企業(yè)的安全建設(shè)總是跟隨其信息化建設(shè)逐步建立并完善,,隨著企業(yè)的部門分支、系統(tǒng)規(guī)模的不停擴(kuò)展,,其安全設(shè)備也逐漸臃腫扎堆。這讓IT團(tuán)隊不堪重負(fù),,誤報率居高不下,,不同的安全策略相互掐架,響應(yīng)效率低下,,同時還要面臨業(yè)務(wù)團(tuán)隊的嫌棄和抗拒,。
安全運(yùn)營成為當(dāng)前企業(yè)做好網(wǎng)絡(luò)安全工作的重要抓手,安全419推出《安全運(yùn)營解決方案》系列訪談選題,,通過分析人,、數(shù)據(jù)、工具,、流程等安全運(yùn)營中的基本元素,,探討現(xiàn)代安全運(yùn)營所需要的能力。本期,,我們邀請到南京眾智維信息科技有限公司(以下簡稱 眾智維科技)創(chuàng)始人兼董事長孫捷先生,,為大家分析企業(yè)如何恰到好處地落實(shí)安全運(yùn)營,,順暢地開展常態(tài)化的安全工作,。
眾智維科技成立于2015年,是以國內(nèi)知名的麒麟安全實(shí)驗(yàn)室(原OPENX實(shí)驗(yàn)室)為基礎(chǔ)建立的網(wǎng)絡(luò)安全軟件研發(fā)創(chuàng)新企業(yè),。公司堅持“眾智創(chuàng)新重塑安全生態(tài),、AI運(yùn)營賦能網(wǎng)信安全”,是新一代人工智能+機(jī)器學(xué)習(xí)驅(qū)動,,通過AI+無代碼數(shù)字機(jī)器人+自動化協(xié)同安全響應(yīng)平臺+實(shí)戰(zhàn)對抗的網(wǎng)絡(luò)安全攻防運(yùn)營(AISecOps)解決方案商,。主要致力于為需求方提供安全自動化,、風(fēng)險評估、管理運(yùn)維,、流量分析,、端點(diǎn)防護(hù)、SOAR,、AI/ML等網(wǎng)絡(luò)安全服務(wù),。
新型安全運(yùn)營體系意在實(shí)現(xiàn)
主動監(jiān)測、快速響應(yīng),、積極演練
網(wǎng)絡(luò)安全工作并非部署設(shè)備之后就一勞永逸,,面對安全態(tài)勢的持續(xù)監(jiān)控,對安全事件的應(yīng)急響應(yīng),,以及對安全目標(biāo)和價值的評估量化,,都要求網(wǎng)絡(luò)安全工作從“建設(shè)”持續(xù)走向“運(yùn)營”。
長久以來,,企業(yè)通過安全服務(wù)外包,、安排人員駐場、或制定相關(guān)流程并采用一些基礎(chǔ)的評估,、協(xié)同工具來開展安全運(yùn)營,,力求將安全產(chǎn)品、安全服務(wù)的能力發(fā)揮到極致,,一定程度上提升了企業(yè)的安全感知和防護(hù)能力,,避免業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)及關(guān)鍵數(shù)據(jù)受到損害和竊取,。
然而,,攻防對抗總是在動態(tài)中較量升級,孫捷表示,,數(shù)字化改革成為企業(yè)業(yè)務(wù)轉(zhuǎn)型和加強(qiáng)競爭力的必要路徑,,新冠疫情的流行大力推動著這一進(jìn)程的速度,一方面,,愈加模糊的內(nèi)外網(wǎng)邊界帶來愈加多的數(shù)字資產(chǎn)暴露面,,無論是內(nèi)部員工還是供應(yīng)鏈環(huán)節(jié)都可能成為入口跳板,面對更加先進(jìn),、智能的攻擊手段而防不勝防,。另一方面,愈加復(fù)雜的IT架構(gòu)帶來了愈加碎片化的安全設(shè)備,,一座座安全孤島形成新的囚籠與盲區(qū),,以及專業(yè)安全人員的缺乏和遠(yuǎn)程運(yùn)維成為常態(tài),讓0day漏洞等高危安全事件無法得到及時有效的處理,。
以眾智維科技參與的一次實(shí)網(wǎng)攻防演練項目為例,,我們可以直觀感受到在上述現(xiàn)狀下開展安全運(yùn)營會遭遇的窘境,。
