如何建立有效的網(wǎng)絡(luò )安全防御體系
發(fā)布時(shí)間:2022-06-16 00:36
來(lái)源:美橙資訊
閱讀:199
作者:美橙資訊
欄目: 網(wǎng)絡(luò )安全
踏實(shí)實(shí)驗室推出萬(wàn)字長(cháng)篇文章�,踏實(shí)君結合十年團隊經(jīng)驗和二十年從業(yè)經(jīng)驗深度整理和剖析了網(wǎng)絡(luò )安全防御體系如何有效建立��,推薦閱讀預計20分鐘��。
這個(gè)夏天就想睡個(gè)好覺(jué)
己亥年庚午月�,睡個(gè)好覺(jué)是安全這個(gè)行業(yè)大部分人的奢望����,除了國際形勢����、明星分手�����、網(wǎng)絡(luò )安全也是最熱的話(huà)題之一了�。
世界走向數字化����,現在的世界已經(jīng)完全可以按照物理(Physical)和非物理的(cyber)來(lái)劃分了�,6月20日美國對伊朗部分目標明確發(fā)動(dòng)網(wǎng)絡(luò )戰�����,這是第一次公開(kāi)作為攻擊主力投入戰場(chǎng)����,網(wǎng)絡(luò )攻擊成為重要軍事工具直接服務(wù)于美國的對外政策����。也讓波斯灣成為首次數字世界沖突的舞臺��,網(wǎng)絡(luò )超限實(shí)戰正在成為整體政治戰略的重要組成部分��,值得紀念MARK 一下���。
圖1:數字時(shí)代是由物理的和非物理組成的
1999年-2019年干了20年網(wǎng)絡(luò )安全防御體系�����,形形色色的見(jiàn)多了�����,直到今年6月才感覺(jué)有點(diǎn)兒網(wǎng)絡(luò )安全大眾化的意思了�。具體表現在人們覺(jué)得這是個(gè)事兒了�����,原來(lái)不問(wèn)的開(kāi)始問(wèn)了����,不干的開(kāi)始干了�,虛干的實(shí)干了���,嗯����,理解萬(wàn)歲�,意識的轉變確實(shí)需要很長(cháng)一段時(shí)間���,就像每個(gè)國家政策出臺落地都需要3-5年���。
中興華為事件���、委內瑞拉大面積停電����、美國對伊朗的網(wǎng)絡(luò )戰已經(jīng)不斷觸動(dòng)了人們神經(jīng)��,又經(jīng)歷了有實(shí)戰有價(jià)值的攻防演練���。例如HW�����,確實(shí)促進(jìn)了很多行業(yè)組織各層面安全意識的提升,促進(jìn)了實(shí)實(shí)在在安全防御策略的落地,多個(gè)視角(攻擊者紅方和防御者藍方)看問(wèn)題總是好的��。只有經(jīng)歷了疼才知道痛是啥滋味��,尤其是HW排名靠后的……以攻促防推動(dòng)做好安全防御是個(gè)極好的方法�,數字時(shí)代真安全價(jià)值才大���,這次同樣也是打假的過(guò)程�,安全圈不大�����,這幾年快成了娛樂(lè )圈了���,300億的市場(chǎng)再這么折騰下去變200億了�����。
進(jìn)入5月開(kāi)始����,安服事務(wù)應急的事兒多了��,主要是因為HW�����,6月白天晚上的電話(huà)多了��,好像急救中心電話(huà)一樣����,中招的多了就不會(huì )消停����,每個(gè)電話(huà)都是急茬�����,我和團隊就像大夫��,總是先建議電話(huà)那頭冷靜冷靜請他敘述癥狀���。然后就是聽(tīng)到各種各樣的“病情”����,VPN被滲透����,被暴力破解��,內網(wǎng)被拿下����,更有嚴重者業(yè)務(wù)數據被勒索軟件鎖定(這一定是混水摸魚(yú)的)�����,聽(tīng)完后大體診斷�����,開(kāi)藥方安排人抓藥……總體感覺(jué)��,好多問(wèn)題其實(shí)完全可以提前做好工作����,不用這麼著(zhù)急的手足無(wú)措的睡不好覺(jué)��。這些年一直想寫(xiě)些東西(安全情懷安全落地)����,也沒(méi)時(shí)間����,現在突然感覺(jué)大家意識可能真的到了�����。這個(gè)文章根據多年網(wǎng)絡(luò )安全防御服務(wù)經(jīng)驗和經(jīng)歷�,寫(xiě)個(gè)如何建立能睡個(gè)安穩覺(jué)的網(wǎng)絡(luò )安全防御體系思路吧�����,供大家參考����。
意識意識意識��,意識第一位���,意識第一位�,其他第二位�����,有問(wèn)題的��,有大問(wèn)題����,有嚴重問(wèn)題的基本都是意識出問(wèn)題了����,不是技術(shù)出了問(wèn)題�����。某國家單位首次被攻破被通報要求盡快整改�����,由于意識問(wèn)題領(lǐng)導沒(méi)重視資源沒(méi)到位�。第二天馬上又被攻破領(lǐng)導急了開(kāi)始重視了�����,每天開(kāi)始抓工作清點(diǎn)防護體系�,工具����,組織�����,策略�����,發(fā)現了大量的沒(méi)有的安全防護工具沒(méi)有啟用��,策略沒(méi)落地��,問(wèn)中層領(lǐng)導�,中層才意識到好多文件下達的都是空的����,眼前的寶貝沒(méi)使用也沒(méi)落實(shí)����。第三天再次被攻破����,問(wèn)題又在基層技術(shù)管理人員重視邊界�����,忽視內網(wǎng)域策略和管理員密碼�����。甲方邀請我們一起做了復盤(pán)��,總結的第一點(diǎn)就是這個(gè)���,意識�����,意識��,意識�����,不痛不長(cháng)心啊����。
不僅僅是這個(gè)案例�����,他只是一個(gè)代表�,我和團隊經(jīng)歷的這樣案例太多了����,今年轉變的特別的多�����,很欣慰大家都正常的接受了���。這兩年我們的匯報對象已經(jīng)從原來(lái)的處長(cháng)主任們逐步匯報到部長(cháng)層面了也確實(shí)體現了這一點(diǎn)��。
三人是個(gè)概念的代表��,第一人是領(lǐng)導(組織中網(wǎng)絡(luò )安全第一責任人)�,第二人是CSO首席安全管理者(總體安全策略計劃制定者)����,第三人是一線(xiàn)的網(wǎng)絡(luò )安全防御團隊(PDCA執行安全策略落地和運行)���。
