安全产品堆叠,难以解决安全运营需求
过去几年,我们先后拜访了几百家企业,数千位客户,客户们可能处在不同区域、不同行业、不同规模、不同职位,但都有一个共同的痛点:如何将最佳实践结合公司实际情况进行落地。
这里面有2个关键词,和3大挑战。
关键词一是最佳实践。于甲方而言,很多工作已经有同行在探索并取得了较好的成果,属于行业共性问题。但如何获取到最佳实践?此为挑战之一。对于大部分甲方而言,没有足够的渠道能获取到本行业最佳实践的细节信息,对于跨行业的实践就更难获取。
关键词二是实际情况。“家家有本难念的经”,再好的最佳实践,也很难拿来就用。企业往往面临着安全团队人力有限的挑战,此为其二。
不同时间周期,企业对于实践的要求也不一样,比如季度规划、一年规划、三年规划的侧重点自然不一样,时间的挑战为其三。
不同级别的领导,对于“最佳实践”要解决的问题范围也不一样。
在分管领导这一层,看重“面”上的思路,要有清晰的网络安全规划,要与业务和IT数字化转型工作相适应,要对齐行业标杆。对于每一个规划模块,也要有对应的体系框架,在公司内部形成Roadmap,达成共识。此外,要统筹总部和分支机构,做好宣传教育、日常演练工作。
在安全主管这一层,看重“线”和“点”上的落地。网络安全、基础设施安全、应用安全、开发安全、数据安全等都是一条条的线,具体到应用安全这条“线”,如何用好IAST/DAST/SAST,对发现的问题做好闭环管理,就是一个个具体的点。
为了帮助企业客户从点、线、面各层级解决“将最佳实践结合公司实际情况进行落地”,仅仅依靠产品,已经很难满足安全运营时代的需求。
为此,知其安基于创始人团队很多成员来自甲方,具有丰富的甲方实践经历这一背景,结合知其安在安全运营领域丰富的项目实施经验积累,推出三类八项安全运营服务。
问题成因
计算机本身是分层的,从网络层、系统层、应用层,到身份层、数据层、业务层。过去二十多年我们做安全的思路是:
“在不同层上通过单点防御,构建纵深防御”
比如,在网络层部署防火墙,实现内外网隔离;在系统层部署防病毒、HIDS,实现恶意代码防护;在应用层部署 WAF、漏扫解决应用漏洞问题;在数据层部署各类 DLP解决数据泄露防护问题,等等。
这是一个企业安全基础建设的过程,目前大中型企业的安全基础建设已接近尾声,大家对安全的需求从完善基础设施,开始转向:
* 怎么将购买的安全工具的效果发挥出来?
* 产生的安全日志如何进行过滤,找到真正需要处理的高风险告警?
* 根据告警和安全事件,怎么优化现有的安全策略,降低安全设备的使用成本?
* 现有的网络安全架构怎样调整能够支撑网络安全新目标的实现?
这些需求和问题属于安全运营的范畴,而安全运营是解决怎么用好安全产品的问题,是“最佳实践的复制”,是甲方的安全管理和安全体系流程化,最佳实践的传递和固化。需要结合甲方的安全实际情况、安全风险偏好和容忍度,来确定本企业的最佳解决方案,需要有丰富的甲方实践经验才有可能落地一套可行的覆盖架构+工具平台+流程+度量的安全运营体系。
三类八项安全运营服务介绍
(一)网络安全规划
1.1 安全运营专项规划
内容:组织架构、职责划分、人员数量、工具、流程、数据指标等,对标业界不同行业(银行、证券、能源、运营商、央企、高端制造)、不同规模的最佳实践,协助甲方客户制定安全运营专项规划。
价值:知其安熟悉业界安全运营整体情况、安全运营监管政策,协助甲方制定的安全运营专项规划科学、实战、具可落地性。
1.2 网络安全架构规划
内容:越来越多的安全问题不是添加一个产品、购买一个服务能够解决的,而是涉及到底层的安全架构,甚至是 IT 基础架构的变化。网络安全架构规划,是通过规划网络安全底层架构,如统一身份认证架构、安全检测模式从黑名单转为白名单、安全左移架构等等。
价值:越来越多的公司领导、分管安全的 CIO,需要安全团队从底层网络安全架构上进行规划,从源头和架构上解决安全问题。本专项规划为安全团队提供经实践检验的网络安全架构,满足公司业务和 IT发展所需。
1.3 其它网络安全规划
如网络安全三年规划、开发安全三年规划等。