某頭部金融客戶部署了超過20家供應(yīng)商的安全產(chǎn)品,在演練保障期間,,平均每款產(chǎn)品配備有1-3名安全服務(wù)人員提供駐場技術(shù)支撐,,當(dāng)安全事件發(fā)生,需要協(xié)同幾十款產(chǎn)品和上百號人員進(jìn)行響應(yīng)處置,。矛盾之處在于,,攻擊是針對組織整體,單點(diǎn)的安全產(chǎn)品無法窺見攻擊的全貌,,難以還原完整的攻擊鏈路,,異構(gòu)產(chǎn)品的安全策略和處置流程以及專家們的知識經(jīng)驗(yàn)彼此割裂,難以形成良性的合力,,雖然能力和服務(wù),,面對實(shí)戰(zhàn)化進(jìn)攻反而將戰(zhàn)線拉得很長,防護(hù)效果大打折扣,。
“安全攻防就是雙方搶時間,,必須要打通人與人、人與產(chǎn)品以及產(chǎn)品與產(chǎn)品之間的通路”,,孫捷這樣闡述現(xiàn)代化安全運(yùn)營的效用,,“安全能力建設(shè)不是安全產(chǎn)品的堆疊,而是需要安全專家深度融入結(jié)合先進(jìn)平臺對核心業(yè)務(wù)實(shí)施主動監(jiān)測,,以服務(wù)提供快速響應(yīng),,常態(tài)化演練提前發(fā)現(xiàn)威脅,從而去提升黑客的攻擊成本,,拉長黑客攻擊周期,,縮短事件發(fā)生后的響應(yīng)時間,防范和化解高級,、新型威脅帶來的影響,,降低風(fēng)險帶來的損失,形成一套主動監(jiān)測,、快速響應(yīng),、積極演練的新型安全運(yùn)營體系?!?/p>
其核心目標(biāo)之一——效能與效率,,主要體現(xiàn)在兩點(diǎn),一是平均檢測時間(Mean Incident Time to Detect,,MTTD),,安全風(fēng)險事件從最初被檢測到最終確定其有效性所花費(fèi)的時間,,可以反映企業(yè)在識別安全事件的真實(shí)威脅方面的能力和水平,;二是平均響應(yīng)時間(Mean Incident Time to Response,,MTTR),衡量調(diào)查和減輕已確認(rèn)事件所花費(fèi)的時間,,顯示了安全運(yùn)營團(tuán)隊在分析和緩解安全事件的實(shí)際威脅方面的能力,。因此,防守方的本質(zhì)就是降低 MTTD 和 MTTR,,讓系統(tǒng)更安全地運(yùn)行,,最終實(shí)現(xiàn)完整的安全運(yùn)營流程。
AISecOps
為提高安全運(yùn)營效率和質(zhì)量提供解題思路
作為聚焦AISecOps領(lǐng)域的方案提供商,,孫捷表示眾智維科技以新一代人工智能+機(jī)器學(xué)習(xí)為驅(qū)動,,通過AI+無代碼數(shù)字機(jī)器人+自動化協(xié)同安全響應(yīng)平臺+實(shí)戰(zhàn)對抗網(wǎng)格的創(chuàng)新組合打法,以無代碼數(shù)字安全機(jī)器人實(shí)現(xiàn)安全運(yùn)營輔助決策,,以自主研發(fā)的SOAR安全自動化編排平臺實(shí)現(xiàn)攻防兩端的場景劇本自動化,。
其AISecOps產(chǎn)品核心依托于MSS的云倉聯(lián)動體系,將眾智維科技的AI算法云倉,、紅藍(lán)對抗數(shù)字機(jī)器人駕駛艙與企業(yè)安全運(yùn)營數(shù)據(jù)進(jìn)一步迭代整合,,多維度構(gòu)建了紅藍(lán)紫軍三方高頻壓力下的安全運(yùn)營協(xié)同作戰(zhàn)體系。
孫捷以其拳頭產(chǎn)品RedOps紅鯨安全協(xié)同響應(yīng)平臺為例為我們闡述了眾智維科技在AISecOps領(lǐng)域的建樹,。
RedOps是通過SOAR技術(shù),,以自動化編排為核心,充分使用自動化技術(shù)手段,,將人,、技術(shù)和流程高度協(xié)同起來,將繁雜的安全運(yùn)行(尤其是安全響應(yīng))過程梳理為任務(wù)和劇本,,提供定制化的流程和控制,,整合并加速有效網(wǎng)絡(luò)威脅的調(diào)查與緩解,可快速編排響應(yīng)策略,,在收集不同來源的安全威脅數(shù)據(jù)和警報時,,運(yùn)用人機(jī)結(jié)合的方法進(jìn)行事件分析與分類,根據(jù)標(biāo)準(zhǔn)流程輔助定義,、排序和驅(qū)動標(biāo)準(zhǔn)化事件響應(yīng)行為,,并應(yīng)用到防護(hù)、檢測與響應(yīng)的每個環(huán)節(jié),,實(shí)現(xiàn)簡化的統(tǒng)一協(xié)同響應(yīng),,節(jié)省手動分析時間,最終實(shí)現(xiàn)自動化安全運(yùn)營的安全協(xié)同響應(yīng)平臺,。