三者缺一就會(huì )有坑��,缺的多坑多�,被攻擊后就一定會(huì )死����,只是死的快慢的問(wèn)題���。不重視肯定不行��,重視且有文件沒(méi)執行不行�,有執行方向不對也不行�。安全就是不斷的填坑��,完善這個(gè)其實(shí)就是很難的過(guò)程�。
國內具備網(wǎng)絡(luò )安全防御體系經(jīng)驗和實(shí)戰的人才本來(lái)就很稀缺�����,所以坑多也是自然的�,網(wǎng)絡(luò )安全防御體系龐大而復雜����,能洞悉全貌者也很少�,格局�,眼界��,層次����。單槍匹馬獨擋一面的大俠也不少�,但更多需要的是三人綜合體系����,這些年見(jiàn)到的有些決策者的格局真不行��,水平一般還限制下面人員的發(fā)展���,例如(某某組織的某某領(lǐng)導��,呵呵)�����,有些領(lǐng)導者看問(wèn)題水平真高�,就是中層執行力就一直太差�����。例如(某行業(yè)單位的網(wǎng)絡(luò )安全負責人�����,估計HW結束就被拿下了)…一線(xiàn)干活的安服人員其實(shí)很多還是挺好的樸實(shí)踏實(shí)����,但也怕好經(jīng)壞和尚����,政府機關(guān)有時(shí)候就這體制沒(méi)辦法人也換不了�����,形形色色確實(shí)很難見(jiàn)到很好有效三人體系���。
1999年剛考完MCSE被推薦到一家提供互聯(lián)網(wǎng)服務(wù)的公司��,服務(wù)的客戶(hù)就是現在阿里巴巴的客戶(hù)�����。在中美兩地進(jìn)行網(wǎng)上商業(yè)貿易和宣傳的(幾百K的帶寬哪個(gè)慢啊)�,我們小組的工作就是幾百臺服務(wù)器群的大網(wǎng)管�����,確保服務(wù)器(NT和FreeBSD)運行穩定防止被黑�����。剛入司CTO吳先生就給我們小組一本厚厚的手冊���,從服務(wù)器OS�����,WEB, FTP�����,遠程管理軟件等的標準安裝�����,每一步每一層的安全策略設置���,每一個(gè)系統軟件服務(wù)的關(guān)停判斷����,每一個(gè)多余端口的關(guān)閉����,每一個(gè)賬戶(hù)的謹慎開(kāi)啟��,每一個(gè)系統和應用的補丁���,每一個(gè)Admin/ ROOT的更名���,權限��,強密碼�����,一臺服務(wù)器基本安全設置完成�,基本是一天……回憶當年做純粹技術(shù)的美好日子���,一轉眼原來(lái)小組成員只有我還在干安全�����,直到現在仍然感謝吳先生和安全小組帶給我最原始最體系化的防御手段和原理��,就是安全策略落地�����。在當年的安全攻防戰中我們防御的確實(shí)不錯���,估計現在已經(jīng)沒(méi)有人記得2000年還有一波互聯(lián)網(wǎng)的高潮�����,懷念和E國一小時(shí)��、人人����、當當��、易趣等戰斗的故事���,當年我的QQ號應該還是5位數��。
20年來(lái)���,持續走在網(wǎng)絡(luò )安全防御的路上��,體會(huì )到不同的領(lǐng)域和境界���,技術(shù)無(wú)敵到技術(shù)都不在是問(wèn)題的時(shí)候�����,看到的往往是其他問(wèn)題��。數字時(shí)代需要考慮的內容是綜合的�,頂層設計和系統的梳理和體系化落地等包羅萬(wàn)象�。網(wǎng)絡(luò )安全防御體系方法論隨著(zhù)時(shí)代的發(fā)展我們已經(jīng)更新了第四版(2019版)����,網(wǎng)絡(luò )安全防御體系建立的核心目標就是風(fēng)險可控�,大家參考用吧����。
圖2:網(wǎng)絡(luò )安全防御體系方法論V2019版
官話(huà)不說(shuō)了��,核心就是當領(lǐng)導的要知道本組織的信息系統(資產(chǎn))的重要性�����,服務(wù)的場(chǎng)景對象是啥��,組織要明確需要保護的對象(安全方針就是掂量掂量重要不重要)����。投入持續人��、財���、物����、服務(wù)和必要的合規工具和安全管理及運營(yíng)工具(安全策略就是組織建立不建立��、啥線(xiàn)路�、掂量掂量投多少銀子)��,這層做好了方向不會(huì )出大問(wèn)題�,基本可以打30分了�����。原理能這樣想網(wǎng)絡(luò )安全的領(lǐng)導不多���,經(jīng)過(guò)HW的檢驗��,估計未來(lái)慢慢會(huì )多起來(lái)了��。
按照管理層明確的保護對象方向等級���,給予人����、財物����、資源制定具體的工作計劃����,沒(méi)有規矩不成方圓���,制度要有�����,要建立可靠的安全組織(自己人十安全服務(wù)資源池)��。制定安全執行策略���,具體制度落地策略���,建設��,運行����,持續稽核����,這層做好了�����,至少40分了(提醒:好多地方都是空制度���,現在的經(jīng)驗制度十平臺結合是可落地的)�����。一個(gè)明白道理的高情商的安全處處長(cháng)基本上可以走上正確的方向了�,知道如何承上啟下�����,和領(lǐng)導說(shuō)明白和一線(xiàn)的團隊做好策略的去落地��,隨著(zhù)發(fā)展信息安全首席安全官未來(lái)應該是個(gè)炙手可熱的職位����。
有了上兩層的基礎�����,接下來(lái)開(kāi)展工作就好辦多了���,如果沒(méi)有上面兩層的支持這個(gè)階段基本是不可行的��,網(wǎng)絡(luò )安全保障體系建設一定是圍繞業(yè)務(wù)和數據的����,俗稱(chēng)“業(yè)務(wù) 數據定義安全戰略”確定好保護對象和級別���,需要協(xié)同�����,需要按照三同步原則(同步規劃設計�����、同步建設��、同步運行)����,選擇好規劃服務(wù)商���、建設服務(wù)商��,踏實(shí)規劃���,體系逐步實(shí)現����。說(shuō)的簡(jiǎn)單���,其實(shí)這些個(gè)環(huán)節一個(gè)出問(wèn)題���,就是坑坑相連����,能按照這些環(huán)節都下來(lái)順利的不多��。
