一、企業安全解決方案市場
從企業安全管理員的視角來看,業界的安全產品多種多樣,而且往往價格不菲,企業需要根據自身情況選擇合適的安全解決方案。反之,作爲乙方企業也要認識到,市場和客戶是分層的,對待不同的市場和客戶,需要提供與之匹配的對應產品和服務,不要妄圖用一種產品通喫整個市場。
二、中小企業安全解決方案
在被勒索病毒敲詐勒索的受害者中,有不少是中小企業主。在網絡安全防治工作中,理論上是體系越完整則越安全,但同時也意味着需要更多的投入,這對中小企業來說,預算往往是不足的。因此,在設計安全解決方案的時候,要充分考慮企業的規模和預算、業務對安全性要求等多個方面。
0x1:免費解決方案
如果不想花錢,又想防禦常見的病毒木馬,可以使用免費的安全軟件,比如某管家、某衛士,它們爲用戶提供了病毒查殺、主動(雲)防禦、漏洞修復、權限管理、垃圾清理、彈窗攔截等豐富的功能。
但免費安全軟件主要的用戶羣體是個人用戶,因此默認設置了符合個人用戶使用習慣的安全策略,爲了減少不必要的誤報影響用戶體驗,安全策略一般也相對寬鬆,也不支持安全策略的統一管理。因此,最終的安全性與用戶的安全知識、使用習慣有很大的相關性。另外,在應對黑客的定向入侵攻擊時,由於沒有完整的入侵檢測方案,因此效果也相對有限。
但不管怎樣,免費的安全軟件可以應對常見的勒索病毒、挖礦木馬等威脅,如果開啓主動(雲)防禦、及時打補丁、管理軟件權限,並養成良好的上網習慣,也能有效防禦大部分網絡威脅。
0x2:入門級解決方案
爲了能夠相對較好地管理公司資產的安全性,需要使用專業的企業級終端安全系統替換免費安全軟件。
一整套企業級終端安全系統通常包括一個安全管理平臺、若干員工版終端安全軟件、若干服務器版終端安全軟件。如果資產部署在公有云上,則需要購買雲上終端安全系統。同時,需要配備至少一個安全運營人員來實施安全管理和運營,如果想降低人力成本,也可以向乙方購買安全託管服務。
此時,解決方案除了具備免費安全軟件的功能之外,還具備了入侵檢測、安全審計、統一漏洞管理等能力,最重要的是有專業的安全運營人員提供風險排查、威脅分析、處置響應等能力。
0x3:初級解決方案
爲了能夠提供更進一步的安全防護,可以在網絡邊界部署IPS入侵防禦系統或防火牆。
網絡安全結合終端安全,形成了初步的縱深防禦體系。不同於終端安全基於惡意程序實體及行爲的識別,網絡防禦系統從流量角度進行威脅識別,通過源目身份分析、流量特徵分析、異常流量識別等方法,實現網絡層攔截,從而阻止入侵,或者阻斷入侵後的控制通信。
對於Web服務,部署Web防火牆(WAF)也是有必要的,不同於通用防火牆,WAF針對Web組件漏洞入侵、SQL注入、WebShell等威脅有更專業的防護策略。如果業務在公有云上,則可以購買對應的雲防火牆、雲WAF等產品。在安全策略的運營上,需要及時更新安全策略來應對新的攻擊武器或攻擊方法,比如0DAY/1DAY漏洞利用、新通信隧道等。
0x4:中級解決方案
前面所述解決方案的重點是對網絡威脅進行攔截和處置,對中小企業來說是性價比較高的解決方案。若想全面分析企業所面臨的安全風險,則顯得有些力不從心。如果企業對資產安全性要求比較高,則需要增加在網絡威脅分析上的投入,通常包括網絡威脅檢測系統、資產風險監測服務和網絡威脅分析服務。