根據(jù)Gartner的定義,,SOAR是指能使企業(yè)組織從SIEM等監(jiān)控系統(tǒng)中收集報警信息,或通過與其他技術(shù)的集成和自動化協(xié)調(diào),提供包括安全事件響應(yīng)和威脅情報等功能,。SOAR技術(shù)市場最終目標(biāo)是將安全編排和自動化(SOA),、安全事件響應(yīng)(SIR)和威脅情報平臺(TIP)功能融合到單個解決方案中,其三大核心能力是編排,、自動化,、安全響應(yīng)。
//安全能力編排化
據(jù)了解,,RedOps一方面可以通過自底向上地通過安全設(shè)備接口化和安全接口應(yīng)用化實(shí)現(xiàn)安全應(yīng)用編排化,;另一方面則自頂向下地將安全運(yùn)營者的安全運(yùn)營過程和規(guī)程進(jìn)行形式化落地,實(shí)現(xiàn)運(yùn)營過程的劇本化,。最后,,借助運(yùn)營過程劇本化和安全應(yīng)用編排化,實(shí)現(xiàn)安全能力的集成與編排,,并為安全流程的自動化執(zhí)行奠定基礎(chǔ),。通過安全能力編排化,真正實(shí)現(xiàn)了將不同的設(shè)備和系統(tǒng)協(xié)同聯(lián)動起來的目標(biāo),。
//安全流程自動化
安全流程自動化不等于安全編排,,實(shí)際上,安全編排得到的任務(wù)和劇本指明了一系列操作的步驟和下一步走向的判定條件,,既可以人工執(zhí)行,,也可以自動執(zhí)行。在實(shí)際應(yīng)用場景中,,幾乎所有安全編排任務(wù)和劇本的執(zhí)行都或多或少地涉及自動化,,否則安全編排的價值十分有限。
“還需要指出的是”,,孫捷強(qiáng)調(diào),,“安全編排自動化不等于安全編排任務(wù)和劇本執(zhí)行的完全自動化,所有否認(rèn)人在安全運(yùn)營工作中的決定性作用的觀點(diǎn)都是不現(xiàn)實(shí)的,。在實(shí)際應(yīng)用場景中,,安全編排自動化基本都是半自動化?!盧edOps的安全運(yùn)營流程與規(guī)程盡可能地自動化執(zhí)行,,從而大大提升安全流程的執(zhí)行效率,節(jié)約時間和人力成本,,并確保能夠持續(xù)達(dá)成預(yù)期的效果,。
//告警響應(yīng)智能化
對來自組織的各種告警信息進(jìn)行基于編排與自動化的響應(yīng)是 SOAR 產(chǎn)品的基本能力。此外,,RedOps還提供了智能化告警響應(yīng)的能力,,進(jìn)一步提升了告警響應(yīng)的精準(zhǔn)度和有效性,。
智能告警分診:包括智能化、規(guī)約化的告警預(yù)處理,,以及基于策略的告警合并,。同時,系統(tǒng)可選的高級告警分析功能,,幫助用戶進(jìn)一步提升告警價值,減少告警數(shù)量,。告警分析采用基于關(guān)聯(lián)規(guī)則的分析技術(shù),,能夠?qū)⒉煌瑏碓吹母婢畔⑦B同外部的情境數(shù)據(jù)進(jìn)行交叉比對與關(guān)聯(lián)。
智能告警調(diào)查:安全運(yùn)維人員和分析師可以對告警信息進(jìn)行深入調(diào)查,,支持交互式調(diào)查分析,,支持基于劇本和應(yīng)用動作的編排化調(diào)查分析,支持告警統(tǒng)計與追溯下鉆,。通過告警調(diào)查豐富告警信息,、核實(shí)告警原因、對齊處置對策,。
智能告警響應(yīng):一旦確認(rèn)某個告警信息為安全事件(Incident),,可以自動觸發(fā)響應(yīng)劇本,或者自動添加到相關(guān)的案例中,,也可以提醒分析師進(jìn)行人工響應(yīng),。
總而言之,企業(yè)本質(zhì)上是為了避免業(yè)務(wù)受阻,,有能力進(jìn)行安全對抗,,提高安全運(yùn)營效率和質(zhì)量。借助RedOps,,可以將分散的工具,、人員和流程有機(jī)地整合到一起,幫助企業(yè)解決安全運(yùn)營的最后一公里落地問題,;同時將人員從繁重的低端重復(fù)性勞動中解脫出來,,通過編排與自動化技術(shù)手段提升人的運(yùn)營水平和績效;還能將有經(jīng)驗(yàn)的安全運(yùn)營人員的知識進(jìn)行固化,、沉淀,、分享,并不斷優(yōu)化,;最終實(shí)現(xiàn)安全運(yùn)營效果的自動化,、數(shù)字化度量,讓安全管理者更客觀,、快速地掌握安全運(yùn)營團(tuán)隊的績效,,以及安全運(yùn)營的實(shí)際效果,。
