5月30日,以“持续验证 看见安全”为主题的2023网络安全运营技术峰会(SecOps 2023)顺利落幕,来自知名机构的重量级专家、行业精英、企业领袖齐聚峰会,分享精彩观点和产业洞察。今天,我们将带您回顾北京赛博英杰科技有限公司创始人兼CEO谭晓生的演讲内容,以下为全文分享 。
数字化转型时代的网络安全挑战
数字化转型到底是什么?数字化转型是将基于计算机的技术整合到组织的产品、流程和战略中。组织进行数字化转型以更好地吸引和服务他们的员工和客户,从而提高他们的竞争能力。
数字化转型是将计算机的技术整合到产品流程和战略中,上个世纪八九十年代主要是流程的计算机化,产品中较少使用计算机技术。2000年之后,尤其是2010年之后,我们给用户提交的产品之中越来越多用到智能化和网络化,比如智能家居设备和工厂设备和智能网联车等,在产品和流程中都用到了计算机技术。另外,在上个世纪八九十年代流程的计算机化,服务对象是自己的员工,客户是间接受影响。在今天,数字化转型的技术对员工和客户同时产生影响。
在做数字化转型过程中,我们面临的挑战也是空前的。这里引用中油瑞飞王勇对于网络安全的一些不错观点:
• 匹夫无罪,怀璧其罪。不考虑对手的信息安全是自娱自乐。
• 信息安全是对抗,是刺刀见红的肉搏,是在小黑屋里打群架,是没有硝烟的战争。
• 静态的防御措施无法阻止蓄意攻击者,需要随需应变、动静结合、以快打快。
• 我们做什么不取决于政策、规划、预算和个人意志,应该取决于对手做过什么?还想做什么?能做什么?
• 安全防御是尽力而为,是鞠躬尽瘁死而后已,是一种资源、时间和精神的消耗竞赛。
网络安全的知己与知彼
网络安全本质在攻防两端力量的较量。在攻防较量中,首先就要做到知彼,知彼就是要知道攻击者是怎么样的?现在的攻击者:第一个,出于国家的利益,做各种各样的渗透攻击。第二个,很多是黑产,有利益、有价值的系统和服务多存在被攻击的情况。其次攻击者也在采用新的技术,最优秀的人、最先进的技术,往往会被攻击者首先采用。最后,攻击的趋势,从单点突破向体系化的方向来进行。
如何知己,第一,银弹并不存在,安全防护不可能达到100%的安全,即使是 1% 的漏洞,也可能造成100%的损伤。第二,在今天,数据已成为第五生产要素。数据依托于信息系统而存在,数据安全不仅仅局限于数据本身,而应扩展到信息系统的各安全领域。多层面、全方位、环环相扣的纵深防御,是目前保障数据安全的有效路径。
2023网络安全趋势前瞻
我们现在看到的网络安全存在六个趋势:
01 运营:安全是动态的,是运营出来的。在过去将近30年时间,国内网络安全存在重建设轻运营的情况,我们堆砌了大量的产品。但网络安全是动态的,堆砌安全产品已经难以满足企业安全防御需求,因此我们要让产品真正有效的工作起来。
02 整合:整合多种基础安全能力。前面我们做了网络安全能力的分解,把网络安全能力分为200多种,对应的产品有200、300种产品,让这些产品能够有效的工作起来是非常难的事。过去系统难以协同联动,现在安全运营使得安全产品能够联动起来,这样就会形成压力促使系统去进行整合和联动。
03 韧性:韧性就是假设系统有可能会被入侵,入侵之后我们要能够找到别人是怎么进来的?以及怎么能够把它踢出去,而不是一攻破就束手就擒。
04 敏捷:安全不能拖业务的后腿。当下,我们对于业务系统的要求是效率与安全兼顾,这就要求我们在开发和安全方面都要敏捷化。过去传统安全流程“代码提交-功能测试-安全测试”,这样时间周期比较长对于业务系统的演进速度是有影响的。因此在这种既要快又要安全的情况下,就需要对开发流程、CI/CD流程和各种AST工具、动态防护做流程整合、安全开发。现在,安全开发成为软件供应链安全的一部分。
05 服务化:今天,安全逐渐的实现服务化。尤其是在数字化转型的背景下,越来越多中小企业依靠数字化的系统来支撑业务运行,因此而产生的网络安全需求,对于中小企业而言采购安全云化服务比配备安全人员更具优势。
06 智能化:智能化在网络安全场景中的应用的探索一直在持续进行中,今年ChatGPT展示出来的效果,让我们看到智能化是可以期望的,尤其是看到采用大模型和多模态技术提升代码识别和攻击流量识别的精度。智能化水平的提升,能够帮我们加快安全响应速度、降低成本的同时,也能够帮助我们减少对人的依赖,解决安全人手不足的问题。
以安全运营为核心的安全体系逻辑架构
(Gartner CSMA)
这是Gartner提出的CSMA的架构。我的理解,这个架构是以安全运营为核心的,其中展现最大的是安全情报与分析。最右边是传统网络安全产品,把这些产品通过标准化接口,送到安全分析与情报中心,依靠第三方威胁情报、第三方API接口,下面用身份架构动态上下文,再由统一的策略编排、态势管理,形成以运营为核心的架构。这个架构,在未来五到十年将是非常流行的一套架构。