這些年看到最大的坑有兩個(gè)����,一個(gè)是不了解業(yè)務(wù)和數據掄起來(lái)就瞎設計(可恨���,比如國家級的某一體化平臺)����,一個(gè)是生搬硬套的安全合規標準(可憐���,比如某啥啥潮的)��,多維的業(yè)務(wù)需要多維的防護�����,設計不好就會(huì )導致降維防護���,做不好就是個(gè)豆腐渣工程�����。 HW打癱的目標對象基本上一種是不合規的��,另一種是假合規或者階段合規持續不合規����。
圖3:意識不統一導致的防御體系的降維防護
除了上面的坑��,要考慮安全已經(jīng)是體系化大安全的概念了�,尤其是現在以及未來(lái)的系統建設已經(jīng)是按照“大系統�、大平臺��、大數據”建設的了���,涉及到方方面面�。所以不管是自建安全體系還是采用安全服務(wù)商承建�����,網(wǎng)絡(luò )安全防御體系需要思考的邊界已經(jīng)擴大到供應鏈安全了(包含這些內容也不僅僅這些內容�,軟件開(kāi)發(fā)的源代碼檢測���、 提供鏈路服務(wù)�、托管服務(wù)�����、DNS服務(wù)���、服務(wù)���、安全運維服務(wù)�、IT運維服務(wù)��、以及合規要求的管理���、技術(shù)�����、運維���、測評的各項要求)����。盡量可控可信���,扎實(shí)先把合規扎實(shí)了(少看PPT��,多看實(shí)際效果和系統����,從剛需出發(fā)到合規���,不要僅僅從合規出發(fā)��,花架子沒(méi)用�,基礎安全還是挺重要的���,不要被新技術(shù)忽悠了)���。這些做好了可以是50分了�����,還沒(méi)有開(kāi)始建設就要考慮這么多��,磨刀不誤砍柴工�����,謀定而后動(dòng)才是正道�����。
啰嗦了這么多才開(kāi)始準備如何建設了����,網(wǎng)絡(luò )安全防御體系的建設是個(gè)大工程���,不同的人理解不同��。匯總起來(lái)就是一個(gè)風(fēng)險控制目標�����、兩個(gè)視角(國內合規��、國外自適應)���、三個(gè)領(lǐng)域策略融合(管理�、技術(shù)��、運維)���、 四個(gè)體系獨立而融合(防御體系���、檢測體系����、響應體系�、預測體系)的建立可視�、可管��、可控����、可調度����、可持續的彈性擴展的一個(gè)很NB的安全管理及運營(yíng)中心 (簡(jiǎn)稱(chēng)“12341)��。
一個(gè)風(fēng)險控制目標:評估保護對象當下的防御成熟度��,制定防御成熟度目標���,持續動(dòng)態(tài)評估完善程度和風(fēng)險程度����。
圖4:網(wǎng)絡(luò )安全防御成熟度階段與目標
兩個(gè)視角之一:國外的自適應安全體系包含四個(gè)子體系建設�����。防御體系���、檢測體系��、響應體系�����、預測體系����,四個(gè)子體系分下來(lái)又是很多��。例如網(wǎng)絡(luò )層檢測����,傳統都在用IDS IPS �����,其實(shí)對于新型攻擊都已經(jīng)失效���,2014年以后我們的檢測方案已經(jīng)采用全流量層檢測分析了���,網(wǎng)絡(luò )層的IDSIPS其實(shí)已經(jīng)過(guò)了價(jià)值周期.又如層檢測��,高級馬都已經(jīng)免殺了�����,傳統的安全檢測只能防住小賊了��,呵呵不說(shuō)了說(shuō)多了得罪人�?����?偨Y一下檢測體系的建設一定要由淺到深���,由點(diǎn)到面���,由特征到全面�。國外的安全行業(yè)特別側重檢測體系和響應體系的建設���,近三屆的國際信息安全RSA大會(huì )主流也是這個(gè)為重點(diǎn)��,縱深防御體系的理念也影響了國內安全若干年���,其實(shí)態(tài)勢感知預測體系國外也沒(méi)有落地�,還在概念階段����。Norse用假數據欺騙了大家�����,到2017年倒閉了�,國內的安全忽悠們還在用“地圖炮”忽悠行業(yè)外����,態(tài)勢感知是個(gè)大命題���,PPT和大屏版的假數據基本把這個(gè)領(lǐng)域帶入一個(gè)坑��,一個(gè)安全大會(huì )滿(mǎn)天飛(假數據)已經(jīng)引起這個(gè)行業(yè)大多數人的反感�����。
兩個(gè)視角之二:國內的等級保護1.0– 2.0的合規體系���,一個(gè)中心�����, 三重防護的落地�����。等級保護1.0從04年–14年10年歷程不容易��,確實(shí)要感謝為中國信息安全和等級保護做出貢獻的這代人��,從安全一個(gè)點(diǎn)做到完整的基本防御體系�,為中國信息化和信息安全的發(fā)展奠定了一個(gè)基礎���。讓大家有了一定的安全防御體系的概念�,我們很有幸帶隊做了無(wú)數的等級保護和FJ保護的項目��。這個(gè)領(lǐng)域我們要說(shuō)第二���,估計第一確實(shí)要空缺���,經(jīng)驗給了我們方法論又應用在實(shí)踐��,實(shí)話(huà)說(shuō)等級保護1.0做好了就已經(jīng)很好了��,關(guān)鍵是應付的多落地的少����。2014年��,云開(kāi)始規模落地了���,數據匯聚了���,應用一體化了�,物聯(lián)網(wǎng)�、移動(dòng)互聯(lián)……�����,1.0確實(shí)不再適用了�����,14-19年5年的歷程���,2.0的出臺也不容易�����,仔細看看和研讀��,按照標準做好了����,落地了就踏實(shí)了���。合規還是基礎�����,三重防護(計算����、區域邊界�����、通信網(wǎng)絡(luò ))是重點(diǎn)的基礎性防護建設;然后重點(diǎn)分層保護��,資源再多也是有限的���,大門(mén)和每個(gè)門(mén)是最關(guān)鍵的���,核心保護對象和邊緣保護對象的防御�,檢測��,響應����,預測體系逐步完成�����,安全策略一點(diǎn)點(diǎn)上����。最小原則開(kāi)始逐步放寬�,到平衡后劃個(gè)基線(xiàn)����,就不要隨便動(dòng)了�����,關(guān)于安全管理中心的坑���,這是也個(gè)大命題�����,后面講吧一些老前輩的思路已經(jīng)不適合未來(lái)了�。
