AI中国网 https://www.cnaiplus.com
程老师是一位经验丰富的安全从业者。三年前,他开始负责某大型基金的安全运营管理工作。尽管这三年对于本已不太富裕的安全行业来说是雪上加霜的,程老师却昂扬斗志。当被问及原因时,他狡黠地笑着说:“我找到了三板斧。”
那么什么是安全运营的三板斧呢?下面是程老师的自述:
第一板斧:用自动巡检突破安全设备的壁垒
我接手公司后,首先想梳理一下安全能力,以便确定下一步的安全建设方向。但令我心情激动的是,公司在不同时期陆续购买了来自不同技术栈、不同厂家的各种设备。从早期的动态数据包过滤防火墙和反垃圾邮件,到后来为了合规性而引入的日志审计、恶意软件分析系统,再到前几年购买的蜜罐、威胁情报甚至烂尾的SOC等等。我费尽心思对这些系统进行了评估,以确定哪些还能正常使用。如你所知,此类重复的工作我不会做第二次,因此我开始寻找解决方案,然后惊奇地找到了“青藤鹊桥”这个法宝。现在,实现巡检操作的方式是我收到一封包含30多个设备授权和健康状况信息的邮件。如果有问题,设备会自动提交工单。
第二板斧:自动处置化解告警风暴
解决设备巡检问题之后,我针对告警提出了一些想法。但实际情况比我想象的更糟糕。最大的问题是,由于告警方面没有足够的人手支持,我们进行了多轮优化,仍然没有太大改进。特别是流量告警,如果不看我们就担心出问题,如果看,一天内就无暇他顾。没有人愿意进行这些重复、机械的逻辑分析,大家知道这与机器竞争,肯定是早晚要被淘汰的。现在有了“青藤鹊桥”,对于边界告警,我们将结合业务执行自动处置,就能消去大部分告警。例如对于涉及国际业务的IP,我们直接将其封禁。在威胁情报的支持下,大多数告警都能自动处理掉。对于涉及内网的告警,在介入人员之前,我们还会自动进行基础数据调查,将关键调查结果一并提交给工单,这样可以提高效率并方便日后审查。现在,大家都竞相完成工单处理,因为一旦发现安全事件,就能立即获得功劳。
第三板斧:将资产攻击面进行自动化分级管理,赢得风险防范战
这几年,我们在安全建设思路方面做出了很大进展。以前,我们一直被告警追着跑,现在我们终于认识到,我们的关注重点被放得完全错误。告警只是安全问题的表象,被告警追得死去活来的原因是因为我们缺乏内部安全管理。资产管理是最重要的任务,我们需要知道所有各种负载、应用程序和供应链资产。在这些基础资产的基础上,我们需要确定风险和漏洞,需要采取迫切措施修复的漏洞,需要一直跟踪修复的操作。
如果你是社区保安,你对小区建筑资产和安全风险的了解程度将决定小区的安全程度。如果你心中有数,就不会有任何风吹草动乱成一团。在战时,关键是要从入侵者手中赢得战斗,但在平常,核心任务是赢得资产攻击面的战斗。
说实话,起初我不相信这件事是可行的,因为资产太多,漏洞也太多。当时我设置了5000个点来跑扫描,结果很快就报了2万多个漏洞,那时我彻底崩溃了,简直想辞职。然而,“青藤鹊桥”让我们能够进行自动化漏洞分级并在1分钟内给出排序结果。我们可以清楚地知道哪些漏洞最危险、需要立即修复,哪些漏洞没有POC或EXP,可以延后处理。
这三板斧让程老师迅速扭转了形势。不过据他所说,围绕着“青藤鹊桥”,他还有更多的杀招。例如,在掌握攻击面信息之后,如何与自动化工具结合进行攻防演练,使演练不再局限于过家家。当发现安全事件时,如何结合自动化工具进行隔离和追溯溯源,使处置响应更顺畅。以及在面对数万个漏洞时,如何结合自动化工具进行虚拟补丁,使漏洞收敛更加自如。透过这些,我发现再次见到程老师时,我肯定会重新刮目相看。
作者介绍:
Welder:青藤平台产品事业部的自动化安全运营专家,负责自动化安全运营解决方案的咨询与设计。
AI中国网 https://www.cnaiplus.com
本文网址:
