2021-02-04 分类: 网站建设
踏实实验室推出万字长篇文章,踏实君结合十年团队经验和二十年从业经验深度整理和剖析了网络安全防御体系如何有效建立,推荐阅读预计20分钟。
数字时代是由物理的和非物理组成的
1999年-2019年干了20年网络安全防御体系,形形色色的见多了,直到今年6月才感觉有点儿网络安全大众化的意思了。具体表现在人们觉得这是个事儿了,原来不问的开始问了,不干的开始干了,虚干的实干了,嗯,理解万岁,意识的转变确实需要很长一段时间,就像每个国家政策出台落地都需要3-5年。
中兴华为事件、委内瑞拉大面积停电、美国对伊朗的网络战已经不断触动了人们神经,又经历了有实战有价值的攻防演练。例如HW,确实促进了很多行业组织各层面安全意识的提升,促进了实实在在安全防御策略的落地,多个视角(攻击者红方和防御者蓝方)看问题总是好的。只有经历了疼才知道痛是啥滋味,尤其是HW排名靠后的……以攻促防推动做好安全防御是个极好的方法,数字时代真安全价值才大,这次同样也是打假的过程,安全圈不大,这几年快成了娱乐圈了,300亿的市场再这么折腾下去变200亿了。
进入5月开始,安服事务应急的事儿多了,主要是因为HW,6月白天晚上的电话多了,好像急救中心电话一样,中招的多了就不会消停,每个电话都是急茬,我和团队就像大夫,总是先建议电话那头冷静冷静请他叙述症状。然后就是听到各种各样的“病情”,VPN被渗透,邮箱被暴力破解,内网被拿下,更有严重者业务数据被勒索软件锁定(这一定是混水摸鱼的),听完后大体诊断,开药方安排人抓药……总体感觉,好多问题其实完全可以提前做好工作,不用这麽着急的手足无措的睡不好觉。这些年一直想写些东西(安全情怀安全落地),也没时间,现在突然感觉大家意识可能真的到了。这个文章根据多年网络安全防御服务经验和经历,写个如何建立能睡个安稳觉的网络安全防御体系思路吧,供大家参考。
意识意识意识,意识第一位,意识第一位,其他第二位,有问题的,有大问题,有严重问题的基本都是意识出问题了,不是技术出了问题。某国家单位首次被攻破被通报要求尽快整改,由于意识问题领导没重视资源没到位。第二天马上又被攻破领导急了开始重视了,每天开始抓工作清点防护体系,工具,组织,策略,发现了大量的没有的安全防护工具没有启用,策略没落地,问中层领导,中层才意识到好多文件下达的都是空的,眼前的宝贝没使用也没落实。第三天再次被攻破,问题又在基层技术管理人员重视边界,忽视内网域策略和管理员密码。甲方邀请我们一起做了复盘,总结的第一点就是这个,意识,意识,意识,不痛不长心啊。
不仅仅是这个案例,他只是一个代表,我和团队经历的这样案例太多了,今年转变的特别的多,很欣慰大家都正常的接受了。这两年我们的汇报对象已经从原来的处长主任们逐步汇报到部长层面了也确实体现了这一点。
三人是个概念的代表,第一人是领导(组织中网络安全第一责任人),第二人是CSO首席安全管理者(总体安全策略计划制定者),第三人是一线的网络安全防御团队(PDCA执行安全策略落地和运行)。
三者缺一就会有坑,缺的多坑多,被攻击后就一定会死,只是死的快慢的问题。不重视肯定不行,重视且有文件没执行不行,有执行方向不对也不行。安全就是不断的填坑,完善这个其实就是很难的过程。
国内具备网络安全防御体系经验和实战的人才本来就很稀缺,所以坑多也是自然的,网络安全防御体系庞大而复杂,能洞悉全貌者也很少,格局,眼界,层次。单枪匹马独挡一面的大侠也不少,但更多需要的是三人综合体系,这些年见到的有些决策者的格局真不行,水平一般还限制下面人员的发展,例如(某某组织的某某领导,呵呵),有些领导者看问题水平真高,就是中层执行力就一直太差。例如(某行业单位的网络安全负责人,估计HW结束就被拿下了)…一线干活的安服人员其实很多还是挺好的朴实踏实,但也怕好经坏和尚,政府机关有时候就这体制没办法人也换不了,形形色色确实很难见到很好有效三人体系。