其實(shí)這兩個(gè)視角都還不錯����,哪個(gè)做扎實(shí)了����,都可以打70分了���。面對甲方層次不同的要求和理解����,根據實(shí)戰經(jīng)驗我們把國內外理念疊加匯總形成網(wǎng)絡(luò )安全防御體系建設落地的框架供大家參考���。
圖5:網(wǎng)絡(luò )安全防御體系建設落地的框架
這個(gè)階段原來(lái)的理念是七分建設���,三分管理和運行�,現在的實(shí)踐表明更合理的是三分建設七分管理和運行�, 網(wǎng)絡(luò )安全防御體系最后一關(guān)就是體系合成和運轉���。合規是基礎���,策略很關(guān)鍵�����,落地良運行�����,保障成體系����。我們服務(wù)過(guò)國內和國外兩種客戶(hù)���,最大的不同就是國外企業(yè)ITIL 安全管理貫穿可以落地��,國內很難�����,分析了很久可能是文化或者體制的問(wèn)題����,很多的部門(mén)設置��,運維處和安全處是分開(kāi)的無(wú)法協(xié)同�,其實(shí)ITIL原理和國內的ITSS都還不錯��,那個(gè)落地了都可以確保運維運行階段的安全策略落地���。安全策略這個(gè)詞從安全戰略制定一直貫穿到運維�,這個(gè)是一條線(xiàn)的��,叫法不同但核心意思就是將戰略����、制度�����、流程���、人員����、工具���、安全管理和運營(yíng)平臺一體化運轉起來(lái)����。這樣的方式做好了運維運行階段就成功一大半了��。其次���,安全管理和運行的大平臺的建立是關(guān)鍵�����,其實(shí)安全和運維是分不開(kāi)了���,現在運維工具是運維�、安全管理是安全��,孤立的系統永遠不成體系����,人員或者崗位一變動(dòng)就出問(wèn)題���。HW當中防御體系暴露出來(lái)的主要問(wèn)題其實(shí)就在這個(gè)關(guān)鍵環(huán)節����,完成這個(gè)環(huán)節����,可以打90分了���。
要想做好網(wǎng)絡(luò )安全防御�,就要站在攻擊方的視角看問(wèn)題�����,網(wǎng)絡(luò )HK惦記的就是你所守護的���,沈院士描述的霸權國家�����、敵對勢力�����、黑客組織和你所守護的對象防御程度成正比����。
其實(shí)攻擊者也很累�,如果攻下來(lái)的目標價(jià)值不大甚至被反制����,攻擊者也會(huì )很郁悶�����,浪費時(shí)間和心血也是很耗功力的�����,初學(xué)者會(huì )因為興奮而攻擊����,老炮們要是沒(méi)有激勵和內在動(dòng)力���。其實(shí)也不愿意熬夜了����,拿下目標的瞬間荷爾蒙飆升��、圈子里的揚名�、財富以及為組織增光是主要激勵����,所以尋找合適的有價(jià)值的目標是攻擊者的前提�。
對于防御者來(lái)講�,就是了解自己保護的對象對黑客的吸引力�����,盡量減少暴露面�,IP,端口���,服務(wù)���,名����,操作系統�、支撐軟件���,web服務(wù)��,不是自己必要直接外露的��,能減少就減少���,能在深宅大院�,就不要在街口開(kāi)門(mén)�����。
對于攻擊方來(lái)講��,目標確定后會(huì )通過(guò)各種方式進(jìn)行信息的收集����,可以采用社工的方法收集關(guān)鍵人的互聯(lián)網(wǎng)喜好和慣用的工具等等����,也可以?xún)H僅是IT信息��,信息越多攻擊者就可以結合使用���,對于高級目標�����,幾個(gè)月到半年甚至更長(cháng)的時(shí)間��,一點(diǎn)點(diǎn)收集�。
對于防御者來(lái)講����,自身個(gè)人的信息�,守護對象的信息��、外包商服務(wù)商的信息�、采用的IT系統的信息����、暴露面的信息���,入侵監控的信息��,都是需要保護的和提高警惕的��。
對于攻擊方來(lái)講找弱點(diǎn)的方式����,最簡(jiǎn)單最暴力最直接的就是采用大型掃描器�,分布式掃描器�,一個(gè)目標的地址段暴露面都是弱點(diǎn)集中的地方�,往往一次大規模的漏洞爆出�����,就是找到弱點(diǎn)最簡(jiǎn)單的辦法��。不管是網(wǎng)絡(luò )層的�、系統層的����、應用層的還是弱口令的�����。這些簡(jiǎn)單弱點(diǎn)就是入門(mén)第一選擇�,當然�����,Oday另外再說(shuō)�����。
對于防御方來(lái)講如果平時(shí)的弱點(diǎn)管理的好����,及時(shí)更新�,動(dòng)態(tài)監控做的好還可以���,往往弱點(diǎn)的爆出沒(méi)有及時(shí)的采取措施����,很可能在這個(gè)時(shí)間差就已經(jīng)被侵入了�����,實(shí)踐經(jīng)驗中弱點(diǎn)的管理需要交叉異構��。我們做了一個(gè)站在甲方視角的弱點(diǎn)管理平臺�,效果確實(shí)還是不錯�,曾經(jīng)出現的一起事件�,某盟的弱點(diǎn)管理發(fā)現了問(wèn)題���,但由于操作系統廠(chǎng)商已經(jīng)沒(méi)有了����,雖然也發(fā)現了但沒(méi)有預警���,其實(shí)甲方還在大量的使用此操作系統�,交叉使用的弱點(diǎn)管理平臺起到了很好的效果��,預防了一次較高級別的APT攻擊事件(兩會(huì )期間)���。