網絡威脅檢測系統通常包括基於流量特徵的入侵檢測、基於威脅情報的攻擊/失陷探測、基於異常流量智能分析技術的未知威脅檢測。流量特徵檢測比較基礎,一般的網絡威脅檢測系統都具備此功能,差別在於特徵庫的大小,可以通過較新的攻擊武器來驗證具體效果;威脅情報一般需要額外購買,並且國內生產威脅情報的廠商也是有限的幾家,在選擇威脅情報時,要考查失陷指標的可解釋性,攻擊源IP是否具有身份屬性標籤和歷史痕跡記錄;異常流量智能分析包括自動計算檢測基線、異常網絡行爲分析等,對於網絡流量不大的中小企業,並不一定能學習出有效的模型,可以省下這筆費用。
資產風險監測服務通常包括設備漏洞掃描、網站監測、公衆號/小程序風險檢測等。對於暴露在公網的資產(如服務器、雲主機等),設備漏洞掃描是通過資產測繪(一種通過特定流量探測服務組件信息,從而判斷是否存在漏洞的技術)和無損POC掃描(一種不會造成實質破壞的模擬攻擊技術)分析出資產存在的風險清單;網站監測是對客戶添加的指定網址進行監測,如果發現上傳的WebShell,或者發現非法篡改,則及時進行通知預警;公衆號/小程序風險檢測是探測公衆號或小程序的數據接口,分析是否存在越權讀取數據、信息枚舉等容易造成數據泄漏的風險。資產風險監測服務一般按資產數量進行收費,是比較適合中小企業的解決方案。
購買各種系統之後,如果公司沒有懂行的專家使用這些系統,是無法發揮系統的全部價值的。爲了發現網絡中的威脅和風險,需要自建或購買安全運維團隊來進行專業的網絡威脅分析,對於預算有限的中小企業,可以購買月度或季度巡檢來對全網進行網絡威脅分析和資產風險排查,以較少的投入獲得相對較多的安全保障。
三、大型企業安全解決方案
大型企業通常具有資產多、流量大、分公司分地域、網絡架構複雜等特點,因此,網絡安全解決方案需要成體系、有縱深。另外,無論什麼時候,我們都不應該把“全方位無死角阻止威脅”的絕對安全作爲目標,那是理想主義。我們應該從保護核心資產、快速發現威脅、快速處置響應出發,動態地實現相對可靠的安全目標。
通過對安全大數據的分析和監測,多方位解決大型企業面臨的網絡威脅,核心能力應該包括:
- 重點保護核心資產,即使企業的網絡已被突破,也要堅守住最後的陣地,保護核心數據、核心代碼等重要資產不被竊取和破壞
- 嚴密監控橫向移動,大型企業難免會有防禦死角,如某個安全意識薄弱的員工,這些弱點往往會成爲網絡攻擊的突破口,然後進一步潛伏和滲透,企圖竊取核心資產,這種攻擊非常危險,但也有跡可循
- 重兵鎮守攻擊入口,雖然攻擊路徑和攻擊方法是多種多樣的,但大部分入口都是已知的,如遠程服務漏洞攻擊、惡意郵件攻擊、軟件供應鏈攻擊等。在攻擊入口處部署防禦設備,可以解除大部分網絡威脅。
如何鎮守攻擊入口?
- 對於網絡攻擊,主要有網絡防火牆(FireWall)、威脅檢測系統(NTA/NIDS)、入侵防護系統(NIPS)等。除此之外,安全路由、安全網關也集成了部分防火牆的能力,以及支持VPN隧道進行遠程登錄安全管控
- 對於暴露在公網的服務器,還需要部署DDoS防禦系統
- 對於Web服務器,則需要部署WAF
- 對於郵件服務器,則需要部署郵件防火牆
總之,所有的網絡出入口都應該部署相應的網絡防禦設備。
如何監控橫向移動?需要部署具備異常行爲監測的終端防禦系統(EDR),除此之外,還可以在內網部署一些蜜罐來誘捕攻擊者。部分蜜罐可以暴露常見的漏洞,用來捕獲滲透工具掃描或蠕蟲傳播,還需要部署一些“假旗”蜜罐,比如僞裝成數據服務器,用來捕獲高級別的APT定向攻擊。
