以下内容是个人成长过程中对于网络安全运营工作的理解和思考,希望通过这篇文章帮助大家更好的去做安全运营体系化建设,开始吧!
文章目录
一、网络安全运营是什么?
安全运营工作并不是通过各类安全设备的叠加增强安全能力,而是通过技术与管理结合的形式将企业现有的安全能力进行最大化展现。为了实现安全目标、提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。
如何将现有的网络安全防护体系做得更好的这个过程就是安全运营的核心体现,换句话来说,安全运营的核心就在于提升和持续输出价值。对于企业网络安全防护建设来说,如果只按照等级保护标准开展,企业的安全得分如果只是60分勉强及格而已,而安全运营工作则是通过不额外增加安全设备的情况下,将企业的安全得分提高到85分,但剩下的15分则是因为现有体系建设中存在我们安全能力覆盖区域的空白,而缺失的能力并不能通过安全运营工作去凭空创造,为此就需要不断安全能力的查漏补齐,并将安全能力继续持续迭代优化。
二、网络安全运营建设阶段
安全运营工作覆盖到了整体安全防护工作当中的方方面面,而安全运营的理念在不同的安全建设阶段的展现也不同。
第一阶段:设备限制阶段
企业按照等级保护的标准采购各类网络安全设备,但没有专业的安全人员发挥设备应有的价值,该阶段称之为设备限制阶段。防火墙负责访问控制,WAF负责WEB应用防护,IPS负责入侵防护,态势感知负责整体安全防护,但仅仅依靠设备本身的防护能力往往是不够的,可以说这些设备在企业内部发挥的安全作用微乎其微。
安全运营理念在设备闲置阶段的体现则是建立常态化的日常防护工作,将仅仅依靠设备本身的安全能力提升为由人利用安全设备保障企业网络安全运行的安全能力。通过建立常态化的日常防护工作发挥设备应有的安全能力,在这一个阶段是从单纯设备的防护模式转变为人+设备的防护模式,网络安全的本质依然是人与人之间的对抗,而人是整个安全运营从始至终不可缺少的一环。
第二阶段:能力挖掘阶段
能力挖掘阶段顾名思义就是挖掘企业安全防护能力。从技术层面上讲,优化现有设备安全防护能力,减少设备误报,更新设备规则;从管理层面来讲,优化原有常态化工作模式,建立完善的管理流程。
安全运营工作并不是通过各类安全设备的叠加增强安全能力,而是通过技术与管理结合的形式将企业现有的安全能力进行最大化展现。
第三阶段:运营转型阶段
运营转型阶段则是安全运营理念在每个不同的企业具像化的展现,安全运营工作是要结合企业实际的工作场景,并不是照搬复制其他企业的安全运营模式就能够符合企业的发展需要。每个企业的安全防护体系面临的问题是不相同的,企业面向服务对象不同,企业的业务不同,企业的网络架构形式不同,等一系列的因素影响都会导致企业的安全防护需求不同,而运营转型阶段则是随着时间的积累,对于企业运行模式的了解,逐步衍生出符合不同企业自身的网络安全运营模式。
第四阶段:查漏补强阶段
查漏补强阶段则是在企业持续平稳开展运营工作后,通过日常的工作积累发现部分安全能力的缺失是无法通过安全运营工作提供,这时需由企业的领导进行评估是否需要进行相关安全防护能力的补充。而查漏补强阶段也分为两部分,查漏部分是发现企业现有安全防护能力无法覆盖的安全区域盲点,需要结合日常运营的需求挖掘梳理企业需要建设的安全能力,并不是无脑接入未涉及的安全防护设备。补强部分不同于能力挖掘阶段,安全设备本身是存在能力上限的,而补强部分是通过建设新的能力完善优化现有的安全运营工作。
查漏补强阶段应关注的问题:一是企业的安全投入是否能够消除同等价值的安全风险隐患,企业是否面临相关风险,风险发生概率性,风险发生造成影响都是决定是否需要进行安全投入的参考因素;二是能力补强工作本身属于锦上添花的操作,不同规模的企业对于安全运营的需求标准其实并不一致,该阶段需要根据企业自身情况进行调整,不应该让锦上添的花成为安全工作开展的负担。
第五阶段:运营优化阶段
安全运营本身的核心就是提升,安全运营工作本身也需要优化,内部形成符合企业特色的安全运营考核指标。例如:安全事件的响应时长、处理时长、漏洞修复的时间、威胁情报的产出率、WEB检测规则盲区等指标,结合考核指标发现目前安全运营工作中存在的问题,梳理运营工作优先级,合理分配人员的工作精力,持续优化安全运营的工作模式。
三、网络安全框架及模型介绍
网络安全专业机构制定的一套标准、准则和程序,旨在帮助组织了解和管理面临的网络安全风险。优秀的安全框架及模型应该为用户提供一种可靠方法,帮助其实现网络安全建设计划,对于那些希望按照行业最佳实践来设计或改进安全策略的组织或个人来说,网络安全框架及模型是不可或缺的指导工具,使用安全模型对业务安全进行总结和指导,避免思维被局限,出现安全短板。