DDOS用的越來(lái)越少了�, 主要是太野蠻也暴露的太快�,現在的商�����、運營(yíng)商都已經(jīng)有很好的防護了��,加上監管單位打擊����,這種方式確實(shí)實(shí)用效果一般?��,F在強盜式攻擊反而采用字典爆破成為主流的�,驗證碼繞過(guò)的也不少��,12306經(jīng)受了多少次的洗禮���,特色的驗證碼就是證明��,這個(gè)領(lǐng)域的防護說(shuō)起來(lái)一點(diǎn)都不難����,但這個(gè)領(lǐng)域出問(wèn)題的也是最多的�����,可以說(shuō)無(wú)知者無(wú)畏�����??偨Y幾點(diǎn)線(xiàn)守則����,對外服務(wù)的系統甚至內網(wǎng)的系統�����,多重驗證是非常必要的��,安全策略加大強制弱口令不得生存�����,關(guān)閉不必要的服務(wù)����、端口和清理root賬號���。軟件開(kāi)發(fā)商稍微懂點(diǎn)按照安全軟件編程開(kāi)發(fā)和防范�����,其實(shí)就這些�,一個(gè)系統這里的投入不會(huì )超過(guò)幾十萬(wàn)就基本可以安心了�����。
靜默型攻擊從08年以后就是主流了����,大規模的炫耀式的病毒攻擊基本消聲覓跡了���,都已經(jīng)悄悄地進(jìn)入打槍的不要��,APT�����、APT�����、APT是我們天天防護的重點(diǎn)����。就如我上文所說(shuō)���,攻擊者也很累���,現在沒(méi)有人愿意敲鑼打鼓的去說(shuō)我要攻擊你��,更多的就是低調低調低調���,第一道防線(xiàn)被撕開(kāi)口子的概率是比較大的�,一但進(jìn)來(lái)如果防御者做的好����,攻擊者就是進(jìn)入深淵的開(kāi)始��,每個(gè)不合適的內網(wǎng)嗅探��,試圖提權�,異常行為���,其實(shí)很好抓��。我們現在總結出來(lái)經(jīng)驗��,基本上進(jìn)來(lái)的APT跑不了�,要不不敢動(dòng)�����,一動(dòng)就會(huì )發(fā)現�?�?偨Y幾個(gè)關(guān)鍵點(diǎn)����,全網(wǎng)全流量監控�����,全網(wǎng)系統監控�����,控制好有限的特權用戶(hù)/普通用戶(hù)賬戶(hù)并進(jìn)行行為監控��,安全域策略最小化原則并動(dòng)態(tài)可視監控�����,在核心和數據系統里做好黑白名單的可信驗證�����。一點(diǎn)也不高深特簡(jiǎn)單����,不用PPT吹NB�,做好落地了基本保證第二道防線(xiàn)沒(méi)問(wèn)題�����。我們把這些統合起來(lái)做了個(gè)系統���,稱(chēng)為防御平臺核心檢測功能�����,現在用了的客戶(hù)都沒(méi)有被HW干掉����,實(shí)施一個(gè)滿(mǎn)意一個(gè)����,我們也特別有成就感�����。這個(gè)估計未來(lái)會(huì )成為主流的趨勢�,實(shí)干簡(jiǎn)單清晰化防御體系里的檢測系統���,感謝PCSA聯(lián)盟的KL,QT,ZX,SBR,ABT���,CT,ZR��,kx (科來(lái)���、青藤�����、中新�����、圣博潤����、安博通���、長(cháng)亭��、中睿���、可信….)安全能力者們���。你們做的探針真的很NB�,也確實(shí)是未來(lái)的安全中間力量�,和品牌沒(méi)關(guān)系�����,要看能力��,真安全未來(lái)大浪淘沙�。
等級保護2.0已經(jīng)頒布�,關(guān)鍵信息基礎設施保護相關(guān)的細化標準政策估計也會(huì )很快出臺��,數字時(shí)代這些內容都會(huì )在網(wǎng)絡(luò )承載�。
按照方院士的定義網(wǎng)絡(luò )是一種人造的電磁����,其以終端��、計算機����、網(wǎng)絡(luò )設備等為平臺�,人類(lèi)通過(guò)在其上對數據進(jìn)行計算���、通信�,來(lái)實(shí)現特定的活動(dòng)�。
在這個(gè)中�����,人���、機�、物可以被有機地連接在一起進(jìn)行互動(dòng)����,可以產(chǎn)生相應的內容����、商務(wù)�����、控制等影響人們生活的各類(lèi)信息�����,數字中國萬(wàn)云時(shí)代��,萬(wàn)種場(chǎng)景�、萬(wàn)物互聯(lián)�����,所以討論關(guān)鍵信息基礎設施防護需要聚焦落在幾個(gè)領(lǐng)域為好……
圖6:承載國家關(guān)鍵信息基礎設施之關(guān)鍵要素
宏觀(guān)的平臺概念太大�����,具體細化在我們微觀(guān)的理解中數字中國的特征未來(lái)會(huì )有無(wú)數的平臺����,例如城市大腦的泛在感知物聯(lián)平臺�����,支撐工業(yè)制造的工業(yè)互聯(lián)網(wǎng)平臺��、支撐政務(wù)云的政務(wù)云平臺��、支撐數據的數據中臺����,支撐應用的支撐平臺�����,支撐12306的客票平臺����、支撐電網(wǎng)的調度平臺���、支撐中小企業(yè)的公有云平臺(租戶(hù) 云)��,支撐大家吃穿住行的平臺���、政務(wù)服務(wù)的一體化平臺��、行政監管的一體化平臺���,每個(gè)平臺承載的都是一個(gè)區域���、一個(gè)行業(yè)�、一個(gè)場(chǎng)景����,現在網(wǎng)絡(luò )安全行業(yè)在每個(gè)層面都有新的安全從業(yè)者在研究和探討���,概念太龐大���。我們已經(jīng)在研究的就是企業(yè)級�、行業(yè)級��、城市級�����、國家級關(guān)鍵信息基礎設施平臺防護的要點(diǎn)��,2018-2019年���,踏實(shí)實(shí)驗室和PCSA聯(lián)盟和CETE也溝通落地了上海嘉定新一代基礎設施的城市及安全管理平臺��,還是需要很多專(zhuān)門(mén)地方需要探討�����,隨著(zhù)新一代信息基礎設施的前進(jìn)而前進(jìn)�。
圖7:城市級平臺安全管理及運營(yíng)
