前言
在同系列第一篇文章中,本人以一线安全运营工作人员的视角对安全运营全局概念进行了自己的经验分享,其中提到安全运营建设分为五个阶段,而这五个阶段的划分其实也侧面反映了企业安全能力建设的阶段。
网络安全运营并不是企业安全建设完成后再考虑的存在,网络安全运营与企业安全能力建设之间的关系更应该像两个紧密结合的齿轮,企业安全能力的建设带动了网络安全运营的需求,网络安全运营的优化挖掘了企业安全能力建设的价值,两者相辅相成。安全运营工作不能仅仅是“纸上谈兵”的招式,而应该融入到企业安全建设的方方面面,因此在这一篇文章中,更多阐述的是安全的基础建设和基础安全运营工作理念。
从“0”到“1”的安全建设
无论是互联网公司还是企业的安全建设回首往昔,可能都逃不脱以下的经历:
随着国家政策的引导和要求逐步让企业明白安全合规建设的必要性,企业通过采购基础的安全设备对企业业务进行“表面式防护”,安全投入精打细算,能满足合规要求就绝不多建。企业加大安全建设投入往往是因为发生安全信息事件后对自身造成的不良影响,企业“亡羊补牢式”针对信息安全事件采购相应的防护设备,防火墙、WAF、IPS、终端防病毒还有主机EDR等等,颇有一股哪里有问题补哪里的决心。最后是由于企业安全建设需求的不同,企业会构建符合企业自身特性的安全防护体系,也是因为安全负责人的理解不同导致不同企业会存在不同形态的安全建设。
上文简要概述了企业安全建设的过程,其实最重要的一句话就是不同的企业在安全建设的需求以及目标是不一致的,因为企业针对于安全运营的需求也是不一样的,在安全运营学习的过程当中,很多前辈提到了安全服务和安全运营之间的区别。其中一个比喻令人印象深刻,安全服务扮演的是医生角色,站在外部审视企业存在的问题,然后提供解决方案;安全运营扮演的是的本体角色,安全运营其实是站在甲方公司的角度去思考安全建设如何开展。有一句心灵鸡汤——外界的声音只是参考,只有自己才明白自己真正所需要的。这句话同样适用于安全运营工作当中,只有真正站在企业内部发现自己有哪些缺陷,才能够针对性地优化提升。
安全运营的目标这一部分很多文章都提到了安全运营是为了让安全建设更有价值,我不清楚大家对于安全价值的理解是否一致,除了监控预警、安全响应、调查取证等一系列安全工作,我在思考安全建设最原始的价值——安全建设与业务的融合程度。“业务先行,安全滞后”是大部分企业安全建设初期的常态,也正是因为这样“业务”与“安全”才会出现断层的矛盾,举个实际又略带夸张元素的例子:
某一天,安全部门发现目前缺少针对于公司Web业务的安全防护,于是采购上架了一台WAF(Web应用防火墙),设备上架之后,一天之内发现了近千条异常行为的告警,出于安全考虑,安全部门将疑似攻击的行为匹配策略调整为阻断,然后工作汇报会议,安全部门讲自己发现处置了xxx次攻击行为保障了业务安全,业务部门讲自己接到了多少次客户投诉,投诉为什么业务无法正常办理,安全部门开始推脱你的业务有安全风险需要整改,业务部门开始诉苦安全建设妨碍了正常的业务开展
如果说安全建设和安全运营之间的关系像是两个紧密结合的齿轮相互带动和推进,那么安全建设和业务发展之间的关系可以用“双筏并进”来描述,业务和安全就像两条筏子在水中并排前行,需要相互协作、平衡好重心才能保持稳定前进。业务和安全也需要相互协调、平衡,才能实现共同的目标。如果只关注业务而忽视安全,或者只强调安全而忽视业务,都可能会导致整体发展的滞后。