(1)PDR模型
PDR模型是由美国国际互联网安全系统公司(ISS)提出,它是最早体现主动防御思想的一种网络安全模型。
- 保护:就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。
- 检测:可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。检测技术主要包括入侵检测 、漏洞检测以及网络扫描等技术。
- 响应:在安全模型中占有重要地位,是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统而言至关重要。
(2)P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。
- 策略:定义系统的监控周期、确立系统恢复机制、制定网络访问控制策略和明确系统的总体安全规划和原则。
- 防护:通过修复系统漏洞,正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
- 检测:是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
- 响应:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
(3)PDRR模型
PDRR模型由美国国防部提出,是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。PDRR改进了传统的只注重防护的单一安全防御思想,强调信息安全保障的PDRR四个重要环节。
(4)PDR2A模型
PDR2A模型是在原PDR2安全模型的基础上提出的,由Protection(防护)、Detection(检测)、Response (响应)、Recovery(恢复)、Auditing(审计)组成,其在 PDR2 模型的基础上增加了审计分析模块。
这个模型的特点是,它把防护、检测、响应恢复这四个环节有机地结合起来,形成一个动态技术体系,从而改进了传统的只注重防护的单一安全防御思想。在这个模型中,防护、检测、响应、恢复这四个环节是信息安全保障的重要环节,而审计则是一个独立的模块,它利用数据挖掘方法对处理后的日志信息进行综合分析,及时发现异常、可疑事件,以及受控终端中资源和权限滥用的迹象,同时把可疑数据、入侵信息、敏感信息等记录下来,作为取证和跟踪使用,以确认事故责任人。
另外,管理员还可以参考审计结果对安全策略进行更新,以提高系统安全性。在整个模型中,安全策略是核心,它包括安全防护策略.监控策略、报警响应策略、系统恢复策略、审计分析策略、系统管理策略等,这些策略贯穿于防护、检测、响应、恢复、审计各个环节所有的监控响应、审计分析都是依据安全策略实施的。
(5)IPDRR模型
IPDRR是NIST提供的一个网络安全框架,主要包含了五个部分:
- Identify:评估风险,包括确定业务优先级、风险识别、影响评估、资源优先级划分。
- Protect:保证业务连续性,在受到攻击时,限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施。
- Detect:发现攻击,在攻击产生时即时监测,同时监控业务和保护措施是否正常运行。
- Respond:响应和处理事件,具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统。
- Recover:恢复系统和修复漏洞,将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复。
(6)APPDRR模型
网络安全的动态特性在DR模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律,人们对DR模型进行了修正和补充,在此基础上提出了APPDRR模型。
APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。
根据APPDRR模型,网络安全的第一个重要环节是风险评估,通过风险评估,掌握网络安全面临的风险信息,进而采取必要的处置措施,使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节,起着承上启下的作用:一方面,安全策略应当随着风险评估的结果和安全需求的变化做相应的更新;另一方面,安全策略在整个网络安全工作中处于原则性的指导地位,其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节,体现了网络安全的静态防护措施。之后是动态检测、实时响应、灾难恢复三环节,体现了安全动态防护和安全入侵、安全威胁短兵相接的对抗性特征。
APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程,即:不存在百分之百的静态的网络安全,网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动,网络安全逐渐地得以完善和提高,从而实现保护网络资源的网络安全目标。
(7)WPDRRC模型
WPDRRC安全模型是我国在PDR模型、P2DR模型及PDRR等模型的基础上提出的适合我国国情的网络动态安全模型,在PDRR模型的前后增加了预警和反击功能。
WPDRRC模型有六个环节和三大要素。六个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。三大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证。三大要素落实在WPDRRC模型六个环节的各个方面,将安全策略变为安全现实。
(8)自适应安全架构ASA(3.0)
自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
- 防御:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
- 检测:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的停摆时间以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
- 响应:用于高效调查和补救被检测分析功能或外部服务查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
- 预测:通过防御、检测、响应结果不断优化基线系统,逐渐精准预测未知的、新型的攻击。主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
自适应安全架构1.0,针对于当时市场上的安全产品主要重在防御和边界的问题,安全形势形成了严重的挑战下提出的此框架。让人们从防御和应急响应的思路中解放出来,相对应的是加强监测和响应能力以及持续的监控和分析,同时也引入了全新的预测能力。
在2017年进入了自适应安全架构的2.0时期,在1.0的基础上进行了相关的理论丰富。在自适应架构2.0的时候加入了一些额外的元素,主要是三点变化:
第一,在持续的监控分析中改变成持续的可视化和评估,同时加入了UEBA相关的内容;
第二,引入了每个象限的小循环体系,不仅仅是四个象限大循环;
第三,在大循环中加入了策略和合规的要求,同时对大循环的每个步骤说明了循环的目的,到保护象限是实施动作,到检测象限是监测动作,到响应和预测象限都是调整动作,可以说是这种改变加入了一些额外的因素来完善自适应安全体系。
自适应安全架构描述了一种方法,该方法使用综合策略的组合来帮助企业领先于网络犯罪分子,采取灵活的安全措施以尽可能敏捷的方式保护数据和系统,而不是依赖过时的外围防御策略。
在2018年十大安全趋势中,正式确认了“持续自适应风险与信任”(CARTA)的安全趋势,也即是自适应安全架构3.0的强调。这次架构的添加的内容较多,同时名字都进行了修改。其实这篇报告在2017年已经推出,《在高级威胁的时代使用“持续自适应风险与可信评估“的方法来拥抱数字商业机会》,先来一张图说明变化:
比之前最大的变化即是多了关于访问的保护内环,把之前的自适应安全架构作为攻击的保护外环。作为增加了内环重点的关注认证,也有其内在原因:
第一,之前的自适应安全架构没有考虑认证的问题,导致架构的完整性有缺失。如果黑客获取了有效的认证内容,比如用户名密码,自适应架构对于此类事件是“可信”的,威胁就无法感知。
第二,在云时代下CASB这种产品就是解决了部分认证的问题,Gartner同时使用自适应安全架构的方法论来对CASB的能力架构进行过全面分析,可以说是将对CASB自适应的架构作为原型挪到了这个总体架构中,在这个架构中的核心点在于认证,包括了云服务的发现、访问、监控和管理。
第三,如果认证体系只是一次性认证并没有持续的监控和审计,必须要有被窃取认证信息的心理预期,所以要持续的进行监控和分析以及响应,所以要形成闭环。