安全運(yùn)營走向智能化、實(shí)戰(zhàn)化
落地AISecOps有章可循
根據(jù)安全運(yùn)營的新形勢,,在未來,,企業(yè)會不斷地在AI算法智能、自動化,、無代碼作戰(zhàn)機(jī)器人層面不斷加碼,。眾智維科技一直以來立足對安全運(yùn)營廠商產(chǎn)品生態(tài)體系的持續(xù)投入,與大量第三方安全廠商合作并資源整合,,以構(gòu)建產(chǎn)品技術(shù)和運(yùn)營服務(wù)雙高壁壘,,成為大數(shù)據(jù)+AISecOps安全領(lǐng)軍企業(yè)。目前眾智維科技RedOps紅鯨產(chǎn)品通過安全工具超市功能,,實(shí)現(xiàn)與Check Point,、亞信安全、奇安信,、長亭科技,、賽寧網(wǎng)安等國內(nèi)外150多家安全廠商建立API安全合作生態(tài),覆蓋350款產(chǎn)品的自動化集成聯(lián)動,,實(shí)現(xiàn)人與產(chǎn)品,、產(chǎn)品與機(jī)器的高效集成,在網(wǎng)絡(luò)安全協(xié)作過程中為客戶實(shí)現(xiàn)各種安全資源的高效協(xié)同,,落地AISecOps自動化,、智能化、實(shí)戰(zhàn)化的產(chǎn)品和運(yùn)營實(shí)踐,。
眾智維科技建議企業(yè)基于這些步驟來建設(shè)安全運(yùn)營體系:
01 制定安全運(yùn)營能力目標(biāo),。在部署SOC/SIEM基礎(chǔ)上,應(yīng)建設(shè)具備攻防能力,、安全處置能力的專家或服務(wù)體系,。通過嘗試落地SOAR、MITRE ATT&CK框架,、協(xié)同作訓(xùn)來打通企業(yè)攻防安全基本運(yùn)營流程,,從而清楚地認(rèn)識威脅的分布情況。
02 組建自有的安全攻防體系,。目前在眾智維科技的客戶中,,100%都面臨過針對性地攻擊,所以建議企業(yè)要保持攻防演練實(shí)戰(zhàn)化,。企業(yè)管理層經(jīng)常問問運(yùn)營團(tuán)隊,,“對手要拿我的什么信息?”這可能不僅僅是數(shù)據(jù),,也許是業(yè)務(wù)流程,、組織架構(gòu),,甚至是高管信息、供應(yīng)鏈信息,。這里所說的實(shí)戰(zhàn)化不是簡單的靶場演練,,更多是可信眾測這類競爭檢測機(jī)制。
03 構(gòu)建彈性和可量化的運(yùn)營考核,。眾智維科技為企業(yè)提供安全運(yùn)營方案的過程中,,比較著重構(gòu)建彈性靈活的安全運(yùn)營方案,比如SOAR的APP安全接入,、劇本Playbook實(shí)例化,、USECASE案宗等,企業(yè)可以根據(jù)自身需求定義SecOps重點(diǎn)方向,,從而多維度衡量常見安全事件處置效率(例如分為運(yùn)營人員,、運(yùn)營團(tuán)隊,、安全案宗各種角度的MTTD,、MTTR),SOAR產(chǎn)品不僅僅能夠成為企業(yè)安全SecOps落地支撐,,而且能實(shí)現(xiàn)量化運(yùn)營考核,。
04 持續(xù)投入AI+SecOps建設(shè)。通過AI,、ML,、安全自動化的持續(xù)集成,可以釋放企業(yè)有限的安全運(yùn)營人員精力,,降低企業(yè)運(yùn)營成本,。
05 引入MSS安全專業(yè)托管。這將會是快速提高效率的另一種捷徑,,越來越多的企業(yè)IT上云,,也就意味著安全服務(wù)的云化。安全團(tuán)隊成員可以隨時隨地訪問這些企業(yè)應(yīng)用服務(wù),、運(yùn)營系統(tǒng),。企業(yè)通過SOC+SOAR+MSS托管服務(wù)將大大減輕安全團(tuán)隊的負(fù)擔(dān),讓自有安全專家將能夠?qū)W⒂诟匾墓ぷ?,例如流程,、協(xié)同、業(yè)務(wù)緩解和分析報告工作,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<