1999年刚考完MCSE被推荐到一家提供互联网服务的公司,服务的客户就是现在阿里巴巴的客户。在中美两地进行网上商业贸易和宣传的(几百K的带宽哪个慢啊),我们小组的工作就是几百台服务器群的大网管,确保服务器(NT和FreeBSD)运行稳定防止被黑。刚入司CTO吴先生就给我们小组一本厚厚的手册,从服务器OS,WEB, FTP,远程管理软件等的标准安装,每一步每一层的安全策略设置,每一个系统软件服务的关停判断,每一个多余端口的关闭,每一个账户的谨慎开启,每一个系统和应用的补丁,每一个Admin/ ROOT的更名,权限,强密码,一台服务器基本安全设置完成,基本是一天……回忆当年做纯粹技术的美好日子,一转眼原来小组成员只有我还在干安全,直到现在仍然感谢吴先生和安全小组带给我最原始最体系化的防御手段和原理,就是安全策略落地。在当年的安全攻防战中我们防御的确实不错,估计现在已经没有人记得2000年还有一波互联网的高潮,怀念和E国一小时、人人、当当、易趣等战斗的故事,当年我的QQ号应该还是5位数。
20年来,持续走在网络安全防御的路上,体会到不同的领域和境界,技术无敌到技术都不在是问题的时候,看到的往往是其他问题。数字时代需要考虑的内容是综合的,顶层设计和系统的梳理和体系化落地等包罗万象。网络安全防御体系方法论随着时代的发展我们已经更新了第四版(2019版),网络安全防御体系建立的核心目标就是风险可控,大家参考用吧。
网络安全防御体系方法论V2019版
官话不说了,核心就是当领导的要知道本组织的信息系统(资产)的重要性,服务的场景对象是啥,组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要)。投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子),这层做好了方向不会出大问题,基本可以打30分了。原理能这样想网络安全的领导不多,经过HW的检验,估计未来慢慢会多起来了。
按照管理层明确的保护对象方向等级,给予人、财物、资源制定具体的工作计划,没有规矩不成方圆,制度要有,要建立可靠的安全组织(自己人十安全服务资源池)。制定安全执行策略,具体制度落地策略,建设,运行,持续稽核,这层做好了,至少40分了(提醒:好多地方都是空制度,现在的经验制度十平台结合是可落地的)。一个明白道理的高情商的安全处处长基本上可以走上正确的方向了,知道如何承上启下,和领导说明白和一线的团队做好策略的去落地,随着发展信息安全首席安全官未来应该是个炙手可热的职位。
有了上两层的基础,接下来开展工作就好办多了,如果没有上面两层的支持这个阶段基本是不可行的,网络安全保障体系建设一定是围绕业务和数据的,俗称“业务+数据定义安全战略”确定好保护对象和级别,需要协同,需要按照三同步原则(同步规划设计、同步建设、同步运行),选择好规划服务商、建设服务商,踏实规划,体系逐步实现。说的简单,其实这些个环节一个出问题,就是坑坑相连,能按照这些环节都下来顺利的不多。
这些年看到大的坑有两个,一个是不了解业务和数据抡起来就瞎设计(可恨,比如国家级的某一体化平台),一个是生搬硬套的安全合规标准(可怜,比如某啥啥潮的),多维的业务需要多维的防护,设计不好就会导致降维防护,做不好就是个豆腐渣工程。 HW打瘫的目标对象基本上一种是不合规的,另一种是假合规或者阶段合规持续不合规。
安全管理及运营