(9)网络安全能力滑动标尺模型
2015年,美国系统网络安全协会提出了网络安全滑动标尺模型,将网络安全体系建设过程分为架构建设、被动防御、积极防御、威胁情报和进攻反制五个阶段,按照每个阶段的建设水平来对安全防护能力进行评估,并指导未来安全防护能力的建设。
第一阶段是基础架构阶段,解决的是从无到有的问题。
第二阶段为被动防御,意即根据架构完善安全系统、掌握工具、方法,具备初级检测和防御能力。
第三阶段为主动防御,指主动分析检测、应对,从外部的攻击手段和手法进行学习,该阶段开始引入了渗透测试、攻防演练和外部威胁情报。
第四阶段为智能学习,指利用流量、主机或其他各种数据通过机器学习,进行建模及大数据分析,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动。
第五阶段指利用技术和策略对对手进行反制威慑。
(10)零信任模型
零信任安全模型是一种设计和实现安全 IT 系统的方法。零信任背后的基本概念是默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如 IP 地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行访问控制。
四、网络安全运营工作场景
在不同的网络安全运营建设阶段,重点开展的工作也并不相同,按照实际工作中自身参与的部分工作进行梳理,形成了网络安全运营整体概念图,由基础安全设备提供安全能力,人员作为运营核心,流程作为运营保证。
安全设备仅提供基础安全能力,安全运营本身也建设在一定的安全能力之上,基础安全能力的覆盖面则决定了安全防护能力的上限。
基础工作为针对企业现有的安全设备建立常态化工作流程,为保障日常防护的需要,需要梳理内部安全架构以及资产情况,安排人员参与监控预警以及事件处置工作,企业内部定期开展渗透测试及整改加固工作。
运营工作则是针对常态化工作内容进行优化调整,包括明确组织架构,优化防护流程,对于公司现有设备策略进行调优,度量企业安全防护能力,预先梳理应急响应预案,提升实战攻防演练能力,同时加强溯源反制及威胁狩猎能力。
人、数据、工具、流程共同构成了安全运营的基本元素,以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标通常是现阶段企业的安全运营的主旨。
安全运营更像是技术和管理的合理结合,通过人员的培养,流程的定义,设备的优化最终帮助企业将安全体系建设做到符合企业实际情况的最优解,不刻意追求精益求精,也不忽略可解决的问题。
安全运营本身覆盖了安全建设场景的方方面面,针对企业的安全建设工作,安全运营更像是一个自由度极高的养成游戏,不同的人会有不同的运营方法和理念,不同的企业也需要不同的运营方式,企业的安全能力最终会被养成不同的方向,这也是安全运营工作最有趣的地方在于你需要经过你自身的思考去寻找最优解,这是单纯地看告警封IP所体验不到的快乐,网络安全运维工程师和网络安全运营工程师其实仅仅是一字之差,而两种岗位其实差距也就在于能否改变自身的想法从安全整体看待问题,运营是将固定的安全工作做出新的高度,运维是将自己的思想困陷在固定的安全工作当中,改变自己思维,以现有的安全工作为基,提升看待安全的视角,挖掘现有能够提升的空间,寻找能够解决问题的答案,这就成为了一名安全运营工程师。
五、如何开展安全建设?
随着国家政策的引导和要求逐步让企业明白安全合规建设的必要性,企业通过采购基础的安全设备对企业业务进行表面式防护,安全投入精打细算,能满足合规要求就绝不多建。
企业加大安全建设投入往往是因为发生安全信息事件后对自身造成的不良影响,企业亡羊补牢式针对信息安全事件采购相应的防护设备,防火墙、WAF、IPS、终端防病毒还有主机EDR等等,颇有一股哪里有问题补哪里的决心。最后是由于企业安全建设需求的不同,企业会构建符合企业自身特性的安全防护体系,也是因为安全负责人的理解不同导致不同企业会存在不同形态的安全建设。
企业安全建设的过程,其实最重要的一句话就是不同的企业在安全建设的需求以及目标是不一致的,因为企业针对于安全运营的需求也是不一样的,在安全运营学习的过程当中,很多前辈提到了安全服务和安全运营之间的区别。其中一个比喻令人印象深刻,安全服务扮演的是医生角色,站在外部审视企业存在的问题,然后提供解决方案;安全运营扮演的是的本体角色,安全运营其实是站在甲方公司的角度去思考安全建设如何开展。有一句心灵鸡汤——外界的声音只是参考,只有自己才明白自己真正所需要的。这句话同样适用于安全运营工作当中,只有真正站在企业内部发现自己有哪些缺陷,才能够针对性地优化提升。