(二)安全运营服务
2.1 安全验证服务
内容:为企业不同安全防护场景提供安全验证服务,发现企业在面临真实攻击时,网络安全防护的短板和失效点。可以验证和评估的场景包括:边界安全、邮件安全、终端安全、访问控制隔离有效性、HW 专项、覆盖度排查专项等。
价值:先于攻击者、安全事件、数据泄露事件发生前,掌握自己防御体系的短板和失效点。
价值:先于攻击者、安全事件、数据泄露事件发生前,掌握自己防御体系的短板和失效点。
2.2 勒索防护能力检查和评估服务
近期金融行业勒索攻击事件频发,勒索攻击不是新技术,是各类攻击技术的组合,导致防御面非常大,勒索攻击防护也就成为了体系化对抗和防御。
内容:
我们会模拟勒索攻击的三个阶段:
1. 在感染植入阶段,我们会模拟:边界侧404个高危漏洞攻击;邮件侧,模拟各类勒索病毒邮件攻击;终端和主机侧,模拟各类勒索家族样本和域名请求。
2. 在扩散传播阶段,我们会模拟:勒索软件的横向移动和RDP3389端口爆破等行为;模拟勒索组织的域名请求、下载勒索组织的样本;模拟建立勒索软件持久化与C2的通讯;模拟批处理移除防病毒软件、关闭备份、拷贝数据等。
3. 在加密勒索阶段,我们会模拟勒索软件的各类加密行为。
通过模拟勒索软件三个关键阶段的攻击行为,以及 70 多个常见活跃勒索组织的攻击行为,收集企业防御体系的拦截和告警的结果。
自动化比对分析勒索组织的这些动作和行为,防御体系能够做到多少有效的拦截和告警?
评估勒索防护能力的真实情况,来发现勒索防护措施的短板和失效点。
价值:针对勒索攻击防护措施存在失效,难以快速发现技术防护薄弱点,以及难以快速检查和评估分子机构和海外机构勒索防护能力等问题,我们已经给30多家银行和集团做过勒索软件的防护能力的验证,提供勒索防护自查报告。我们也配合很多银行总行,对各分行,特别是海外分行、下属子公司进行勒索防护能力的检查和评估服务,协助甲方落实监管机构(金监局、人民银行、证监会)防范勒索攻击下发的各类文件要求。简言之:
协助甲方客户:主动掌握企业防范勒索攻击存在的短板和失效点,快速检查和评估分子机构和海外机构勒索防护能力,实现勒索防护能力的实战化、量化评估。
协助甲方客户:主动掌握企业防范勒索攻击存在的短板和失效点,快速检查和评估分子机构和海外机构勒索防护能力,实现勒索防护能力的实战化、量化评估。
2.3 安全策略优化服务
购买和使用同样安全产品的甲方,在安全防护效果上会有很大的差别。
比如边界安全防护上,同样的一组验证用例,拦截效果最高的是一家股份制银行,达到 98.7%,而有另外一家使用了同样安全产品的用户,拦截率不足 20%,安全效果巨大差异的原因是:安全策略不同。安全产品像开飞机一样,需要安全人员具备飞行员驾驶飞机一样,具备高度专业能力才能使用。安全策略设置和优化是安全产品发挥效果的关键点。
内容:对不同防护场景进行有效性验证,找到各个场景防护能力的短板或失效点,根据短板和失效点内容输出《安全策略优化方案》,协助甲方优化WAF、HIDS、EDR、DLP 等安全策略,策略优化后进行复验 ,提升安全防护效果。
价值:提升安全防护效果,降低安全设备使用成本。
三)安全运营大赛
3.1 安全运营大赛承办
以安全有效性验证作为演练平台,选择不同场景及用例,针对各下属单位的安全运营能力展开实网验证,检验各下属单位在复杂网络环境下的安全防御能力和应急响应速度,协助各参演单位开展策略比对和分析。通过演练平台的结果进行评分,创造竞争气氛,提高安全运营实战能力。
3.2 沙盘推演大赛承办
攻防双方根据设定好的攻防目标,开展桌面推演。攻防双方将各自陈述攻击和防守方案,并进行攻守自由辩论,最终由裁判根据攻防双方的方案完备性、科学性,应急处置、备份恢复、业务影响等方面打分,决出胜负。 比如设定推演科目:通过构建体系化攻击谋略导致上海某金融系统瘫痪。攻防双方围绕“武器构建、防御突破、检测规避、致命伤害”的四大核心展开,重点针对“CNAPS&SWIFT&CIPS”三大核心交易系统进行精准突破,有效保证后续攻击导致xx金融交易瘫痪效果。
京公网安备 11010802033237号
