原標題:如何建立有效的網絡安全防禦體系
踏實實驗室推出萬字長篇文章,踏實君結合十年團隊經驗和二十年從業經驗深度整理和剖析了網絡安全防禦體系如何有效建立,推薦閱讀預計20分鐘。
作者:踏實君來源:踏實實驗室 | 2019-07-12 10:56
目錄
前言
這個夏天就想睡個好覺
己亥年庚午月,睡個好覺是安全這個行業大部分人的奢望,除了國際形勢、明星分手、網絡安全也是最熱的話題之一了。
世界走向數字化,現在的世界空間已經完全可以按照物理(Physical)和非物理的(cyber)來劃分了,6月20日美國對伊朗部分目標明確發動網絡戰,這是第一次公開作爲攻擊主力投入戰場,網絡攻擊成爲重要軍事工具直接服務於美國的對外政策。也讓波斯灣成爲首次數字世界衝突的舞臺,網絡超限實戰正在成爲整體政治戰略的重要組成部分,值得紀念MARK 一下。
幹了近20年網絡安全防禦感覺該寫個東西了
1999年-2019年幹了20年網絡安全防禦體系,形形色色的見多了,直到今年6月才感覺有點兒網絡安全大衆化的意思了。具體表現在人們覺得這是個事兒了,原來不問的開始問了,不幹的開始幹了,虛乾的實幹了,嗯,理解萬歲,意識的轉變確實需要很長一段時間,就像每個國家政策出臺落地都需要3-5年。
中興華爲事件、委內瑞拉大面積停電、美國對伊朗的網絡戰已經不斷觸動了人們神經,又經歷了有實戰有價值的攻防演練。例如HW,確實促進了很多行業組織各層面安全意識的提升,促進了實實在在安全防禦策略的落地,多個視角(攻擊者紅方和防禦者藍方)看問題總是好的。只有經歷了疼才知道痛是啥滋味,尤其是HW排名靠後的……以攻促防推動做好安全防禦是個極好的方法,數字時代真安全價值才大,這次同樣也是打假的過程,安全圈不大,這幾年快成了娛樂圈了,300億的市場再這麼折騰下去變200億了。
進入5月開始,安服事務應急的事兒多了,主要是因爲HW,6月白天晚上的電話多了,好像急救中心電話一樣,中招的多了就不會消停,每個電話都是急茬,我和團隊就像大夫,總是先建議電話那頭冷靜冷靜請他敘述症狀。然後就是聽到各種各樣的“病情”,VPN被滲透,郵箱被暴力破解,內網被拿下,更有嚴重者業務數據被勒索軟件鎖定(這一定是混水摸魚的),聽完後大體診斷,開藥方安排人抓藥……總體感覺,好多問題其實完全可以提前做好工作,不用這麼着急的手足無措的睡不好覺。這些年一直想寫些東西(安全情懷安全落地),也沒時間,現在突然感覺大家意識可能真的到了。這個文章根據多年網絡安全防禦服務經驗和經歷,寫個如何建立能睡個安穩覺的網絡安全防禦體系思路吧,供大家參考。
1 網絡安全意識到位確實是首位
意識意識意識,意識第一位,意識第一位,其他第二位,有問題的,有大問題,有嚴重問題的基本都是意識出問題了,不是技術出了問題。某國家單位首次被攻破被通報要求儘快整改,由於意識問題領導沒重視資源沒到位。第二天馬上又被攻破領導急了開始重視了,每天開始抓工作清點防護體系,工具,組織,策略,發現了大量的沒有的安全防護工具沒有啓用,策略沒落地,問中層領導,中層才意識到好多文件下達的都是空的,眼前的寶貝沒使用也沒落實。第三天再次被攻破,問題又在基層技術管理人員重視邊界,忽視內網域策略和管理員密碼。甲方邀請我們一起做了覆盤,總結的第一點就是這個,意識,意識,意識,不痛不長心啊。
不僅僅是這個案例,他只是一個代表,我和團隊經歷的這樣案例太多了,今年轉變的特別的多,很欣慰大家都正常的接受了。這兩年我們的彙報對象已經從原來的處長主任們逐步彙報到部長層面了也確實體現了這一點。
2 建立從上到下的有效三人體系
三人是個概念的代表,第一人是領導(組織中網絡安全第一責任人),第二人是CSO首席安全管理者(總體安全策略計劃制定者),第三人是一線的網絡安全防禦團隊(PDCA執行安全策略落地和運行)。