从Struts2的漏洞爆出和coremail的0day,主流应用框架的选择,尤其是对外提供服务的Web和mail,一旦底层出大的安全问题了,会导致整个系统都需要重新构建了。由于很多开发者不回去考虑安全性的问题,往往从易用和易构建的角度去考虑,系统和底层架构是紧耦合的不可轻易分离,严重漏洞的出现,不能修补,勉强弄弄安全运行也有问题,不修补也不能再上线了。这个问题出现后只能重新架构和开发了,经济损失极大,这也是我们12年经历的血淋淋的教训。
这个点也是几个案例的体现,主要提醒大家IT主流品牌一定是APT攻击者的重点,因为发现一个0DAY,基本上和挖到金矿一样,我们经常在网络安全防御体系建设中看到品牌一致性的要求。从统一管理的角度上来说也是对的,但一旦出现0day或者被攻破,基本上就是全军覆没,充其量就是个马奇诺防线,而且大厂的OEM产品太多,其实每个安全厂商真正的安全能力不会超过3-5个,其他都是非重点能力。一个安全能力没有3-5年的研究研发,不可能成功的。这些年我们总结经验就是大众品牌选择部署可以在外围,解决复杂管理和高性能、高可靠性,在核心数据区或者关键管理区选择小众的品牌,或者多层异构。例如:在新**全国大网的设计上,纵深防御选择了6个品牌(非OEM)的红、黄、蓝区、数据、管理、业务在不同层,有解决性能为主的,也有解决高安全性为主的、也有解决高策略最小原则稳住的,可能都是防火墙,设计时也会有不同的侧重点。管理和安全性一定是平衡使用的。
同类型功能不同能力者的异构其实在管理者眼里是麻烦的,但在攻击者眼里同样也是麻烦的,如果做好落地,呵呵,累死Y的。例如防火墙多层异构解决避免一网通杀、防护策略失效的问题,防病毒网关、桌面防病毒和沙箱邮件追溯异构解决病毒木马、钓鱼邮件的交叉检测和查杀,威胁情报和弱点管理不同供应商的异构解决风险管理的全面化,多重身份认证和特权账号不同认证异构解决被轻易获取权限一路畅通,陷阱和蜜罐的异构设置可以让攻击到内网的黑客一头雾水。总之,不同的安全能力之间的多角度异构的灵活应用会给APT攻击者一路障碍,这些花不了多少经费,但确实有效,唯一的就是给管理者有一定难度,需要将统一管理的平台做好。
无论你用的是多高级的病毒软件和木马查杀软件,记住一点,任何高级货制作出来的第一步就是跑一遍所有的主流病毒和木马查杀软件。一个好的马,制作不容易,传输不容易,运行不容易,弄不好还被反控了,所以高级马是不容易对付的,加上中国在EDR领域一家广告公司独大,其他基本被消灭,这几年才出现一些新能力,所以,一家主流的免杀后,高级马基本上解决了大部分的问题。
也许你没听说过的方法未来都会出现,一个外卖小哥、一个保洁阿姨,一个好久不联系的朋友到了办公区,他们离开的时候,会留下继续进来的U盘状的无线发射器当作跳板,一个供应商送入的一批服务器和交换机在芯片上有可能的后门。有个电视剧叫做“密战”,建议大家看看,一个外包的软件开发商交付的代码中间有隐藏的不应该的代码,一个离职的安全管理员仍然可以拨入VPN,用root权限获取数据……这些都是现在以及未来可以发生的。
网络社会,EID的认证和识别是关键中的关键,互联网个人隐私泄密太多,通过社工的方式可以轻易获取一个既定目标的网络行为方式(网络习惯、网络id、网络密码)。人的习惯是很难改变的,所有认证的用户名,密码总是那么几个,一但破解全网通吃,HW期间碰到的单认证方式和特权用户被拿下,其实还没用到社工这种高级货。说白了,我们现在的政府企业每个单位先检查一遍全网的特权用户管理就明白了,70%的特权用户就是没有被管理、被监控,更别说其他的用户了。
