|
新闻中心
> >
相关内容
安全态势建设需“十年磨一剑显锋芒”(下)
2018.11.01
江湖侠客VS黑红客
      安全的攻与防犹如江湖侠客过招,通过了解对方的名讳,观察对方的样貌、服饰、兵器、口音甚至感观气场等,快速搜索所掌握的信息,判断对方为何派别,擅长使用的招式、功法,功力达到什么层次,结合对战周边的环境信息,根据自身修炼情况选择对招致胜的策略。这不就是态势感知在收集有效数据,利用分析引擎对安全威胁进行检测,快速查询威胁情报中有关风险信息,综合分析出攻击者的攻击意图、攻击工具、攻击手段、攻击路径以及预测攻击,在网络杀伤链(Kill chain)被成功攻击之前,联动自身防御能力进行阻拦、截断,也就是所谓的“破招”。
接上期的,主要介绍了主题背景、平台系统化建设的前两步(夯实大数据平台设施基础和持续完善大数据安全分析要素与方法)。本期主要讲解平台系统化建设后两步与总结及未来态势建设技术应用趋势。
制定安全威胁处置手段
 
      1. 跨部门协作,实现处置“五步”闭环
      安全事件处理流程应定义不同级别的事件需要什么样的人,在多长时间内按什么标准处理完成。当发现安全威胁时,能以邮件、短信、微信等方式提醒通知平台运维人员,通过前期的预判分析,明确威胁类型和级别,按照事先定义好的处理流程,以工单类形式发送给相关责任人进行处理;在规定时间内完成处理和反馈,平台运维人员核查处置效果,并对安全威胁进行风险评估,判断是否存在残余风险,如存在,则继续分析、抑制和恢复整改;最后对发生的安全事件、处置方法、处置效果等进行总结记录加入知识库,当发生相似事件时为处置人员提供参考依据。
在此基础上制定安全威胁应急处置预案,对影响范围广、影响程度高的高级安全威胁提前做好应对措施,形成行之有效的网络安全协同处置机制,最终实现根据事件的类型与级别把事件处理工作分流到对应的责任单位或人,完成从“预判-派发-反馈-核查-总结”五步闭环。
2. 安全任务统一管理,完善安全台账工作
通过安全任务管理模块实现安全督促、安全检查和安全汇总,做好协调和安全台账完善工作,起到自我督促、强化安全管理的作用。安全任务管理模块包括消息推送、事件通报、计划管理、策略管理、报告报表等。
  • 消息推送与事件通报:按需向各管理人员推送安全消息,比如业务安全指标情况、行业安全资讯、监管政策等,高效挖掘与业务价值有关的信息;对表彰性、批评性和政策性的安全事件/活动进行通报,传达管理层“重要精神或情况”,提高网络安全保护意识,明确哪些事情该做哪些不该做。
  • 计划管理:结合PMP进度管理思想,将重大安全任务(如攻防演练、重大活动保障等)分割细化,明确任务完成的时间和负责人,让管理层实时了解任务进展情况,在任务推动困难时,可进行资源的调度。
  • 策略管理:统一制定全网安全策略,下发给各相关部门进行配置落实;结合业务的变化、各部门反馈来的意见,不断调整、优化安全策略。
  • 报告报表:面对管理层和管理员需提供不同的安全报告,对安全事件综合分析,把控全局安全状况和安全态势信息,提供不同层级的安全决策支持。
      3. 第三方安全服务协调机制
  • 安全响应支撑服务
基于第三方提供的安全事件响应及技术支持服务,服务内容可为远程协助服务、安全分析服务、策略优化服务、应急响应服务、重大活动保障服务等。以保障业务系统可用性及业务连续性为目标,提高安全事件排查效率,并通过事件分析和整改建议来降低安全事件发生率。
  • 行业威胁信息管理
基于第三方安全厂商威胁监测的知识库共享,监测全球安全事件和行业威胁,及时发现针对行业的安全事件,实时推送预警和防护方案,快速调整策略应对安全威胁,形成“行业威胁监测-风险主动预警-防护策略调优”处置链。
  • 定期巡检和培训
      定期巡检服务除了信息系统健康检查、设备系统故障排除,更应辅助用户对威胁检测规则进行优化,提高威胁检测率;更新最新威胁检测模型,及时应对新型威胁等。
定期展开产品的专业技术交流、新技术新应用等培训,通过知识传递,让平台管理人员能够掌握相关知识并具有相关技能。
安全人才队伍培养
 