三者缺一就會有坑,缺的多坑多,被攻擊後就一定會死,只是死的快慢的問題。不重視肯定不行,重視且有文件沒執行不行,有執行方向不對也不行。安全就是不斷的填坑,完善這個其實就是很難的過程。
國內具備網絡安全防禦體系經驗和實戰的人才本來就很稀缺,所以坑多也是自然的,網絡安全防禦體系龐大而複雜,能洞悉全貌者也很少,格局,眼界,層次。單槍匹馬獨擋一面的大俠也不少,但更多需要的是三人綜合體系,這些年見到的有些決策者的格局真不行,水平一般還限制下面人員的發展,例如(某某組織的某某領導,呵呵),有些領導者看問題水平真高,就是中層執行力就一直太差。例如(某行業單位的網絡安全負責人,估計HW結束就被拿下了)…一線幹活的安服人員其實很多還是挺好的樸實踏實,但也怕好經壞和尚,政府機關有時候就這體制沒辦法人也換不了,形形色色確實很難見到很好有效三人體系。
1999年剛考完MCSE被推薦到一家提供互聯網服務的公司,服務的客戶就是現在阿里巴巴的客戶。在中美兩地進行網上商業貿易和宣傳的(幾百K的帶寬哪個慢啊),我們小組的工作就是幾百臺服務器羣的大網管,確保服務器(NT和FreeBSD)運行穩定防止被黑。剛入司CTO吳先生就給我們小組一本厚厚的手冊,從服務器OS,WEB, FTP,遠程管理軟件等的標準安裝,每一步每一層的安全策略設置,每一個系統軟件服務的關停判斷,每一個多餘端口的關閉,每一個賬戶的謹慎開啓,每一個系統和應用的補丁,每一個Admin/ ROOT的更名,權限,強密碼,一臺服務器基本安全設置完成,基本是一天……回憶當年做純粹技術的美好日子,一轉眼原來小組成員只有我還在幹安全,直到現在仍然感謝吳先生和安全小組帶給我最原始最體系化的防禦手段和原理,就是安全策略落地。在當年的安全攻防戰中我們防禦的確實不錯,估計現在已經沒有人記得2000年還有一波互聯網的高潮,懷念和E國一小時、人人、噹噹、易趣等戰鬥的故事,當年我的QQ號應該還是5位數。
3 安全策略落地是關鍵 有效性PDCA稽覈是關鍵
20年來,持續走在網絡安全防禦的路上,體會到不同的領域和境界,技術無敵到技術都不在是問題的時候,看到的往往是其他問題。數字時代需要考慮的內容是綜合的,頂層設計和系統的梳理和體系化落地等包羅萬象。網絡安全防禦體系方法論隨着時代的發展我們已經更新了第四版(2019版),網絡安全防禦體系建立的核心目標就是風險可控,大家參考用吧。
3.1 管理層安全戰略的策略制定
官話不說了,核心就是當領導的要知道本組織的信息系統(資產)的重要性,服務的場景對象是啥,組織要明確需要保護的對象(安全方針就是掂量掂量重要不重要)。投入持續人、財、物、服務和必要的合規工具和安全管理及運營工具(安全策略就是組織建立不建立、啥線路、掂量掂量投多少銀子),這層做好了方向不會出大問題,基本可以打30分了。原理能這樣想網絡安全的領導不多,經過HW的檢驗,估計未來慢慢會多起來了。
3.2 執行層安全路線的策略制定
按照管理層明確的保護對象方向等級,給予人、財物、資源制定具體的工作計劃,沒有規矩不成方圓,制度要有,要建立可靠的安全組織(自己人十安全服務資源池)。制定安全執行策略,具體制度落地策略,建設,運行,持續稽覈,這層做好了,至少40分了(提醒:好多地方都是空制度,現在的經驗制度十平臺結合是可落地的)。一個明白道理的高情商的安全處處長基本上可以走上正確的方向了,知道如何承上啓下,和領導說明白和一線的團隊做好策略的去落地,隨着發展信息安全首席安全官未來應該是個炙手可熱的職位。
3.3 啓動安全建設階段的策略制定
有了上兩層的基礎,接下來開展工作就好辦多了,如果沒有上面兩層的支持這個階段基本是不可行的,網絡安全保障體系建設一 定是圍繞業務和數據的,俗稱“業務+數據定義安全戰略”確定好保護對象和級別,需要協同,需要按照三同步原則(同步規劃設計、同步建設、同步運行),選擇好規劃服務商、建設服務商,踏實規劃,體系逐步實現。說的簡單,其實這些個環節一個出問題,就是坑坑相連,能按照這些環節都下來順利的不多。
這些年看到最大的坑有兩個,一個是不瞭解業務和數據掄起來就瞎設計(可恨,比如國家級的某一體化平臺),一個是生搬硬套的安全合規標準(可憐,比如某啥啥潮的),多維的業務需要多維的防護,設計不好就會導致降維防護,做不好就是個豆腐渣工程。 HW打癱的目標對象基本上一種是不合規的,另一種是假合規或者階段合規持續不合規。
除了上面的坑,要考慮安全已經是體系化大安全的概念了,尤其是現在以及未來的系統建設已經是按照“大系統、大平臺、大數據”建設的了,涉及到方方面面。所以不管是自建安全體系還是採用安全服務商承建,網絡安全防禦體系需要思考的邊界已經擴大到供應鏈安全了(包含這些內容也不僅僅這些內容,軟件開發的源代碼檢測、 提供鏈路服務、託管服務、DNS服務、CDN服務、安全運維服務、IT運維服務、以及合規要求的管理、技術、運維、測評的各項要求)。儘量可控可信,紮實先把合規紮實了(少看PPT,多看實際效果和系統,從剛需出發到合規,不要僅僅從合規出發,花架子沒用,基礎安全還是挺重要的,不要被新技術忽悠了)。這些做好了可以是50分了,還沒有開始建設就要考慮這麼多,磨刀不誤砍柴工,謀定而後動纔是正道。
3.4 安全體系建設階段的策略制定
囉嗦了這麼多才開始準備如何建設了,網絡安全防禦體系的建設是個大工程,不同的人理解不同。彙總起來就是一個風險控制目標、兩個視角(國內合規、國外自適應)、三個領域策略融合(管理、技術、運維)、 四個體系獨立而融合(防禦體系、檢測體系、響應體系、預測體系)的建立可視、可管、可控、可調度、可持續的彈性擴展的一個很NB的安全管理及運營中心 (簡稱“12341)。
一個風險控制目標:評估保護對象當下的防禦成熟度,制定防禦成熟度目標,持續動態評估完善程度和風險程度。
兩個視角之一:國外的自適應安全體系包含四個子體系建設。防禦體系、檢測體系、響應體系、預測體系,四個子體系分下來又是很多。例如網絡層檢測,傳統都在用IDS IPS ,其實對於新型攻擊都已經失效,2014年以後我們的檢測方案已經採用全流量層檢測分析了,網絡層的IDSIPS其實已經過了價值週期.又如主機層檢測,高級馬都已經免殺了,傳統的安全檢測只能防住小賊了,呵呵不說了說多了得罪人。總結一下檢測體系的建設一定要由淺到深,由點到面,由特徵到全面。國外的安全行業特別側重檢測體系和響應體系的建設,近三屆的國際信息安全RSA大會主流也是這個爲重點,縱深防禦體系的理念也影響了國內安全若干年,其實態勢感知預測體系國外也沒有落地,還在概念階段。Norse用假數據欺騙了大家,到2017年倒閉了,國內的安全忽悠們還在用“地圖炮”忽悠行業外,態勢感知是個大命題,PPT和大屏版的假數據基本把這個領域帶入一個坑,一個安全大會滿天飛(假數據)已經引起這個行業大多數人的反感。
兩個視角之二:國內的等級保護1.0– 2.0的合規體系,一箇中心, 三重防護的落地。等級保護1.0從04年–14年10年曆程不容易,確實要感謝爲中國信息安全和等級保護做出貢獻的這代人,從安全一個點做到完整的基本防禦體系,爲中國信息化和信息安全的發展奠定了一個基礎。讓大家有了一定的安全防禦體系的概念,我們很有幸帶隊做了無數的等級保護和FJ保護的項目。這個領域我們要說第二,估計第一確實要空缺,經驗給了我們方法論又應用在實踐,實話說等級保護1.0做好了就已經很好了,關鍵是應付的多落地的少。2014年,雲開始規模落地了,數據匯聚了,應用一體化了,物聯網、移動互聯……,1.0確實不再適用了,14-19年5年的歷程,2.0的出臺也不容易,仔細看看和研讀,按照標準做好了,落地了就踏實了。合規還是基礎,三重防護(計算、區域邊界、通信網絡)是重點的基礎性防護建設;然後重點分層保護,資源再多也是有限的,大門和每個門是最關鍵的,核心保護對象和邊緣保護對象的防禦,檢測,響應,預測體系逐步完成,安全策略一點點上。最小原則開始逐步放寬,到平衡後劃個基線,就不要隨便動了,關於安全管理中心的坑,這是也個大命題,後面講吧一些老前輩的思路已經不適合未來了。