数字中国万云时代,万种场景、万物互联,大数据、大平台、大系统的建设模式是中国现在以及未来的模式,政务服务一体化、行业监管一体化、城市大脑运行一体化、工业智能一体化。不可否认,数字中国急切需要打通数据孤岛,公共服务更便捷、效率更高、更智能、更便捷、行政监管更准确、更有效,数据越聚合越重要,黑市价值越高,攻击者越多,保障体系就越需要更紧密,不得不形成“大安全大运维”的合成能力保障体系,才能确保业务的安全稳定运行。产品堆砌的时代以及过去了,服务才是真价值,安全服务高级人才稀缺会更大。听说HW驻场的人有一天一万的,恭喜安全人才价值提高了不少。
世界的安全,未来会是中国式的和非中国式的,看好数字中国的开启模式,百花齐放,开源开放万种场景、万云时代、万物互联、(云、数据、应用、智能、智能制造、泛在感知、小到一个人的吃穿住行,到一个城市的实时运行,到一个社会的公共安全、到一个行业的智能发展,离不开新模式、新技术、新应用。同时一个十几亿人口的大国也必将走向自主可控,中国式网络安全会走向和世界不同的方向,也会越来越务实。
中国网络安全产业相比国际同行处于弱势,在国家高度重视网络安全的背景下依然难以依靠自身力量快速做大做强,持续下去将在国际网络对抗中愈发落后,最终损害对关键信息基础设施的有效保护能力。
当前我们虽然也面临资金不足、人才匮乏,但更需要有好的环境,好的平台,好的政府扶持政策,通过网络安全产业的供给侧改革让更多的创新者、创业者,通过统一窗口、统一平台有机会展现创新能力,在网络安全科技领域中不断贡献力量,通过基于实战的靶场演练,不断提升国家关键信息基础设施防护水平。
2018、19年参加了几次工信部和WXB关于网络安全产业的调研会,圈子里的专家其实共识度还是挺高的明白人不少,大部分观点不说了就说创新这一件事情,把它做透了就需要很多方面的合力。比如国外的合作是A.B公司的能力叠加,在国内就是大品牌的OEM,鼓励小品牌,新能力的合作。比如国内公共靶场的建立,让大家创新能力有练兵之地,总不能违法乱纪,也不能闭门造车吧,比如建立国家级的生态化安全能力展示平台和中心。让大家都有露脸的秀肌肉的地方…..供给侧的改革,确实需要百花齐放和有效的政策扶持。
现在的攻防大赛、武器库、漏洞库,不管是为了实战还是演习,攻击方现在已经新型攻击武器平台化武器库快速有效渗透,说白了已经是集团军作战了,下图示意一下,呵呵,不代表其他意思。
图10:数字时代是由物理的和非物理组成的
现在我们看到的大部分行业、企业的网络安全防御现状基本上是民兵式的,没有正规的组织建制、没有持续的和合适的后勤保障,没有先进的防御和反击工具和武器,未来这种防御体系基本上都是炮灰,不信明年HW见。
“民兵式”网络安全防御体系
这个是我们最近对于未来5年的研究方向的框架确定,有些涉及到商业秘密不方便公开说了,有兴趣的一起交流,也可以一起加入进来,为自己、为企业、为国家做些事情。
踏实实验室研究成果网络综合防御平台框架
列完提纲也陆陆续续的利用业余时间写了20天,也算一气呵成,不是写书写论文所以随性了些,毕竟是网络安全有些地方意会大于言传。也确实还有好多的话也没说完,比如云安全的误区、比如数据流动安全监管的未来、比如工业安全的坑,比如说信息安全、网络安全、数字安全的区别……以后在和大家一起讨论吧,文章中的案例和思考都是团队这些年的经历,肯定也有很多不见得大家都认同的地方,欢迎指正。期望未来中国网络安全产业更好,毕竟我的青春献给了这个产业20年,也想用本文纪念和致敬一下过去的20年。
标题名称:如何建立有效的网络安全防御体系
文章分享:https://www.cdcxhl.com/news/99114.html
成都网站建设公司_创新互联,为您提供手机网站建设、响应式网站、关键词优化、定制网站、静态网站、企业网站制作
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容