业务和安全的矛盾最根本的原因在于安全和业务无法紧密融合,安全对于业务限制过大,或者业务带来安全风险不可控是两者都不能接受的。解决两者问题的学问可能不仅是通过技术层面,更应该加入管理方法,技术是实现目标的工具以及过程,管理是让企业内部快速接受过程的方法,技术与管理的有效结合才能促进业务和安全的有效融合,当然业务和安全之间的矛盾是绕不开的问题,业务和安全之间的解决办法同样不是我在此侃侃而谈理念,企业安全负责人员茅塞顿开就能解决的问题。家家有本难念的经,每个企业所面临的矛盾问题极其复杂,在这里我仅仅想通过个人的一些看法为安全负责人员提供一些思路,这些思路也是我们在开展安全运营工作的过程中所需要参考的方向。提升企业安全体系现有的防护能力是一方面,企业更需要通过安全运营优化——如何将安全设备的防御能力尽可能地针对真实的攻击者,减少对业务的干扰。
提到防御对象这个词汇不禁联想到零信任安全防护体系。零信任的理念中提到任何人都不可信,持续身份验证的概念,而零信任理念完整落地的案例屈指可数,落地场景也更偏向于针对于企业内部业务防护,零信任理念的完美实现,理论上极大程度的保障了企业安全,但是不可避免的增加了业务复杂。零信任的发展需要思考的是如何快速和业务适配,安全创新技术的引用不能成为业务的负担。安全运营也是同样的道理,安全防护的目的是保障业务持续平稳开展,这一点是安全部门开展安全工作是必须贯彻始终的原则,业务过程中的安全管控是助力甚至精简安全建设的捷径,这同样是业务部门实现企业最终安全目标不可逃避的责任和义务。
网络安全防护设备
言归正传,安全运营如何在企业落地这一个话题就可以讲述很多篇幅,而在这一篇文章里更多的是提供企业安全建设基础的思路指导,后续有机会再在后续的文章中分享安全运营实际的优秀案例以及可供大家参考的思路。
最基础的网络安全建设是网络安全防护设备的补充,通过如下这张图可以清晰直观地了解不同类型的网络安全防护设备的防护侧重点,其中很多基础安全设备的作用及原理大家已经了然于心,在此也就不多加赘述,大家可以以此为参考,自行思考企业安全防护能力薄弱点。(图片仅代表个人对于常见网络安全设备类型的理解,非官方定义)
常见网络安全防护设备全景图
基础安全运营工作
前文提到安全运营工作并不是等到安全建设成型之后考虑的事情,日常常态化的安全工作也属于安全运营工作的范畴,那今天我们最后的一个话题就是基础安全运营工作如何开展?
组织架构确定
网络安全组织架构是网络安全管理的重要组成部分,首先组织架构的确定可以根据企业实际的需求和目标,明确组织的网络安全管理职责范围,根据网络安全管理职责的范围梳理安全部门未来需要开展的工作清单,依据工作清单内容设计网络安全团队的组织结构,包括人员数量、工作职责划分以及网络安全工作流程等内容。
在很多小型企业的实际情况是,网络安全部门甚至信息化部门人员配置不足,在企业中影响力较小。这时组织架构在公司层面的确认就极其有必要了,通过公开安全部门的组织架构,清晰地表达安全建设的职责和任务,同时可以促进企业内部各部门的沟通和协作,加强安全建设的效果,共同实现企业安全目标。在部门内部则需要结合企业的需求和实际情况,制定适合企业的网络安全策略,梳理安全工作优先级,将有限的人力投入到亟需解决的问题中。
安全拓扑梳理
安全拓扑梳理是针对企业现有的信息化资产进行拓扑梳理。区别于空间资产测绘,安全拓扑梳理将企业网络拓扑比作世界地图,世界地图更加关注国家的分布;安全拓扑更关注的是整个网络环境体系及架构。而空间资产测绘的结果是对于企业内部详细信息化资产的测绘,关注于资产本身的属性,两者结合才能够对于整个网络环境有逐层渐进式的感知和了解。
安全拓扑梳理工作需要关注如下内容:
1.网络拓扑梳理为基础,明确网络流量走向、网络域vlan分布以及网络域承载的业务属性;
2.关注网络安全设备部署位置及配置关系,梳理安全设备覆盖的防护范围;
3.梳理访问路径:了解各个网络域之间访问关系,梳理访问控制规则,明确流量可达区域及访问路径。