如何保護核心資產?常用的系統有堡壘機、數據加密系統、數據審計系統、憑證權限管理系統等。目前,比較熱門的是零信任安全管理系統。企業部署零信任體系,一方面需要零信任安全管理系統具備足夠多的探針,在終端上需要包括設備檢測、應用檢測、漏洞檢測、基線檢查等能力,在網絡上需要包括威脅和風險探測等能力,另外還需對接企業資產管理、權限管理等系統;另一方面,難點還在於動態的信任機制,當企業資產和數據流量達到一定的規模,靠人工來制定信任策略是不可想象的,所以,這部分工作往往需要針對具體企業環境進行定製,利用大數據分析、機器學習、人工調試來達到可用及最優狀態,這個過程往往需要持續幾個月。
爲了使用好這套安全防護體系,企業需要籌建安全運維團隊或購買安全運維服務,建議自建結合購買的方式。對於大型企業,需要有專業的安全團隊負責企業整體的網絡安全,但在一些專業領域如資產風險監測、滲透測試、網絡威脅分析等,則需要產品官方提供的對應安全運維服務來支撐。
然而,這麼多的安全產品每天都會產生大量的告警,這給安全運維工作帶來了巨大挑戰。因此,還需一套好用的安全運營系統(SOC/SIEM)來統一管理各產品的安全日誌和安全數據。該系統需具備關聯分析、智能分析的能力;跟蹤和編排應急響應進度和結果;調用防火牆/入侵防禦系統來進行簡單的阻斷處置;自動輸出各類安全報表、事件分析報告,甚至安全運維週報。
安全運營系統不僅能提升安全運維的工作效率,還能從企業全局視角來分析和處置網絡威脅。雖然個人能夠很好地處置單個事件,但系統化監控所有資產風險、分析所有安全數據、響應所有產品告警,單純靠人力是無法完成的,必須依賴系統進行全局化監測、(半)智能化分析、(半)自動化響應。由此可見,安全運營系統對海量資產和海量流量的大公司的安全建設顯得尤爲重要。
四、雲原生安全解決方案
雲計算在企業、電商、醫療、政務、金融等行業的應用越來越廣泛。各大型集團企業紛紛自建私有云或混合雲,各大城市紛紛建設城市雲,各中小企業紛紛把業務遷至公有云。在全民享受雲計算帶來的數字化、智能化、現代化的便利時,雲架構的安全問題也顯得較爲突出,黑客攻擊、信息泄露、勒索病毒的危害可能從單個公司擴大到整個集團企業,甚至整個城市的數據中心。比如,可能會出現某個城市的醫療系統被勒索病毒攻擊,數據庫被加密,從而導致該市的醫院無法正常運轉。另外,城市數據中心也可能成爲APT的攻擊目標。因此,保障雲上業務和數據的安全比以往都顯得重要。
傳統的網絡安全解決方案和終端安全解決方案在雲上依然有效,雲主機安全、雲防火牆、雲WAF等產品依然發揮着重要的安全保障作用。對於雲平臺,雖然身處於萬物互聯的大數據宇宙中,但每一個雲平臺也是一個獨立的“小宇宙”,在這個小宇宙中有着特定的元素和規律,爲了更好地保護雲平臺及雲客戶的安全,可以在這個小宇宙中建立安全機制,做好威脅監測和事件響應。這些措施往往需要結合雲計算架構、雲上安全大數據來實現,因此,雲原生安全一般由雲計算廠商(私有云則是企業自身或合作單位)主導來實現。
目前,雲原生安全還沒有一個明確的定義。從實踐來看,主要有兩種模型:
- 一種是雲原生威脅情報
- 一種是雲原生安全策略
1)雲原生威脅情報。基於雲原生安全大數據,經過統計分析和智能分析之後,可以生產輸出“攻擊雲目標的外部攻擊源”“用於入侵攻擊的雲上跳板”“用於入侵攻擊的雲上殭屍網絡”“遠程控制木馬的雲上C2服務器”等雲原生威脅指標。這些威脅情報可以集成或接入各類安全產品中,用於檢測和防禦網絡入侵等網絡威脅。
2)雲原生安全策略。①雲原生流量檢測策略。前面提到,智能化的異常流量檢測需要有足夠多的網絡流量數據用於機器學習,雲平臺正好有足夠多的網絡流量,因此基於雲原生大數據的異常流量檢測模型可以較爲有效地發現許多未知威脅。②雲原生安全架構策略。基於雲架構的鏡像安全及容器安全,包括鏡像或容器的漏洞管理、權限控制、微隔離、安全審計等。
對於解決雲上安全問題,雲原生安全有數據和架構上的優勢,一般需要由雲計算供應商主導建設,企業私有云則由企業主導建設,傳統安全廠商通常以項目形式進行參與,並且一個項目可能由多個安全廠商參與負責不同的模塊,最後打通安全數據和安全策略,共同組建安全運維團隊,進行威脅監測及策略優化。最終,雲計算廠商、傳統安全廠商聯合建設的安全產品及安全運營體系,成爲雲計算的安全保障體系。
公有云的安全運維體系大致有三種模式:
- 一是雲租戶自建安全運維團隊負責雲上資產的安全
- 二是供應商官方搭建安全服務交易平臺,入駐第三方安全服務提供商,雲租戶通過交易平臺購買第三方安全運維服務
- 三是由雲計算供應商官方提供的MSS(ManagedSecurity Service,安全託管服務)
下面以乙方視角來介紹基於雲SOC的MSS。
雲SOC MSS是基於雲SOC爲雲租戶提供對雲上資產安全託管的服務。服務內容主要包括風險排查和威脅監測,協助攔截入侵攻擊,並給出加固方案。通常情況下,託管服務並不包括更改主機配置的基線修復和組件升級(修復安全漏洞)等操作,避免因操作不當導致服務器宕機,這類操作一般由更熟悉公司業務的甲方運維工程師進行實施。
在實施服務之前,需要甲方授權讀取安全產品告警及日誌、掃描及測繪雲資產、監測主機進程和文件、分析可疑網絡流量等。當然,提供服務的乙方及工程師則需承擔保密的義務。
在獲得授權之後,可以爲客戶提供以下安全服務:
- 1)安全工程師直接對接的安全諮詢服務:可以通過釘釘信羣、QQ羣等方式建立溝通路徑,隨時由安全工程師爲客戶解答安全問題或相關諮詢。
- 2)雲資產測繪服務:通過雲SOC、雲防火牆、主機安全等產品對資產及可能的攻擊面進行測繪盤點,包括客戶有哪些主機、是否都開啓了安全防護、哪些主機有外部訪問流量、主要網絡端口有哪些,並根據資產重要程度、公網暴露情況來劃分保護等級。
- 3)漏洞及基線風險排查服務:通過漏洞掃描、主機安全等產品對客戶核心資產進行漏洞和基線排查,除了產品覆蓋的能力,還需對新的漏洞、攻擊方式進行排查。另外,還可以讓客戶提供一份組件清單來定製化漏洞和基線的排查服務。
- 4)實時威脅監測服務:對木馬病毒、入侵事件等威脅進行實時監測、研判及對客戶預警、協助處置,除了對已知威脅的預警能力,更重要的是提供基於大數據智能引擎的未知威脅預警。
- 5)核心資產重保服務:對部分核心資產(核心數據服務器、暴露在公網的Web服務器等)提供更嚴格的異常行爲監測服務,包括新增進程和新增程序文件的非白即黑排查、非預期登錄行爲排查、異常攻擊流程分析等。
- 6)安全週報服務:每週輸出安全週報,提供風險處置加固建議、攻擊趨勢分析等。
- 7)應急響應服務:當資產不幸被入侵時,需要第一時間通過防火牆或WAF等產品進行網絡隔離,及時止血避免進一步擴散;然後需要分析有沒有在哪個位置植入了木馬,並清除木馬;還需要分析威脅的入侵路徑,對入侵路徑的各個環節進行加固防護措施。
雲上資產的運行環境和網絡環境相對私有化架構要簡單很多,基本不會存在郵件釣魚、軟件捆綁、可移動媒介傳播等攻擊方式,雲上主要的攻擊方式是遠程入侵。因此,事前做好資產測繪、攻擊面分析和加固策略,可以有效地防禦網絡入侵。而一旦發生了入侵事件,只要能及時監測感知到,就不必驚慌,首先進行隔離止血,然後進行分析調查及清除威脅,最後進行系統加固和策略加固,避免再次被入侵。
由此可見,攻擊面排查和威脅監測是雲上網絡安全防護的核心能力,是衡量雲安全防禦能力的關鍵指標。