在缺乏网络连接的计算机安全时代,杀毒软件几乎成为唯一的安全工具。
一、为什么需要安全运营
在缺乏网络连接的计算机安全时代,杀毒软件几乎成为唯一的安全工具。随着互联网访问的普及,信息安全时代的来临,以防火墙为代表,出现了从边界流量安全到主机终端安全,再到应用安全以及文档数据安全等种类繁多的安全工具,出于降低投入成本和管理成本的原因,推动了诸如EPP、UTM、4A等集多种功能于一身的综合性管理平台的出现。
在网络安全(亦称网络空间安全)时代,作为海陆空天的第五大对抗空间,面临着无孔不入、无时不刻且千变万化的攻击手段。以网络隔离为核心防御手段的理念已不适用,分散在网络与信息系统各个地方的安全工具(即“安全孤岛”现象),在界面上虽然可以实现统一管理,但内在却极度缺乏对威胁的可见性,以及彼此之间的协同性。为此,基于统一管理平台,以安全策略为中心,连接并打通各种安全工具,力求实现协同联动的安全闭环,即态势感知系统应运而生。
二、从协同联动到安全运营
以协同联动来感知态势、预知威胁,进而控制风险的理念十分正确。但问题在于安全体系的复杂,环境的动态变化,伴随着安全分析人员缺乏和安全文化的缺失,态势感知从一个先进的安全理念,在落地后成为了一个效能难如人意的产品。大家开始逐渐意识到,一个包含了人、平台、工具、流程、管理(即数世咨询提出的“安全运营五要素”)的安全运营工作,才能帮助用户真正实现一个投入合理且风险可控的安全体系。
降低对安全工具的投入成本和管理成本,是统一管理平台或综合性解决方案出现的原因
√安全孤岛无法应对日益复杂的网络威胁,催生了旨在实现协同联动的安全体系,态势感知。
√安全运营是整个安全体系的灵魂,安全运营的质量直接决定了安全体系的效果。降低对安全工具的投入成本和管理成本,是统一管理平台或综合性解决方案出现的原因。
三、安全运营进阶之路
不同机构的规模,其信息化的程度,以及各自业务的特性,安全体系的建设情况也不尽相同。一般而言,拥有基础安全设施的机构,主要有边界安全、端点安全、Web应用安全等安全产品。专职的安全人员非常少,甚至往往由信息或网络运维人员兼职。主要的安全工作为日常的系统维护,如设备管理、补丁更新,以及满足等保测评等合规工作,远未达到安全运营的要求,处于最基本的安全运维阶段。
大多数此类现状的机构,由于缺乏相应的制度、工具、人员等资源条件,不足以形成较为完善的安全体系,在发生攻击及入侵事件的时候,只能被动的进行“亡羊补牢”式的事后处理。处于这个阶段的用户,更多的是出现影响较大的安全事件,才能触动管理层对安全的重视,以增加对安全体系建设的投入。
四、完善调优阶段
一是理念层面,即对风险的认知。需要具备良好的安全文化,要非常清楚的认识到:“风险永远存在,因此要时刻对未知有所准备。而资源永远有限,只有将有限的资源投入到最重要的工作上,才是应对风险的合理之道。”
二是技术层面,即对风险的控制措施。对此,数世咨询提出“基于持续评估和风险优先级技术”的方法论。前者是指对安全运营效能,进行持续性的测试、验证与度量。后者是指对数字资产的重要程度,脆弱性的可利用程度,以及自身资源的支撑能力和业务紧迫性,进行综合性的考量与平衡。
五、最佳实践
a.案例海量安全数据实时分析检测
某大型互联网公司数字化带来数据的爆炸式增长,仅安全日志数据量每日新增几十TB,总数据量达到PB级别。当前企业使用的日志处理平台面对海量安全数据,不仅需要支付高昂的授权费用,并且占用大量的存储成本,但性能瓶颈却无法支撑PB级别体量的日志处理,亟需选择合适的安全数据分析平台平衡性能、成本和规模,从而支撑海量安全数据的实时分析检测。
b.面临的主要困难为:
1.海量多源异构安全数据的数据接入难、存储资源消耗大
2.无法快速从海量数据中分析攻击路径、TTPS、攻击影响面
3.海量日志的安全数据查询,时效性差极大影响威胁狩猎效率
4.无法进行半年时间以上的情报回溯,难以发现历史攻击事件
c.解决方案
为满足客户在海量安全数据的实时分析检测需求,解决数据存储和使用成本问题,提高数据查询速度,并具备180天以上对原始数据的事件调查和威胁狩猎,为客户搭建腾讯云原生安全数据湖产品,主要对接终端侧+流量侧的每日新增的十几个TB海量原始数据进行实时检测和分析,并支持各类的威胁狩猎数据检索语句和自定义威胁情报回扫任务。