說(shuō)起數據安全���,先說(shuō)一個(gè)概念兩個(gè)維度兩個(gè)熱點(diǎn)���,一個(gè)概念就是數據的基本分類(lèi)( 國家級����、行業(yè)級�、城市級�、企業(yè)級�����、群體級����、個(gè)體級)���,個(gè)人數據有可能也是國家級別的防護��,國家級的數據也有可能之采取個(gè)人級別的防護���。
兩個(gè)維度��,一個(gè)是站在數據的價(jià)值維度看重要性(數據資源級別—保安級�、數據資產(chǎn)級別—保鏢級�、數據資本(流通)級別—武警級�、數據托管(交易)級別—銀行級)的新思維(海關(guān)劉處的思想)�,一個(gè)是站在數據全生命周期維度看重要性(采集�����、傳輸�、加工����、處理�����、存儲��、銷(xiāo)毀)的傳統思維�。
兩個(gè)熱點(diǎn)���,一個(gè)是各地大數據局政府機構的成立���,數據共享����、交換�、流通�,2014年我的碩士畢業(yè)論文提到的現在政務(wù)的“盲數據��、死數據”未來(lái)都會(huì )隨著(zhù)數據的流動(dòng)起來(lái)產(chǎn)生價(jià)值����。一個(gè)是公共平臺隱私數據的保護�,數字時(shí)代APP和網(wǎng)站以及其他公共設施收集的每個(gè)人的身份信息�、手機信息���、地址信息�、人臉信息����、支付習慣信息�、吃穿住行信息….想起來(lái)就恐怖��,這個(gè)環(huán)節基本上還沒(méi)有啥政策要求����,其實(shí)這個(gè)也是個(gè)大市場(chǎng)�,當然需要監管的來(lái)臨�,商人自發(fā)花錢(qián)保護客戶(hù)信息的可能幾乎沒(méi)有��。
總之�,數據安全這個(gè)范疇可研究和討論的很多�,數據成為有價(jià)的資產(chǎn)肯定的確定的���,數據有價(jià)值肯定是要流動(dòng)的�����,不流動(dòng)就不會(huì )產(chǎn)生價(jià)值了���。所以未來(lái)大部分場(chǎng)景都會(huì )有數據的提供者����、數據的運用者�����、數據的管理者��、數據的使用者�����、但更重要的是數據合理合法使用的監管者����,數據流動(dòng)安全監管就成為數字時(shí)代的重大命題���,應用安全能力者不同的安全能力在數據流動(dòng)的不同場(chǎng)景進(jìn)行有序和安全的管理就是我們和PCSA聯(lián)盟和某地大數據局和某行業(yè)溝通現在正在做的事情�。全程可視��,狀態(tài)可查���,權益可管����、權限可控��、流動(dòng)可溯����、易用擴展��。
圖8:數據流動(dòng)安全監管
前幾年出國游學(xué)和參觀(guān)時(shí)通過(guò)朋友參觀(guān)了幾家美國大的云和互聯(lián)網(wǎng)公司���,其中重點(diǎn)是參觀(guān)安全管理和運營(yíng)管理�,龐大的規模和監控和運營(yíng)中心由于不能拍照無(wú)法描述�。在整個(gè)參觀(guān)的過(guò)程中給我最大的感觸就是幾個(gè)關(guān)鍵詞����、事多����、人少����、全程可視���、自動(dòng)化�����。這幾年在國內信息化建設過(guò)程中看到的場(chǎng)景基本上也是這樣����,沒(méi)有良好的大安全管理中心和運營(yíng)中心����,任何系統想要長(cháng)久的安全運行保障基本不可能�。2005年開(kāi)始國內開(kāi)始有了安全管理中心和平臺1.0雛形現在已經(jīng)被淘汰�,2009年安全管理進(jìn)入2.0�����,在CC某V和某關(guān)���、某社我們看到的和審計多個(gè)項目���,錢(qián)花了不少�����,事情也干了不少�����,但確實(shí)也沒(méi)起到相應的效果體現價(jià)值��,收集大量基礎數據進(jìn)行關(guān)聯(lián)分析這個(gè)思路����,在基本上沒(méi)有標準���、沒(méi)有生態(tài)���、沒(méi)有深度檢測能力等等必要的保障��。安全管理2.0只能活在PPT和情懷里�����,這10年我和團隊接觸過(guò)國內99%的安全管理平臺��,也幫助客戶(hù)建設了數百個(gè)所謂的安全管理平臺���,實(shí)話(huà)說(shuō)我沒(méi)有看到一個(gè)高效的和有高價(jià)值的����。16年開(kāi)始����,我們的網(wǎng)絡(luò )防御服務(wù)接受了挑戰���,考慮到未來(lái)進(jìn)入數字時(shí)代��,安全管理是重中之重�����,我們給很多生態(tài)伙伴提供了思路和想要的安全管理中心的樣子�����,比如圍繞保護對象與運維合力成為保障能力中心����,管理和建立四大體系�,要有深度檢測�。例如關(guān)鍵業(yè)務(wù)數據和安全與流量精密關(guān)聯(lián)����,讓ID和IP清晰自如的展示��、讓訪(fǎng)問(wèn)路徑實(shí)時(shí)動(dòng)態(tài)可視等等���,形成企業(yè)級�、行業(yè)級����、城市級的安全管理和運營(yíng)等等�,很慶幸����,2017年以來(lái)我們理想的安全管理逐步實(shí)現了�。態(tài)勢感知逐步實(shí)現�����,這個(gè)領(lǐng)域落地的案例已經(jīng)很多了����,也獲得了工信部的試點(diǎn)示范�����,在HW中也有很好的表現�,沒(méi)有白費力氣��,浪費我的白頭發(fā)���,未來(lái)我們會(huì )和生態(tài)伙伴一起迭代好這個(gè)平臺�����,力爭成為未來(lái)網(wǎng)絡(luò )防御體系的主力軍�����。
圖9:安全管理及運營(yíng)
從Struts2的漏洞爆出和coremail的0day,主流應用框架的選擇�����,尤其是對外提供服務(wù)的Web和mail��,一旦底層出大的安全問(wèn)題了���,會(huì )導致整個(gè)系統都需要重新構建了����。由于很多開(kāi)發(fā)者不回去考慮安全性的問(wèn)題����,往往從易用和易構建的角度去考慮����,系統和底層架構是緊耦合的不可輕易分離�,嚴重漏洞的出現����,不能修補��,勉強弄弄安全運行也有問(wèn)題��,不修補也不能再上線(xiàn)了����。這個(gè)問(wèn)題出現后只能重新架構和開(kāi)發(fā)了���,經(jīng)濟損失極大����,這也是我們12年經(jīng)歷的血淋淋的教訓����。