其實這兩個視角都還不錯,哪個做紮實了,都可以打70分了。面對甲方層次不同的要求和理解,根據實戰經驗我們把國內外理念疊加彙總形成網絡安全防禦體系建設落地的框架供大家參考。
3.5運維&運行階段安全策略的制定
這個階段原來的理念是七分建設,三分管理和運行,現在的實踐表明更合理的是三分建設七分管理和運行, 網絡安全防禦體系最後一關就是體系合成和運轉。合規是基礎,策略很關鍵,落地良運行,保障成體系。我們服務過國內和國外兩種客戶,最大的不同就是國外企業ITIL+安全管理貫穿可以落地,國內很難,分析了很久可能是文化或者體制的問題,很多的部門設置,運維處和安全處是分開的無法協同,其實ITIL原理和國內的ITSS都還不錯,那個落地了都可以確保運維運行階段的安全策略落地。安全策略這個詞從安全戰略制定一直貫穿到運維,這個是一條線的,叫法不同但核心意思就是將戰略、制度、流程、人員、工具、安全管理和運營平臺一體化運轉起來。這樣的方式做好了運維運行階段就成功一大半了。其次,安全管理和運行的大平臺的建立是關鍵,其實安全和運維是分不開了,現在運維工具是運維、安全管理是安全,孤立的系統永遠不成體系,人員或者崗位一變動就出問題。HW當中防禦體系暴露出來的主要問題其實就在這個關鍵環節,完成這個環節,可以打90分了。
4攻擊方和防禦方的對抗視角
要想做好網絡安全防禦,就要站在攻擊方的視角看問題,網絡空間HK惦記的就是你所守護的,沈院士描述的霸權國家、敵對勢力、黑客組織和你所守護的對象防禦程度成正比。
4.1 尋找目標 l 減少目標暴露面
其實攻擊者也很累,如果攻下來的目標價值不大甚至被反制,攻擊者也會很鬱悶,浪費時間和心血也是很耗功力的,初學者會因爲興奮而攻擊,老炮們要是沒有激勵和內在動力。其實也不願意熬夜了,拿下目標的瞬間荷爾蒙飆升、圈子裏的揚名、財富以及爲組織增光是主要激勵,所以尋找合適的有價值的目標是攻擊者的前提。
對於防禦者來講,就是了解自己保護的對象對黑客的吸引力,儘量減少暴露面,IP,端口,服務,主機名,操作系統、支撐軟件,web服務,不是自己必要直接外露的,能減少就減少,能在深宅大院,就不要在街口開門。
4.2 收集信息 l 反信息收集
對於攻擊方來講,目標確定後會通過各種方式進行信息的收集,可以採用社工的方法收集關鍵人的互聯網喜好和慣用的工具等等,也可以僅僅是IT信息,信息越多攻擊者就可以結合使用,對於高級目標,幾個月到半年甚至更長的時間,一點點收集。
對於防禦者來講,自身個人的信息,守護對象的信息、外包商服務商的信息、採用的IT系統的信息、暴露面的信息,入侵監控的信息,都是需要保護的和提高警惕的。
4.3找弱點 l 減少弱點
對於攻擊方來講找弱點的方式,最簡單最暴力最直接的就是採用大型掃描器,分佈式掃描器,一個目標的地址段暴露面都是弱點集中的地方,往往一次大規模的漏洞爆出,就是找到弱點最簡單的辦法。不管是網絡層的、系統層的、應用層的還是弱口令的。這些簡單弱點就是入門第一選擇,當然,Oday另外再說。
對於防禦方來講如果平時的弱點管理的好,及時更新,動態監控做的好還可以,往往弱點的爆出沒有及時的採取措施,很可能在這個時間差就已經被侵入了,實踐經驗中弱點的管理需要交叉異構。我們做了一個站在甲方視角的弱點管理平臺,效果確實還是不錯,曾經出現的一起事件,某盟的弱點管理髮現了問題,但由於操作系統廠商已經沒有了,雖然也發現了但沒有預警,其實甲方還在大量的使用此操作系統,交叉使用的弱點管理平臺起到了很好的效果,預防了一次較高級別的APT攻擊事件(兩會期間)。
4.3 強盜式進門攻擊 | 第一道防線
DDOS用的越來越少了, 主要是太野蠻也暴露的太快,現在的雲服務商、運營商都已經有很好的防護了,加上監管單位打擊,這種方式確實實用效果一般。現在強盜式攻擊反而採用字典爆破成爲主流的,驗證碼繞過的也不少,12306經受了多少次的洗禮,特色的驗證碼就是證明,這個領域的防護說起來一點都不難,但這個領域出問題的也是最多的,可以說無知者無畏。總結幾點線守則,對外服務的系統甚至內網的系統,多重驗證是非常必要的,安全策略加大強制弱口令不得生存,關閉不必要的服務、端口和清理root賬號。軟件開發商稍微懂點按照安全軟件編程開發和防範,其實就這些,一個系統這裏的投入不會超過幾十萬就基本可以安心了。
4.4. 溫柔式內網攻擊 | 第二道防線
靜默型攻擊從08年以後就是主流了,大規模的炫耀式的病毒攻擊基本消聲覓跡了,都已經悄悄地進入打槍的不要,APT、APT、APT是我們天天防護的重點。就如我上文所說,攻擊者也很累,現在沒有人願意敲鑼打鼓的去說我要攻擊你,更多的就是低調低調低調,第一道防線被撕開口子的概率是比較大的,一但進來如果防禦者做的好,攻擊者就是進入深淵的開始,每個不合適的內網嗅探,試圖提權,異常行爲,其實很好抓。我們現在總結出來經驗,基本上進來的APT跑不了,要不不敢動,一動就會發現。總結幾個關鍵點,全網全流量監控,全網主機系統監控,控制好有限的特權用戶/普通用戶賬戶並進行行爲監控,安全域策略最小化原則並動態可視監控,在覈心主機和數據系統裏做好黑白名單的可信驗證。一點也不高深特簡單,不用PPT吹NB,做好落地了基本保證第二道防線沒問題。我們把這些統合起來做了個系統,稱爲防禦平臺核心檢測功能,現在用了的客戶都沒有被HW幹掉,實施一個滿意一個,我們也特別有成就感。這個估計未來會成爲主流的趨勢,實幹簡單清晰化防禦體系裏的檢測系統,感謝PCSA聯盟的KL,QT,ZX,SBR,ABT,CT,ZR,kx (科來、青藤、中新、聖博潤、安博通、長亭、中睿、可信….)安全能力者們。你們做的探針真的很NB,也確實是未來的安全中間力量,和品牌沒關係,要看能力,真安全未來大浪淘沙。
5關鍵信息基礎設施防護 之關鍵點考慮
等級保護2.0已經頒佈,關鍵信息基礎設施保護相關的細化標準政策估計也會很快出臺,數字時代這些內容都會在網絡空間承載。
按照方院士的定義網絡空間是一種人造的電磁空間,其以終端、計算機、網絡設備等爲平臺,人類通過在其上對數據進行計算、通信,來實現特定的活動。
在這個空間中,人、機、物可以被有機地連接在一起進行互動,可以產生相應的內容、商務、控制等影響人們生活的各類信息,數字中國萬雲時代,萬種場景、萬物互聯,所以討論關鍵信息基礎設施防護需要聚焦落在幾個領域爲好……
5.1 平臺安全
宏觀的平臺概念太大,具體細化在我們微觀的理解中數字中國的特徵未來會有無數的平臺,例如城市大腦的泛在感知物聯平臺,支撐工業製造的工業互聯網平臺、支撐政務雲的政務雲平臺、支撐數據的數據中臺,支撐應用的支撐平臺,支撐12306的客票平臺、支撐電網的調度平臺、支撐中小企業的公有云平臺(租戶+雲),支撐大家喫穿住行的電商平臺、政務服務的一體化平臺、行政監管的一體化平臺,每個平臺承載的都是一個區域、一個行業、一個場景,現在網絡安全行業在每個層面都有新的安全從業者在研究和探討,概念太龐大。我們已經在研究的就是企業級、行業級、城市級、國家級關鍵信息基礎設施平臺防護的要點,2018-2019年,踏實實驗室和PCSA聯盟和CETE也溝通落地了上海嘉定新一代基礎設施的城市及安全管理平臺,還是需要很多專門地方需要探討,隨着新一代信息基礎設施的前進而前進。
5.2 數據安全
說起數據安全,先說一個概念兩個維度兩個熱點,一個概念就是數據的基本分類( 國家級、行業級、城市級、企業級、羣體級、個體級),個人數據有可能也是國家級別的防護,國家級的數據也有可能之採取個人級別的防護。
兩個維度,一個是站在數據的價值維度看重要性(數據資源級別—保安級、數據資產級別—保鏢級、數據資本(流通)級別—武警級、數據託管(交易)級別—銀行級)的新思維(海關劉處的思想),一個是站在數據全生命週期維度看重要性(採集、傳輸、加工、處理、存儲、銷燬)的傳統思維。
兩個熱點,一個是各地大數據局政府機構的成立,數據共享、交換、流通,2014年我的碩士畢業論文提到的現在政務的“盲數據、死數據”未來都會隨着數據的流動起來產生價值。一個是公共平臺隱私數據的保護,數字時代APP和網站以及其他公共設施收集的每個人的身份信息、手機信息、地址信息、人臉信息、支付習慣信息、喫穿住行信息….想起來就恐怖,這個環節基本上還沒有啥政策要求,其實這個也是個大市場,當然需要監管的來臨,商人自發花錢保護客戶信息的可能幾乎沒有。
總之,數據安全這個範疇可研究和討論的很多,數據成爲有價的資產肯定的確定的,數據有價值肯定是要流動的,不流動就不會產生價值了。所以未來大部分場景都會有數據的提供者、數據的運用者、數據的管理者、數據的使用者、但更重要的是數據合理合法使用的監管者,數據流動安全監管就成爲數字時代的重大命題,應用安全能力者不同的安全能力在數據流動的不同場景進行有序和安全的管理就是我們和PCSA聯盟和某地大數據局和某行業溝通現在正在做的事情。全程可視,狀態可查,權益可管、權限可控、流動可溯、易用擴展。
5.3安全管理中心和運營
前幾年出國遊學和參觀時通過朋友參觀了幾家美國大的雲和互聯網公司,其中重點是參觀安全管理和運營管理,龐大的規模和監控和運營中心由於不能拍照無法描述。在整個參觀的過程中給我最大的感觸就是幾個關鍵詞、事多、人少、全程可視、自動化。這幾年在國內信息化建設過程中看到的場景基本上也是這樣,沒有良好的大安全管理中心和運營中心,任何系統想要長久的安全運行保障基本不可能。2005年開始國內開始有了安全管理中心和平臺1.0雛形現在已經被淘汰,2009年安全管理進入2.0,在CC某V和某關、某社我們看到的和審計多個項目,錢花了不少,事情也幹了不少,但確實也沒起到相應的效果體現價值,收集大量基礎數據進行關聯分析這個思路,在基本上沒有標準、沒有生態、沒有深度檢測能力等等必要的保障。安全管理2.0只能活在PPT和情懷裏,這10年我和團隊接觸過國內99%的安全管理平臺,也幫助客戶建設了數百個所謂的安全管理平臺,實話說我沒有看到一個高效的和有高價值的。16年開始,我們的網絡防禦服務接受了挑戰,考慮到未來進入數字時代,安全管理是重中之重,我們給很多生態夥伴提供了思路和想要的安全管理中心的樣子,比如圍繞保護對象與運維合力成爲保障能力中心,管理和建立四大體系,要有深度檢測。例如關鍵業務數據和安全與流量精密關聯,讓ID和IP清晰自如的展示、讓訪問路徑實時動態可視等等,形成企業級、行業級、城市級的安全管理和運營等等,很慶幸,2017年以來我們理想的安全管理逐步實現了。態勢感知逐步實現,這個領域落地的案例已經很多了,也獲得了工信部的試點示範,在HW中也有很好的表現,沒有白費力氣,浪費我的白頭髮,未來我們會和生態夥伴一起迭代好這個平臺,力爭成爲未來網絡防禦體系的主力軍。
6等級保護標準中 不會提到的經驗
6.1 注意應用的底層框架選擇和應用之間的鬆緊耦合要適中
從Struts2的漏洞爆出和coremail的0day,主流應用框架的選擇,尤其是對外提供服務的Web和mail,一旦底層出大的安全問題了,會導致整個系統都需要重新構建了。由於很多開發者不回去考慮安全性的問題,往往從易用和易構建的角度去考慮,系統和底層架構是緊耦合的不可輕易分離,嚴重漏洞的出現,不能修補,勉強弄弄安全運行也有問題,不修補也不能再上線了。這個問題出現後只能重新架構和開發了,經濟損失極大,這也是我們12年經歷的血淋淋的教訓。
6.2 注意品牌一致性誤區和大小衆品牌的選擇
這個點也是幾個案例的體現,主要提醒大家IT主流品牌一定是APT攻擊者的重點,因爲發現一個0DAY,基本上和挖到金礦一樣,我們經常在網絡安全防禦體系建設中看到品牌一致性的要求。從統一管理的角度上來說也是對的,但一旦出現0day或者被攻破,基本上就是全軍覆沒,充其量就是個馬奇諾防線,而且大廠的OEM產品太多,其實每個安全廠商真正的安全能力不會超過3-5個,其他都是非重點能力。一個安全能力沒有3-5年的研究研發,不可能成功的。這些年我們總結經驗就是大衆品牌選擇部署可以在外圍,解決複雜管理和高性能、高可靠性,在覈心數據區或者關鍵管理區選擇小衆的品牌,或者多層異構。例如:在新**全國大網的設計上,縱深防禦選擇了6個品牌(非OEM)的紅、黃、藍區、數據、管理、業務在不同層,有解決性能爲主的,也有解決高安全性爲主的、也有解決高策略最小原則穩住的,可能都是防火牆,設計時也會有不同的側重點。管理和安全性一定是平衡使用的。
6.3 多角度能力異構的靈活使用
同類型功能不同能力者的異構其實在管理者眼裏是麻煩的,但在攻擊者眼裏同樣也是麻煩的,如果做好落地,呵呵,累死Y的。例如防火牆多層異構解決避免一網通殺、防護策略失效的問題,防病毒網關、桌面防病毒和沙箱郵件追溯異構解決病毒木馬、釣魚郵件的交叉檢測和查殺,威脅情報和弱點管理不同供應商的異構解決風險管理的全面化,多重身份認證和特權賬號不同認證異構解決被輕易獲取權限一路暢通,陷阱和蜜罐的異構設置可以讓攻擊到內網的黑客一頭霧水。總之,不同的安全能力之間的多角度異構的靈活應用會給APT攻擊者一路障礙,這些花不了多少經費,但確實有效,唯一的就是給管理者有一定難度,需要將統一管理的平臺做好。
6.4 高級馬是一定會免殺的
無論你用的是多高級的病毒軟件和木馬查殺軟件,記住一點,任何高級貨製作出來的第一步就是跑一遍所有的主流病毒和木馬查殺軟件。一個好的馬,製作不容易,傳輸不容易,運行不容易,弄不好還被反控了,所以高級馬是不容易對付的,加上中國在EDR領域一家廣告公司獨大,其他基本被消滅,這幾年纔出現一些新能力,所以,一家主流的免殺後,高級馬基本上解決了大部分的問題。
6.5 供應鏈安全開始要注意了
也許你沒聽說過的方法未來都會出現,一個外賣小哥、一個保潔阿姨,一個好久不聯繫的朋友到了辦公區,他們離開的時候,會留下繼續進來的U盤狀的無線發射器當作跳板,一個供應商送入的一批服務器和交換機在芯片上有可能的後門。有個電視劇叫做“密戰”,建議大家看看,一個外包的軟件開發商交付的代碼中間有隱藏的不應該的代碼,一個離職的安全管理員仍然可以撥入VPN,用root權限獲取數據……這些都是現在以及未來可以發生的。
6.6 多重身份認證和易用的平衡
網絡社會,EID的認證和識別是關鍵中的關鍵,互聯網個人隱私泄密太多,通過社工的方式可以輕易獲取一個既定目標的網絡行爲方式(網絡習慣、網絡id、網絡密碼)。人的習慣是很難改變的,所有認證的用戶名,密碼總是那麼幾個,一但破解全網通喫,HW期間碰到的單認證方式和特權用戶被拿下,其實還沒用到社工這種高級貨。說白了,我們現在的政府企業每個單位先檢查一遍全網的特權用戶管理就明白了,70%的特權用戶就是沒有被管理、被監控,更別說其他的用戶了。