4.对网络进行安全评估,以识别可能存在的风险和隐患,为后续安全访问控制策略调整提供指导方向。
空间资产测绘
通过空间资产探测摸清家底,对资产及其归属的单位进行识别,形成对云、网络、终端、数据、应用等为主体的资产清单;通过合规基线检查,挖掘内部资产存在的风险点,将风险点与资产进行关联,梳理资产危险程度,着重对高风险资产进行监测和处置。最后建立关键资产和所属单位、责任人员之间的联系,清晰了解“风险-资产-人员”的关系路径,最终实现全局统一资产管理。
空间资产管理工作过程在于资产发现阶段的全面性以及资产梳理成册后信息更新的及时性。企业没有空间资产测绘产品的情况下,我们可以采用分区的方式开展资产梳理的工作,通过优先业务域或者DMZ区等面向互联网侧开放的区域进行资产梳理,可以通过开源工具进行主动式的网络资产扫描,将网络资产扫描的结果通过管理手段实现网络资产与业务部门的绑定,后续资产出现隐患快速确定资产归属。
在第一次全网资产清查后,信息的更新同步可以在管理和技术两个层面开展:在管理层面,后续对于影响资产状态的操作可通过工单的形式信息同步到安全部门,安全部门对信息进行更新;在技术层面,定期开展资产状态的复查,包括开放端口等情况,若发现信息不一致的情况联系业务部门确认资产变更是否属于正常行为。
常态化漏洞挖掘
常态化漏洞挖掘主要分为漏洞扫描和渗透测试两个方向:漏洞扫描是通过漏洞扫描设备定期对网络环境内的资产进行漏洞探测,由于市面传统的漏洞扫描设备依赖规则库进行脆弱性检测,更多为弱口令、应用漏洞、框架漏洞等,漏洞扫描的结果会存在部分误报及漏报,因此需要辅以渗透测试工作;渗透测试是模拟黑客攻击手法,对重要业务系统进行非破坏性攻击测试,查找业务逻辑、应用代码存在的漏洞,包括配置管理、api接口、身份鉴别、认证授权、输入验证、错误处理、业务逻辑等方面存在的漏洞。
漏洞挖掘是开始,整改加固是闭环。当发现内部脆弱性后,安全部分需要提供的专业的处置建议、业务部门配合根据处置建议进行整改加固,整改加固完成后再由安全部门进行漏洞复测,漏洞整改完成则闭环,漏洞仍存在则告知业务部门风险仍存在继续整改直至漏洞修复。
常态化漏洞挖掘可以帮助企业尽早发现和修复潜在的安全漏洞,降低企业的安全成本,避免由于安全漏洞导致的数据泄露、网络瘫痪等损失,保障企业网络和应用系统的安全性和可靠性。
安全事件处置流程
在部门内部明确安全事件处置流程,各岗位应该各司其职,对于简单的网络攻击告警可以快速封禁IP,对于复杂的网络攻击事件能够快速响应。技术团队分析研判攻击告警是否属实,攻击行为是否成功,攻击影响范围;应急处置团队可以快速根据应急响应预案快速响应,防止影响范围进一步扩大。而这一切的基础需要提前明确不同等级的安全事件处置流程。
安全有效性验证
整体安全运营并不是部署安全设备就一定有效果,安全防护能力有效性的验证是整个安全运营中极其重要的一环,有效性验证可以避免“灯下黑”的情况发生,这其中包括:
1.检测安全设备可用性,例如:设备状态是否正常,流量监控设备是否能够正常获取流量,流量是否能正常转化告警;
2.评估安全设备防护目标覆盖程度,例如:检查WAF防护资产是否和预定目标防护资产保持一致;
3.测试安全设备监测能力全面性,例如:测试WAF是否能够覆盖已知的http攻击方式,监测能力是否符合实际工作场景需求。
4.网络拓扑梳理为基础,明确网络流量走向、网络域vlan分布以及网络域承载的业务属性;
5.关注网络安全设备部署位置及配置关系,梳理安全设备覆盖的防护范围;
6.梳理访问路径:了解各个网络域之间访问关系,梳理访问控制规则,明确流量可达区域及访问路径。
7.对网络进行安全评估,以识别可能存在的风险和隐患,为后续安全访问控制策略调整提供指导方向。