這個(gè)點(diǎn)也是幾個(gè)案例的體現���,主要提醒大家IT主流品牌一定是APT攻擊者的重點(diǎn)�,因為發(fā)現一個(gè)0DAY�,基本上和挖到金礦一樣�����,我們經(jīng)常在網(wǎng)絡(luò )安全防御體系建設中看到品牌一致性的要求�。從統一管理的角度上來(lái)說(shuō)也是對的����,但一旦出現0day或者被攻破�,基本上就是全軍覆沒(méi)����,充其量就是個(gè)馬奇諾防線(xiàn)�����,而且大廠(chǎng)的OEM產(chǎn)品太多����,其實(shí)每個(gè)安全廠(chǎng)商真正的安全能力不會(huì )超過(guò)3-5個(gè)����,其他都是非重點(diǎn)能力�。一個(gè)安全能力沒(méi)有3-5年的研究研發(fā)���,不可能成功的���。這些年我們總結經(jīng)驗就是大眾品牌選擇部署可以在外圍���,解決復雜管理和高性能�����、高可靠性��,在核心數據區或者關(guān)鍵管理區選擇小眾的品牌�����,或者多層異構�����。例如:在新**全國大網(wǎng)的設計上����,縱深防御選擇了6個(gè)品牌(非OEM)的紅��、黃���、藍區�����、數據�、管理����、業(yè)務(wù)在不同層�,有解決性能為主的����,也有解決高安全性為主的����、也有解決高策略最小原則穩住的����,可能都是防火墻��,設計時(shí)也會(huì )有不同的側重點(diǎn)����。管理和安全性一定是平衡使用的����。
同類(lèi)型功能不同能力者的異構其實(shí)在管理者眼里是麻煩的���,但在攻擊者眼里同樣也是麻煩的�����,如果做好落地����,呵呵�����,累死Y的�����。例如防火墻多層異構解決避免一網(wǎng)通殺���、防護策略失效的問(wèn)題�����,防病毒網(wǎng)關(guān)�、桌面防病毒和沙箱郵件追溯異構解決病毒木馬���、釣魚(yú)郵件的交叉檢測和查殺�����,威脅情報和弱點(diǎn)管理不同供應商的異構解決風(fēng)險管理的全面化��,多重身份認證和特權賬號不同認證異構解決被輕易獲取權限一路暢通���,陷阱和蜜罐的異構設置可以讓攻擊到內網(wǎng)的黑客一頭霧水�����??傊?��,不同的安全能力之間的多角度異構的靈活應用會(huì )給APT攻擊者一路障礙�,這些花不了多少經(jīng)費����,但確實(shí)有效�,唯一的就是給管理者有一定難度�,需要將統一管理的平臺做好���。
無(wú)論你用的是多高級的病毒軟件和木馬查殺軟件����,記住一點(diǎn)����,任何高級貨制作出來(lái)的第一步就是跑一遍所有的主流病毒和木馬查殺軟件��。一個(gè)好的馬��,制作不容易���,傳輸不容易��,運行不容易��,弄不好還被反控了��,所以高級馬是不容易對付的�,加上中國在EDR領(lǐng)域一家廣告公司獨大����,其他基本被消滅�,這幾年才出現一些新能力����,所以����,一家主流的免殺后�,高級馬基本上解決了大部分的問(wèn)題�。
也許你沒(méi)聽(tīng)說(shuō)過(guò)的方法未來(lái)都會(huì )出現����,一個(gè)外賣(mài)小哥��、一個(gè)保潔阿姨��,一個(gè)好久不聯(lián)系的朋友到了辦公區��,他們離開(kāi)的時(shí)候�����,會(huì )留下繼續進(jìn)來(lái)的U盤(pán)狀的無(wú)線(xiàn)發(fā)射器當作跳板����,一個(gè)供應商送入的一批服務(wù)器和交換機在芯片上有可能的后門(mén)��。有個(gè)電視劇叫做“密戰”����,建議大家看看����,一個(gè)外包的軟件開(kāi)發(fā)商交付的代碼中間有隱藏的不應該的代碼��,一個(gè)離職的安全管理員仍然可以撥入VPN����,用root權限獲取數據……這些都是現在以及未來(lái)可以發(fā)生的�����。
網(wǎng)絡(luò )社會(huì )����,EID的認證和識別是關(guān)鍵中的關(guān)鍵��,互聯(lián)網(wǎng)個(gè)人隱私泄密太多���,通過(guò)社工的方式可以輕易獲取一個(gè)既定目標的網(wǎng)絡(luò )行為方式(網(wǎng)絡(luò )習慣���、網(wǎng)絡(luò )id���、網(wǎng)絡(luò )密碼)�����。人的習慣是很難改變的��,所有認證的用戶(hù)名�����,密碼總是那么幾個(gè)����,一但破解全網(wǎng)通吃��,HW期間碰到的單認證方式和特權用戶(hù)被拿下�,其實(shí)還沒(méi)用到社工這種高級貨�。說(shuō)白了�,我們現在的政府企業(yè)每個(gè)單位先檢查一遍全網(wǎng)的特權用戶(hù)管理就明白了�����,70%的特權用戶(hù)就是沒(méi)有被管理����、被監控����,更別說(shuō)其他的用戶(hù)了�����。
數字中國萬(wàn)云時(shí)代��,萬(wàn)種場(chǎng)景����、萬(wàn)物互聯(lián)����,大數據���、大平臺���、大系統的建設模式是中國現在以及未來(lái)的模式����,政務(wù)服務(wù)一體化���、行業(yè)監管一體化����、城市大腦運行一體化��、工業(yè)智能一體化��。不可否認���,數字中國急切需要打通數據孤島��,公共服務(wù)更便捷����、效率更高�、更智能����、更便捷�����、行政監管更準確�、更有效���,數據越聚合越重要��,黑市價(jià)值越高����,攻擊者越多����,保障體系就越需要更緊密�����,不得不形成“大安全大運維”的合成能力保障體系���,才能確保業(yè)務(wù)的安全穩定運行�。產(chǎn)品堆砌的時(shí)代以及過(guò)去了����,服務(wù)才是真價(jià)值��,安全服務(wù)高級人才稀缺會(huì )更大���。聽(tīng)說(shuō)HW駐場(chǎng)的人有一天一萬(wàn)的����,恭喜安全人才價(jià)值提高了不少��。