      借助在平台系统化实施工作的过程中,培养一支有素质、有水平、作风优良的复合型人才队伍,以“人”为本,依据平台的建设、流程的制定实现安全运营,运营团队的人员配备和能力培养考验的是安全责任人或首席安全执行官(CSO)的经验与学识,所以安全责任人或首席安全执行官(CSO)是整个运营团队最重要的一个角色,为了更好的贯彻安全策略以及完成日常的运营工作,其他人才也必不可少,至少包含安全运维人员、安全分析人员、安全运营人员等。
 
      安全责任人或首席安全执行官(CSO),负责整个机构的安全运行状态,对公司内部的安全工作进行监督、协调,为平台相关的部署、成本、必要技术、设备以及员工培训等方面提供决策;
      安全运维人员,负责7*24日常监控、事件响应、初步调查、信息通告、日/周/月报等;
      安全分析人员,负责安全检测规则/模型和安全二线、事件调查、安全分析报告、规则/模型持续改进等;
      安全运营人员,负责运营工作规范、响应与处置流程的制定、应急预案的制定、安全运营报告与管理层汇报等。
      通过以上四个步骤完成平台系统化建设,做到安全威胁事前、事中及事后的灵活应对,提高运维及应急响应速度和质量,将安全威胁的闭环处置周期缩短,大幅降低安全风险及处置成本,构建成为预警、防护、检测、响应闭环的自适应安全运营体系,实现安全与业务发展的紧耦合。
      最为重要的是,平台系统化的建设是一个持续优化和运营的过程,首要前提是需要公司和高层的大力支持及持续的安全投入,其次需要在不断的实战中进行磨合、沉淀,感悟实战经验后,通过长时间的持续对抗进行数据补充优化、场景建模优化、应急处置流程优化、安全服务团队优化的过程,结合企业自身的业务、组织架构和安全管理制度,运用PDCA来不断的校验、改正、提升,以技术硬实力震慑,让攻击者付出巨大的攻击成本而自然避让,所以“十年磨一剑方显锋芒”。
 
未来态势建设技术应用趋势
威胁情报
      在业界已经谈了很多年,由于企业安全防御理念向“主动检测响应”的转变,使其更加受到关注和热议,以“威胁情报驱动”的威胁检测体系将是趋势。从实用性上,要考虑情报的Accuracy(准确性)、Relevance(相关性)、Timeliness(时效性);从落地性上,要考虑如何利用情报提升网络安全,进行威胁情境关联、告警溯源查询、安全数据与情报自动化对比、行业威胁信息管理等。将威胁情报与态势感知或大数据安全分析平台结合,补充安全威胁强关联的上下文信息,增强安全团队对各类威胁的识别能力;在威胁处置可实施性方面提供建议,缩短安全事件发现和分析周期,提升安全团队处理威胁的响应效率。
 
安全运营自动化和编配技术
      企业战略集团(ESG)的研究表明,19%的企业组织(比如超1000员工数的企业)已经在广泛引入安全运营自动化和编配技术,39%正有限度的开展此项工作,26%参与了增加安全运营自动化与编配技术的项目,13%计划在未来实现安全运营自动化与编配技术。(此段摘自安全牛)
      不管是从市场势能、用户效益还是为了实现SOAR原生功能的扩展来打造企业级SOAPA平台,积极推动了此项技术的发展,自动化和编配将发展成为平台不可或缺的安全工具。
      通过理解每一项安全任务工作流,收集全流程所需的数据,对其整个生命周期进行记录、管理和跟踪,实现平台支撑人员、安全运营团队及IT运营团队间所必要的交接。将简化例行程序、减少重复性任务的情况,实现良好的“全自动化”;将可能影响IT基础设施和业务运行的情况,以“半自动化”方式进行辅助,自动化收集所需信息,用“人工”的方式对可用数据进行调用。通过自动化安全检测、自动化交互式分析、自动化响应处置,来提升整体安全响应的效率,解决企业信息安全人才短缺的问题。