三大因素驱动安全高速发展安全进入“工具赋能”阶段
近几年国家对网络安全的重视有目共睹,网络安全在千行百业中的部署之所以能够如此迅速普及,马虹斌认为离不开三大“引擎”驱动,即政策引导、科技伴生驱动,以及网络安全攻击事情的频发。
他解释道,2019年等级保护2.0的实施让很多企业更加重视安全建设,而大数据、云计算、物联网、移动办公这些科技在疫情期间的大量应用,也让企业意识到需要给科技加道“安全锁”才能更好发挥它们的价值。此外新闻中动辄因安全攻击导致企业损失惨重的事件,也让企业领导者紧绷安全这道弦不敢松懈,从侧面推动了安全产业的发展。
在马虹斌看来,安全建设不是一个从无到有的过程,而是一个不断提升“工具赋能”的建设过程。在安全产品堆积建设中,安全运营和运维能力的建设迫在眉睫,除利用安全工具构建基础安全架构之外,企业还需要加强安全工具的日常运营,提升自动化响应运维和安全设备协同能力,形成一个“分析-检测-处置-预防”的闭环。
赋能+协同安全工具原来可以这么用?!
那么安全工具如何为企业赋能呢?马虹斌以流量分析进行举例。众所周知,流量数据一直是安全分析的一个重要手段,安全分析人员可以对已经发生的攻击行为进行多角度、全方位、可反复的回溯检测。大多数人一想到流量分析,往往第一个想到的就是原始数据包,其实在大型网络中除了流量原始数据包分析外,DNS解析记录和关键节点Flow数据也会对整体的分析手段进行赋能。
东华软件参与的数次攻防演练中,在客户现场遇到过这样一个案例,这家客户企业拥有20多个数据中心,原始数据流在关键节点具备采集探针,但是缺乏宏观的统计分析,当企业想要统计一个月内不活跃的IP数量时,受限于探针的覆盖范围有限和响应速度很难快速实现。但是通过flow采集就可以做到,只要网元设备支持flow协议,那么flow数据采集可以实现全网可达分析。于是在攻防对抗准备阶段,东华软件帮助客户通过flow数据收集,快速统计出了历史活跃IP,同时与规划IP做差额减法,很快就锁定了一部分不活跃资产,从而在演练中高效的缩减了攻击面。
不仅如此,flow还可以作为在安全攻击事件发生时固化证据的一个有效支撑手段。曾经有一家企业中了勒索病毒,当东华软件的安全分析专家检查主机日志时,发现日志已经被修改,很难界定确认具体爆发时间,但是从flow数据中就发现了3389端口的突发流量时间节点和首发IP,从而快速的确认了勒索病毒影响范围,再通过范围内的原始流量探针回溯,很快做出了响应处理,提高了整个检测的效率。这就是一个很好的“工具赋能和安全协同”的例子。
企业安全怪圈如何破?
既然安全工具能够为企业赋能,那么是否已经部署了安全工具和平台的企业就可以高枕无忧呢?事实上,并非如此。
马虹斌指出,虽然企业动辄安装了很多安全工具,但是真正实现“工具赋能”并非易事。他表示,由于很多安全工具彼此孤立,即使存在统一管理工具,但是各个异构信息系统无法真正达成安全事件的共享和归并,管理平台每天告警事件上千上万条,但真正能处理的安全事件不到7%。此外企业建设安全团队难度较大,安全人员匮乏,尤其是考虑到投资回报率之后,很少有企业会坚持投入安全平台的持续运营服务建设。
事实上,正如马虹斌所言,不少企业的安全建设似乎进入一个怪圈——安全投资回报率很难衡量,导致企业安全投入就会迟疑,而安全人员投入不到位就只能依托安全工具,而安全工具的孤立又导致安全水平的不稳定……
东华软件安全运维经验谈
这样的困局如何破呢?东华软件在过去服务客户的经验中总结了自己的一些经验:
首先安全建设不能脱离与运维团队的沟通,单一的堆砌安全产品没有意义,要把产品或工具融入到日常运维工作中。马虹斌表示IT运维人员掌握着日常运维操作,非常清楚知道安全痛点在哪里,最容易将安全目标和业务对象做好对应关系,因此安全最好不要独立在运维之外开展。
其次选择有实力的服务提供商。要确认厂商的后期服务支持,以及他的固有生态,避免平台绑架和交付困难。当然有能力的客户在平台侧建议自研和培养自己的安全团队人才。
马虹斌介绍到,东华软件长期驻扎在用户现场从事主机和网络运维工作,有大量专业的运维团队去服务用户,协同工作效率非常高。同时又恰恰因为集成商的角色,可以从客户角度去规划和协调多个安全厂商进行“协同”发力,此外依托于东华本身的运维产品,可以有效解决在安全建设过程中的流程复杂和闭环困难等问题,深得客户信赖。像上文中提到的flow分析案例,就是通过东华流量分析产品解决的,这款产品早已广泛应用于金融、运营商、能源等大型行业客户。
最后要紧跟安全发展趋势,顺势而为。马虹斌认为,未来软件自主化,硬件平台国产化的输入,进而适应更多的“信创”市场需求。同时2020年疫情带来了大规模移动办公、远程办公的需求,数字化及混合云应用场景的变化,也带来了新的业务机会,安全服务将会呈现SaaS化趋势,安全服务托管及代运营等远程安全服务已经大规模应用。
最后谈及安全产业未来发展时,马虹斌强调,网络安全领域永远不会有唯一的解决方案,没有一家厂商可以搞定所有的安全问题,也不会有万能钥匙。这种碎片化的状态,是问题也是机遇。在企业网络安全建设领域,东华软件未来将持续构建安全体系生态,关注新时代网络安全人才培养,打造网络安全建设及运营一体化服务能力,为企业信息安全保驾护航。