世界的安全����,未來(lái)會(huì )是中國式的和非中國式的����,看好數字中國的開(kāi)啟模式�,百花齊放��,開(kāi)源開(kāi)放萬(wàn)種場(chǎng)景����、萬(wàn)云時(shí)代����、萬(wàn)物互聯(lián)�����、(云����、數據�����、應用����、智能����、智能制造����、泛在感知�����、小到一個(gè)人的吃穿住行��,到一個(gè)城市的實(shí)時(shí)運行�����,到一個(gè)社會(huì )的公共安全����、到一個(gè)行業(yè)的智能發(fā)展����,離不開(kāi)新模式�����、新技術(shù)����、新應用�。同時(shí)一個(gè)十幾億人口的大國也必將走向自主可控�,中國式網(wǎng)絡(luò )安全會(huì )走向和世界不同的方向���,也會(huì )越來(lái)越務(wù)實(shí)��。
中國網(wǎng)絡(luò )安全產(chǎn)業(yè)相比國際同行處于弱勢��,在國家高度重視網(wǎng)絡(luò )安全的背景下依然難以依靠自身力量快速做大做強���,持續下去將在國際網(wǎng)絡(luò )對抗中愈發(fā)落后�,最終損害對關(guān)鍵信息基礎設施的有效保護能力�����。
當前我們雖然也面臨資金不足�����、人才匱乏����,但更需要有好的環(huán)境�����,好的平臺��,好的政府扶持政策����,通過(guò)網(wǎng)絡(luò )安全產(chǎn)業(yè)的供給側改革讓更多的創(chuàng )新者�����、創(chuàng )業(yè)者�,通過(guò)統一窗口���、統一平臺有機會(huì )展現創(chuàng )新能力��,在網(wǎng)絡(luò )安全科技領(lǐng)域中不斷貢獻力量���,通過(guò)基于實(shí)戰的靶場(chǎng)演練��,不斷提升國家關(guān)鍵信息基礎設施防護水平�����。
2018�、19年參加了幾次工信部和WXB關(guān)于網(wǎng)絡(luò )安全產(chǎn)業(yè)的調研會(huì )�,圈子里的專(zhuān)家其實(shí)共識度還是挺高的明白人不少���,大部分觀(guān)點(diǎn)不說(shuō)了就說(shuō)創(chuàng )新這一件事情���,把它做透了就需要很多方面的合力��。比如國外的合作是A.B公司的能力疊加���,在國內就是大品牌的OEM��,鼓勵小品牌�����,新能力的合作����。比如國內公共靶場(chǎng)的建立�����,讓大家創(chuàng )新能力有練兵之地��,總不能違法亂紀����,也不能閉門(mén)造車(chē)吧�����,比如建立國家級的生態(tài)化安全能力展示平臺和中心���。讓大家都有露臉的秀肌肉的地方…..供給側的改革�����,確實(shí)需要百花齊放和有效的政策扶持��。
現在的攻防大賽��、武器庫�、漏洞庫��,不管是為了實(shí)戰還是演習����,攻擊方現在已經(jīng)新型攻擊武器平臺化武器庫快速有效滲透�����,說(shuō)白了已經(jīng)是集團軍作戰了�����,下圖示意一下�����,呵呵�����,不代表其他意思�����。
圖10:數字時(shí)代是由物理的和非物理組成的
現在我們看到的大部分行業(yè)��、企業(yè)的網(wǎng)絡(luò )安全防御現狀基本上是民兵式的�����,沒(méi)有正規的組織建制���、沒(méi)有持續的和合適的后勤保障�����,沒(méi)有先進(jìn)的防御和反擊工具和武器���,未來(lái)這種防御體系基本上都是炮灰����,不信明年HW見(jiàn)�。不多講了大家都懂見(jiàn)下圖:
圖11:“民兵式”網(wǎng)絡(luò )安全防御體系
這個(gè)是我們最近對于未來(lái)5年的研究方向的框架確定�����,有些涉及到商業(yè)秘密不方便公開(kāi)說(shuō)了�����,有興趣的一起交流���,也可以一起加入進(jìn)來(lái)�,為自己��、為企業(yè)���、為國家做些事情��。
圖12:踏實(shí)實(shí)驗室研究成果網(wǎng)絡(luò )綜合防御平臺框架
列完提綱也陸陸續續的利用業(yè)余時(shí)間寫(xiě)了20天�,也算一氣呵成���,不是寫(xiě)書(shū)寫(xiě)論文所以隨性了些�����,畢竟是網(wǎng)絡(luò )安全有些地方意會(huì )大于言傳���。也確實(shí)還有好多的話(huà)也沒(méi)說(shuō)完��,比如云安全的誤區���、比如數據流動(dòng)安全監管的未來(lái)�、比如工業(yè)安全的坑��,比如說(shuō)信息安全�、網(wǎng)絡(luò )安全���、數字安全的區別……以后在和大家一起討論吧����,文章中的案例和思考都是團隊這些年的經(jīng)歷���,肯定也有很多不見(jiàn)得大家都認同的地方���,歡迎指正����。期望未來(lái)中國網(wǎng)絡(luò )安全產(chǎn)業(yè)更好��,畢竟我的青春獻給了這個(gè)產(chǎn)業(yè)20年�,也想用本文紀念和致敬一下過(guò)去的20年��。
文章來(lái)源:https://news.cndns.com/article/9350
相關(guān)推薦
【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)�����,上云必備��,火爆開(kāi)搶>>點(diǎn)擊查看詳情<<
【全球云-高性能限量搶】高性能云主機好用能省�,高性能高配置高儲存���,輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<
【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折����。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<