我们在分析的时候,国内安全厂商经常会使用滑动标尺模型。滑动标尺模型左边是基础架构安全,基础架构安全就是把数字资产搞清楚,配置不犯低级错误,漏洞能够及时发现并打补丁。第二是纵深防御,就是要把各种各样的安全产品配置上。纵深防御这一层是假设人为干涉比较少,安全系统装上,就能自动的做检测和拦截。第三步态势感知和积极防御,就是人机协同,人为介入比较多去做安全运营。第四步是辅助内部外部的威胁情报,能够提高安全运营效率,进而做到更有效的安全管理。最后反制这一层,更多不是企业做的。
滑动标尺模型演进到“态势感知和积极防御”阶段,运营在其中的重要性越来越重。同样在工作中我们还应用了CDM模型,把网络安全的几个步骤:横向分为识别、保护、检测、响应、恢复,纵向把资产分为了五个维度:设备、应用、网络、数据、用户、依赖程度,左边两列是发生在事前,右边三列是发生在事中和事后,从中可以看出更多的是响应和处置,越靠左边对技术的依赖越重,越靠右边对人的依赖越重。这两个模型是在做网络安全运营的时候可以做参照的模型。
安全运营与安全运维
这里要区别安全运营和安全运维,安全运维的关键词是被动防御、单点为政、状态监测;安全运营的关键词是主动防御、安全协同、态势感知、专业流程、闭环可控。右边是在安全运营中需要的一些安全能力,包括攻击面管理、威胁情报、取证分析、安全合规管理、安全事件响应、安全监控、安全培训、安全设备运维、威胁狩猎等等。
安全运营架构包括安全防护、安全运维、安全验证、最后是安全度量。这里边就涉及到技术、流程,有工具、人员、流程。最终在安全运营要形成事件处理的闭环。
安全运营从安全用户的原始日志开始,由日志分析团队做处理之后的日志,规则团队设置各种规制。告警事件的处理,由一线运营团队、二线运营团队进行处置。在右边安全验证,弥补了安全运营中缺失的环节,通过它能够看到以往配置的安全系统所产生的安全价值。
安全运营的热点技术
在2022年和2023年,数说安全也在监测行业中的热点。这两年涌现出十几个热点:
*其中一个是扩展检测与响应(XDR):
XDR平台可以跨区域收集来自多种安全设施的检测数据,并对其进行统一的集成、关联和上下文等事件化分析,以全局视角进行威胁研判,从而获得更准确和全面的检测结果。XDR旨在高效集成产品,打破信息孤岛,降低企业内的无效告警和安全运营成本,未来将吸引难以从SOC或SIEM解决方案中获得价值的安全运营团队。
*第二个是攻击模拟(BAS):
传统的风险评估技术侧重于识别系统、网络和应用程序漏洞,BAS方案可以更进一步。BAS是指通过主动验证+(半)自动化的方式,利用攻击者的战术、技术和程序来模拟杀伤链的不同阶段,持续测试和验证现有网络整体的安全机制(包括各安全节点是否正常工作、安全策略与配置的有效性、检测/防护手段是否按预期运行等),对企业对抗外部威胁的能力进行量化评估,同时提供改进建议,推动企业安全体系走向成熟。
*第三个是攻击面管理(ASM):
攻击面是指企业所有可被利用的风险因素的集合,这些风险因素大多分布在物理面(例如端点、网络、服务器等设备漏洞)和数字面(例如企业数据泄漏、品牌侵权、个人隐私信息泄漏、网络钓鱼等)。攻击面管理旨在识别、分类这些风险因素,并对其进行优先级排序和持续监控。攻击面范围较为宽泛,按照企业管理者和外部攻击者两个不同视角,可分为网络资产攻击面管理(CAASM)和外部攻击面管理(EASM)两种。
前不久,数说安全发布了《攻击面管理产品市场分析报告》,报告显示目前国内从事攻击面管理厂商20多家,它们中不乏过去做资产管理、漏洞管理的安全厂商。过去甲方作为安全的运营者是从甲方视角来看安全管理,没有换一个视角从攻击者的视角来看。攻击面管理的理念就是,数字资产暴露在互联网上形成暴露面,暴露面一旦被攻击就形成了攻击面,这个攻击过程,如果站在攻击者角度来看不仅有攻击手段、还有攻击成本、攻击优先级排序等等。如果将攻击者视角引入,对于防守者来说,就可以把自身有限的防守资源用在最应该使用的地方,这无疑是一个更加先进的思想。攻击面管理,现在国内安全厂商技术演进路线不一,但我们认为未来内部攻击面、资产攻击面和数字风险将会形成一个整合的趋势。
*安全托管运营服务:
我们认为真正解决众多企业安全的防御问题,靠过去产品堆砌与雇佣庞大安全团队进行安全运营的模式是难以为继的。在做数字化转型的当下,将安全云化的服务能够解决大多数企业的安全防御问题,即:依托第三方的云端安全运营中心,建立常态化风险监测和安全管理闭环机制,安全专家开展7×24小时远程值守,实现持续对抗攻击和快速响应。在过去两年,安全托管运营服务在国内开始取得了一些进展。
安全的未来是什么?安全的未来是运营。在未来,安全运营在安全体系中将是非常重要的一部分。在前期的安全建设阶段堆砌了各种各样的产品之后,这些产品需要依靠安全运营来真正发挥其价值,而且数字化转型本身也需要安全运营来做保障。