7.未來其實已經在身邊
7.1 安全和運維會合成綜合能力保障體系
數字中國萬雲時代,萬種場景、萬物互聯,大數據、大平臺、大系統的建設模式是中國現在以及未來的模式,政務服務一體化、行業監管一體化、城市大腦運行一體化、工業智能一體化。不可否認,數字中國急切需要打通數據孤島,公共服務更便捷、效率更高、更智能、更便捷、行政監管更準確、更有效,數據越聚合越重要,黑市價值越高,攻擊者越多,保障體系就越需要更緊密,不得不形成“大安全大運維”的合成能力保障體系,才能確保業務的安全穩定運行。產品堆砌的時代以及過去了,服務纔是真價值,安全服務高級人才稀缺會更大。聽說HW駐場的人有一天一萬的,恭喜安全人才價值提高了不少。
7.2 中國式安全逐漸走向務實
世界的安全,未來會是中國式的和非中國式的,看好數字中國的開啓模式,百花齊放,開源開放萬種場景、萬雲時代、萬物互聯、(雲、數據、應用、智能、智能製造、泛在感知、小到一個人的喫穿住行,到一個城市的實時運行,到一個社會的公共安全、到一個行業的智能發展,離不開新模式、新技術、新應用。同時一個十幾億人口的大國也必將走向自主可控,中國式網絡安全會走向和世界不同的方向,也會越來越務實。
7.3網絡安全產業需要供給側的改革
中國網絡安全產業相比國際同行處於弱勢,在國家高度重視網絡安全的背景下依然難以依靠自身力量快速做大做強,持續下去將在國際網絡對抗中愈發落後,最終損害對關鍵信息基礎設施的有效保護能力。
當前我們雖然也面臨資金不足、人才匱乏,但更需要有好的環境,好的平臺,好的政府扶持政策,通過網絡安全產業的供給側改革讓更多的創新者、創業者,通過統一窗口、統一平臺有機會展現創新能力,在網絡安全科技領域中不斷貢獻力量,通過基於實戰的靶場演練,不斷提升國家關鍵信息基礎設施防護水平。
2018、19年參加了幾次工信部和WXB關於網絡安全產業的調研會,圈子裏的專家其實共識度還是挺高的明白人不少,大部分觀點不說了就說創新這一件事情,把它做透了就需要很多方面的合力。比如國外的合作是A.B公司的能力疊加,在國內就是大品牌的OEM,鼓勵小品牌,新能力的合作。比如國內公共靶場的建立,讓大家創新能力有練兵之地,總不能違法亂紀,也不能閉門造車吧,比如建立國家級的生態化安全能力展示平臺和中心。讓大家都有露臉的秀肌肉的地方…..供給側的改革,確實需要百花齊放和有效的政策扶持。
7.4不能再用民兵方式對抗攻擊鏈
現在的攻防大賽、武器庫、漏洞庫,不管是爲了實戰還是演習,攻擊方現在已經新型攻擊武器平臺化武器庫快速有效滲透,說白了已經是集團軍作戰了,下圖示意一下,呵呵,不代表其他意思。
現在我們看到的大部分行業、企業的網絡安全防禦現狀基本上是民兵式的,沒有正規的組織建制、沒有持續的和合適的後勤保障,沒有先進的防禦和反擊工具和武器,未來這種防禦體系基本上都是炮灰,不信明年HW見。不多講了大家都懂見下圖:
7.5未來需要的是網絡安全防禦綜合平臺
這個是我們最近對於未來5年的研究方向的框架確定,有些涉及到商業祕密不方便公開說了,有興趣的一起交流,也可以一起加入進來,爲自己、爲企業、爲國家做些事情。
結束語
列完提綱也陸陸續續的利用業餘時間寫了20天,也算一氣呵成,不是寫書寫論文所以隨性了些,畢竟是網絡安全有些地方意會大於言傳。也確實還有好多的話也沒說完,比如雲安全的誤區、比如數據流動安全監管的未來、比如工業安全的坑,比如說信息安全、網絡安全、數字安全的區別……以後在和大家一起討論吧,文章中的案例和思考都是團隊這些年的經歷,肯定也有很多不見得大家都認同的地方,歡迎指正。期望未來中國網絡安全產業更好,畢竟我的青春獻給了這個產業20年,也想用本文紀念和致敬一下過去的20年。