代码改变世界

基于主动防御能力,建设安全运营体系的一点思考

2020-08-02 21:19  微言晓意  阅读(901)  评论(1编辑  收藏  举报

在网络安全2.0开局之年的2014年,人们对下一代安全防御体系,应该说是既憧憬又迷茫,既期盼又陌生,既感受到了传统安全体系的不足、又对严峻的安全新形势有点不知所措。

转眼短短四年后的2018年,我们再来看看下一代安全防御体系,不仅发展趋势与方向已经得到了共识,思路、方法、技术也是日趋完善成熟,相关产品和解决方案更是百花齐放、光彩夺目。

既然是百花齐放、百家争鸣,那就会有真有假、有好有坏,有踏踏实实的务实耕耘者,也有浑水摸鱼的图利之人。但是我认为真正的实力者会很快脱颖而出,因为安全市场去伪存真的速度正在加快,2.0时代网络安全行业正在变得更加务实。

未来越来越多的组织,会改变以往盲目进行安全建设的风格,转而更加关注网络安全所带来的实际效果,并会有越来越多的人开始考虑安全建设的本质。那么,安全建设的根本目标是什么呢?

我认为在2.0时代,安全建设的目标有两个,一个是解决传统安全所不能解决的问题,也就是提高主动安全防御能力;另外一个就是让安全工作变得更方便,安全工作变得更有效率,提高整体安全运营的能力。

一、传统安全技术体系及其存在的不足

传统安全技术体系建设,通常是参考下图所示的五横五纵框架,通过各层面、各方面单点的安全防护,从而形成一个整体的安全技术体系。

五横五纵技术体系

五横五纵安全技术体系框架,在传统安全体系建设中,应用非常广泛。其特点是以资产防护为中心,横向、纵向组成的一个安全控制矩阵,体系框架通用性比较强,可以作为最佳实践应用于各行各业。

在安全威胁不断升级的今天,五横五纵安全技术体系框架局限性越来越明显。首先,传统基于边界、策略、特征的安全防护,很难应对现在高级别安全威胁,即主动防御能力不足;其次就是,缺少一个机制将这些单点的安全防护,整合成一个有机的整体,即缺乏统一的安全运营平台。

二、主动防御、深度分析、实时检测

主动防御能力不足,解决办法有两个途径,一是将深度分析、实时监测能力融入到现有系统中,如NGFW、EDR等;另外,就是部署、应用下一代安全防御产品,如TDA、UBA等。

这样来看,未来的安全产品中,传统防护类安全设备将融入新的思想,增强主动防御能力。而检测类的传统安全设备,将逐步被下一代安全分析检测系统所替代,逐渐在市场中被淘汰出局。

主动防御、深度分析、实时检测

从安全分析与检测的分类上说,第一类是风险分析与检测,也就是传统风险评估在下一代安全防御体系中的创新应用,变化是风险分析由人工变为系统自动完成,由定性分析变为定量或场景化分析,由要素组合变为要素单独分析;第二类是异常分析,主要包括业务异常(反欺诈)分析、用户行为异常分析两种;第三类是事件分析,是将传统安全防护设备中产生的告警进行归并、关联,输出高质量的事件信息。

从安全分析与检测的特性上说,首先,安全分析与检测必须是实时完成的,这样才能在威胁、异常、事件刚有迹象的初期,就能够检测出来;其次,安全分析与检测必须能够弥补传统安全设备的不足,能够发现传统安全设备发现不了的问题,这样才能称得上是深度分析;最后,分析检测结果必须能够进行整合、关联,形成有效的内部威胁情报,为安全运营提供决策支持。

三、安全运营分析平台架构(SOAPA)

安全分析与检测出的各种结果,为大数据安全分析平台提供高质量的输入,大数据平台通过规则分析、机器学习、智能分析、可视化等技术,为安全运营分析平台提供技术与数据保障。

安全运营框架

首先,深度安全分析与检测已经提供了全方位的安全感知能力,在经过大数据分析后对风险态势、安全态势、攻击态势能够进行全天候的可视化展示。

其次,通过外部威胁情报、内部威胁情报的整合与关联,在形成高质量的安全分析告警的基础上,定义告警严重程度;并根据告警处理任务类型,来判断是进行事件处理任务自动响应,还是通过预警通报输入给ITIL系统进行处理;

最后,根据需要对安全事件进行必要的审计、回溯,研究攻击过程与特征,必要时将安全运营数据输入GRC系统来评估合规符合程度等等。

四、最后

本文只是根据自己的学习,所形成的一些不太成熟的想法,在无任何倾向性的同时,也不具实践指南的意义。只是个人兴趣爱好,有志同道合的欢迎进一步交流。

注:

本文中未直接涉及现在市面上炒作厉害的APT防御、威胁情报、态势感知三类产品,因为我个人理解:

APT检测、防御是2.0时代网络安全运营的重要目标之一,没有任何一款产品可以解决APT检测与防御问题,而是需要通过整体安全体系和运营能力才能预期对抗。何况现在市面上的APT产品,大多数只是基于流量的威胁检测配合着沙箱而已;

威胁情报是一种数据服务,而很难说它成是一种成熟的产品。目前的情况来看,威胁情报单独提供给客户,其价值是没有办法最大化的,只能与分析平台结合才能发挥其作用,同时也能够增加平台的效果,发挥1+1>2的效果。

态势感知如果从微观上来说,是安全产品应该具备的能力,而非一款具体产品;从安全运营的宏观上来说,是需要安全监控、分析平台、安全人员、制度流程组合形成的,一套解决方案与工作机制。

一家之言,仅供参考!