解决方案无疑是最经济且高效的,该方案有两大组件——腾讯NTA及腾讯天幕。
检测方面,腾讯NTA有着一插即检且立即生效的高效率,同时对系统环境无任何影响,此外,覆盖度高、抗干扰能力强以及检测类型多等特色也在同类产品中有着突出的竞争优势。
响应方面,则是腾讯安全的特色能力——腾讯天幕,它通过应用旁路阻断技术,在不改变业务环境及网络结构的条件下,实现了10倍于高端防火墙的大数量阻断策略的支持,同时还拥有着99.99%的极高阻断率。
NDR思路下的解决方案最大的优势就是在成本和效率之间达到了一个相对好的平衡。
XDR——满足更丰富的安全场景覆盖需求
同NDR相比,XDR相比NDR在流量监测的基础上增加了主机安全组件,可以提供基于端的入侵检测、资产管理、漏洞分析以及主机日志管理方案,它的引入令XDR拥有了更全面的检测覆盖能力。
与此同时,XDR引入了较强的分析能力,底层基于高效、可靠的大数据平台实现采集、存储、检索功能,并在此基础上借助关联引擎(SIEM)、用户实体异常分析(UEBA)引擎以及情报分析引擎这三大引擎进行分析,实现覆盖更多场景下的风险发现能力。
·关联引擎实现将流量和端点数据关联来有效应对外部威胁的检测发现。
·UEBA引擎则可以实现对组织内部、外部人员、实体行为进行持续分析,实现对非“正常”模式的异常行为及相关风险的精准发现,是应对内部威胁的最佳实践之一。
·情报分析引擎,原生集成腾讯威胁情报,紧跟热点,在情报碰撞、攻击研判分析方面效果显著。
响应方面,XDR解决方案的思路则是引入SOAR方式,用自动化的手段对抗流程化的攻击,化解当前安全运营过程中对安全人员依赖过高以及协同效率低这两大痛点。
业务上云后的安全告警数量极大提升,但腾讯安全在运用云上大数据能力分析发现,这之中有70%-80%的安全问题是可以进行归类的,在经过梳理后通过工具来实现自动化处置,通过腾讯Cloud SOC的SOAR自动化编排工具的能力,已经可以处理大量的日常安全运营工作,而有限的安全运营人员则可以将更多的精力投入到异常事件的响应上。
同时,在一些政府、集团型企业中有着庞大的合作、分支机构,除了需要解决单体的安全问题之外,还需解决整体的协同类安全问题。为应对这一问题,腾讯Cloud SOC引入了应急指挥平台,通过与腾讯云平台进行打通和对接,让用户拥有统一调度指挥的协同应对网络威胁能力。
云时代下的多角色安全保障难题化解之道
——一套整体方案下的按需定制 满足多方安全诉求
无论是云平台的服务方,还是云平台的“租户”(消费方)都会有安全诉求,两者除了都需要做好自身的安全管理之外,服务方还需要兼顾对消费方的安全责任。
针对这一多角色安全保障问题,腾讯Cloud SOC使用了一套整体的方案,在针对不同角色方面,则通过提供不同的专属功能和用户界面来进行区分,如消费方可以通过腾讯Cloud SOC实现对自己数据权限、资产的隔离,而平台方可以根据需要选择腾讯安全来配备安全运营专家、攻防专家,用以帮助他们分析平台自身安全问题及如何做好消费方的安全保障。
而在提供的服务方面,腾讯Cloud SOC的24x7监控、事件研判响应以及总结报告等内容,无论是平台方还是消费方,都可以根据各自的需要来获得授权使用。
主流可视化技术呈现效果单一且无法满足分析运营需求难题的化解之道
——通过“3D可视化技术”及“可自定义场景BI”兼顾展示与分析需求
关于可视化手段,腾讯安全有着自己的理解,在腾讯Cloud SOC中,安全运营可视化工具除了可以通过3D视觉效果呈现安全问题态势之外,还具有专题分析运营的能力。
3D可视化技术一直以来都是腾讯的强项,采用顶级游戏渲染引擎将生动呈现各类安全态势,不仅适用于各种汇报、交流场景,还能用作统筹作战指挥大屏,做到真正的“挂图作战”。
与此同时,可视化能力除了用于呈现安全数据的态势之外,还有一点至关重要——数据分析运营。
腾讯Cloud SOC通过BI技术,实现了针对包括诸如域名、账号、数据、邮件、组件等多场景下的可视化分析,同时也支持自定义或调整监控维度,针对不同的用户提供不同的监控仪表盘。这一能力在攻防演练场景下将会体现出巨大的优势,可以通过设定让不同的工作人员专门监控各自不同的数据和相关分析,这直接大幅提高了监控效率,在相关人员安排上也更游刃有余。
腾讯Cloud SOC不仅自身拥有从资产梳理、检测、分析、响应到可视化分析运营的全流程云上安全保障能力,更是可以根据用户的不同云上安全需求来提供与之适配的弹性解决方案,真正做到了将选择权交给用户。
“业务上云,安全先行”,腾讯安全基于在云场景下多年的研究积累和实践,令腾讯Cloud SOC在面对诸多云时代下的网络安全难题时有着强大的化解能力,为数字化潮流下的政企上云提供优秀的云上安全解决方案,为护航产业数字化转型提供坚实保障。