安全运营的目标这一部分很多文章都提到了安全运营是为了让安全建设更有价值,我不清楚大家对于安全价值的理解是否一致,除了监控预警、安全响应、调查取证等一系列安全工作,我在思考安全建设最原始的价值:安全建设与业务的融合程度。业务先行,安全滞后是大部分企业安全建设初期的常态,也正是因为这样业务与安全才会出现断层的矛盾,举个实际又略带夸张元素的例子:
某一天,安全部门发现目前缺少针对于公司WEB业务的安全防护,于是采购上架了一台WAF,设备上架之后,一天之内发现了近千条异常行为的告警,出于安全考虑,安全部门将疑似攻击的行为匹配策略调整为阻断,然后工作汇报会议,安全部门讲自己发现处置了xxx次攻击行为保障了业务安全,业务部门讲自己接到了多少次客户投诉,投诉为什么业务无法正常办理,安全部门开始推脱你的业务有安全风险需要整改,业务部门开始诉苦安全建设妨碍了正常的业务开展。
如果说安全建设和安全运营之间的关系像是两个紧密结合的齿轮相互带动和推进,那么安全建设和业务发展之间的关系可以用双筏并进来描述,业务和安全就像两条筏子在水中并排前行,需要相互协作、平衡好重心才能保持稳定前进。业务和安全也需要相互协调、平衡,才能实现共同的目标。如果只关注业务而忽视安全,或者只强调安全而忽视业务,都可能会导致整体发展的滞后。
业务和安全的矛盾最根本的原因在于安全和业务无法紧密融合,安全对于业务限制过大,或者业务带来安全风险不可控是两者都不能接受的。解决两者问题的学问可能不仅是通过技术层面,更应该加入管理方法,技术是实现目标的工具以及过程,管理是让企业内部快速接受过程的方法,技术与管理的有效结合才能促进业务和安全的有效融合,当然业务和安全之间的矛盾是绕不开的问题,业务和安全之间的解决办法同样不是我在此侃侃而谈理念,企业安全负责人员茅塞顿开就能解决的问题。家家有本难念的经,每个企业所面临的矛盾问题极其复杂,在这里我仅仅想通过个人的一些看法为安全负责人员提供一些思路,这些思路也是我们在开展安全运营工作的过程中所需要参考的方向。提升企业安全体系现有的防护能力是一方面,企业更需要通过安全运营优化——如何将安全设备的防御能力尽可能地针对真实的攻击者,减少对业务的干扰。
提到防御对象这个词汇不禁联想到零信任安全防护体系。零信任的理念中提到任何人都不可信,持续身份验证的概念,而零信任理念完整落地的案例屈指可数,落地场景也更偏向于针对于企业内部业务防护,零信任理念的完美实现,理论上极大程度的保障了企业安全,但是不可避免的增加了业务复杂。零信任的发展需要思考的是如何快速和业务适配,安全创新技术的引用不能成为业务的负担。安全运营也是同样的道理,安全防护的目的是保障业务持续平稳开展,这一点是安全部门开展安全工作是必须贯彻始终的原则,业务过程中的安全管控是助力甚至精简安全建设的捷径,这同样是业务部门实现企业最终安全目标不可逃避的责任和义务。
最基础的网络安全建设是网络安全防护设备的补充,通过如下这张图可以清晰直观地了解不同类型的网络安全防护设备的防护侧重点,其中很多基础安全设备的作用及原理大家已经了然于心,在此也就不多加赘述,大家可以以此为参考,自行思考企业安全防护能力薄弱点。
前文提到安全运营工作并不是等到安全建设成型之后考虑的事情,日常常态化的安全工作也属于安全运营工作的范畴,那我们最后的一个话题就是基础安全运营工作如何开展?
(1)组织架构确定
网络安全组织架构是网络安全管理的重要组成部分,首先组织架构的确定可以根据企业实际的需求和目标,明确组织的网络安全管理职责范围,根据网络安全管理职责的范围梳理安全部门未来需要开展的工作清单,依据工作清单内容设计网络安全团队的组织结构,包括人员数量、工作职责划分以及网络安全工作流程等内容。
在很多小型企业的实际情况是,网络安全部门甚至信息化部门人员配置不足,在企业中影响力较小。这时组织架构在公司层面的确认就极其有必要了,通过公开安全部门的组织架构,清晰地表达安全建设的职责和任务,同时可以促进企业内部各部门的沟通和协作,加强安全建设的效果,共同实现企业安全目标。在部门内部则需要结合企业的需求和实际情况,制定适合企业的网络安全策略,梳理安全工作优先级,将有限的人力投入到亟需解决的问题中。
(2)安全拓扑梳理
安全拓扑梳理是针对企业现有的信息化资产进行拓扑梳理。区别于空间资产测绘,安全拓扑梳理将企业网络拓扑比作世界地图,世界地图更加关注国家的分布;安全拓扑更关注的是整个网络环境体系及架构。而空间资产测绘的结果是对于企业内部详细信息化资产的测绘,关注于资产本身的属性,两者结合才能够对于整个网络环境有逐层渐进式的感知和了解。
安全拓扑梳理工作需要关注如下内容:
- 网络拓扑梳理为基础,明确网络流量走向、网络域vlan分布以及网络域承载的业务属性;
- 关注网络安全设备部署位置及配置关系,梳理安全设备覆盖的防护范围;
- 梳理访问路径:了解各个网络域之间访问关系,梳理访问控制规则,明确流量可达区域及访问路径。
- 对网络进行安全评估,以识别可能存在的风险和隐患,为后续安全访问控制策略调整提供指导方向。
(3)空间资产测绘
通过空间资产探测摸清家底,对资产及其归属的单位进行识别,形成对云、网络、终端、数据、应用等为主体的资产清单;通过合规基线检查,挖掘内部资产存在的风险点,将风险点与资产进行关联,梳理资产危险程度,着重对高风险资产进行监测和处置。最后建立关键资产和所属单位、责任人员之间的联系,清晰了解风险、资产、人员的关系路径,最终实现全局统一资产管理。
空间资产管理工作过程在于资产发现阶段的全面性以及资产梳理成册后信息更新的及时性。企业没有空间资产测绘产品的情况下,我们可以采用分区的方式开展资产梳理的工作,通过优先业务域或者DMZ区等面向互联网侧开放的区域进行资产梳理,可以通过开源工具进行主动式的网络资产扫描,将网络资产扫描的结果通过管理手段实现网络资产与业务部门的绑定,后续资产出现隐患快速确定资产归属。
在第一次全网资产清查后,信息的更新同步可以在管理和技术两个层面开展:在管理层面,后续对于影响资产状态的操作可通过工单的形式信息同步到安全部门,安全部门对信息进行更新;在技术层面,定期开展资产状态的复查,包括开放端口等情况,若发现信息不一致的情况联系业务部门确认资产变更是否属于正常行为。
(4)常态化漏洞挖掘
常态化漏洞挖掘主要分为漏洞扫描和渗透测试两个方向:漏洞扫描是通过漏洞扫描设备定期对网络环境内的资产进行漏洞探测,由于市面传统的漏洞扫描设备依赖规则库进行脆弱性检测,更多为弱口令、应用漏洞、框架漏洞等,漏洞扫描的结果会存在部分误报及漏报,因此需要辅以渗透测试工作。
渗透测试是模拟黑客攻击手法,对重要业务系统进行非破坏性攻击测试,查找业务逻辑、应用代码存在的漏洞,包括配置管理、API接口、身份鉴别、认证授权、输入验证、错误处理、业务逻辑等方面存在的漏洞。
漏洞挖掘是开始,整改加固是闭环
当发现内部脆弱性后,安全部分需要提供的专业的处置建议、业务部门配合根据处置建议进行整改加固,整改加固完成后再由安全部门进行漏洞复测,漏洞整改完成则闭环,漏洞仍存在则告知业务部门风险仍存在继续整改直至漏洞修复。
常态化漏洞挖掘可以帮助企业尽早发现和修复潜在的安全漏洞,降低企业的安全成本,避免由于安全漏洞导致的数据泄露、网络瘫痪等损失,保障企业网络和应用系统的安全性和可靠性。
(5)安全事件处置流程
在部门内部明确安全事件处置流程,各岗位应该各司其职,对于简单的网络攻击告警可以快速封禁IP,对于复杂的网络攻击事件能够快速响应。技术团队分析研判攻击告警是否属实,攻击行为是否成功,攻击影响范围;应急处置团队可以快速根据应急响应预案快速响应,防止影响范围进一步扩大。而这一切的基础需要提前明确不同等级的安全事件处置流程。
(6)安全有效性验证
整体安全运营并不是部署安全设备就一定有效果,安全防护能力有效性的验证是整个安全运营中极其重要的一环,有效性验证可以避免灯下黑的情况发生,这其中包括:
- 检测安全设备可用性,例如:设备状态是否正常,流量监控设备是否能够正常获取流量,流量是否能正常转化告警;
- 评估安全设备防护目标覆盖程度,例如:检查WAF防护资产是否和预定目标防护资产保持一致;
- 测试安全设备监测能力全面性,例如:测试WAF是否能够覆盖已知的HTTP攻击方式,监测能力是否符合实际工作场景需求。
- 网络拓扑梳理为基础,明确网络流量走向、网络域VLAN分布以及网络域承载的业务属性;
- 关注网络安全设备部署位置及配置关系,梳理安全设备覆盖的防护范围;
- 梳理访问路径:了解各个网络域之间访问关系,梳理访问控制规则,明确流量可达区域及访问路径。
- 对网络进行安全评估,以识别可能存在的风险和隐患,为后续安全访问控制策略调整提供指导方向。
安全运营包含了安全建设工作的方方面面,而我能够提炼总结也只是运营工作的冰山一角,通过这篇文章的分享讲述安全运营工作从基础到进阶的养成过程,不管是从企业安全建设出发,还是从个人能力提升出发,我都希望我的想法能够为大家带来一点帮助,也希望我的想法在乐于交流同行的碰撞下能够为自己带来提升。
版权归原作者 淮南大甜橘 所有, 如有侵权,请联系我们删除。