自动化安全运营的三板斧
2023-5-10 18:6:40 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏


程老师是一位拥有丰富经验的安全老兵,3年前接手了某大型基金的安全运营管理工作。这魔幻的3年,给本不富裕的安全行业雪上加霜,但出乎意料,他却斗志昂扬。“程老师,你藏了什么好东西”,他狡黠一笑,“我找到了三板斧”。

何为安全运营的三板斧?以下来自程老师的自述。


1
第一板斧:自动巡检突破安全设备山

我刚到公司,想着先对安全能力做个盘点,看看下一步安全建设的方向,盘点完,血压直接就上来了。公司在不同时期,陆续采购了不同厂家的、各种技术栈的各种设备。早期的动态数据包过滤防火墙、反垃圾邮件,后来为了合规,搞了一些日志审计、恶意软件分析的系统,前几年还买了一些蜜罐和威胁情报,甚至还有一个烂尾的SOC。

为了捋清楚这些系统是不是还能正常使用,废了我老鼻子劲。你知道,这种重复的工作,我一般不会做第二次,所以就想调研看看有没有啥解决思路,结果遇到了“青藤鹊桥”这个法宝。你知道我们现在巡检怎么做了么?早上我到办公室,会收到一封邮件,里面是我们30多个设备的授权和健康状况,那些有问题的设备,早已经自动提交了工单。

2
第二板斧:自动处置化解告警龙卷风

在设备巡检的事情有思路后,我就对告警这块有些想法了,但实际情况远比我想象的要糟。最大的问题是,我发现人手全都被限制在告警上,规则优化了好几轮还是没有太大改善。尤其是流量告警,不看担心有风险,要是看,那一天别的基本上啥都不用干了,好不容易招的人不是跑了就是废了。没人愿意做这些重复的、机械的逻辑判断,大家都知道和机器抢活干迟早被淘汰。

现在有了“青藤鹊桥”,对于边界上的告警,我们贴着业务做一些自动的处置判断就能消灭大部分。比如像国外的IP,我们直接就封了,因为根本就没有国际业务嘛,再配合威胁情报,绝大多数告警都能自动处理掉。涉及到内网的告警,在人介入之前,也会自动做一些基础的数据调查,把关键的调查结果放在工单上一起提交,效率高还方便复盘。现在大家都是抢着处理工单,因为一旦发现安全事件,那可是头功。

3
第三板斧:自动分级跑赢资产攻击面

这几年我们最大的进步,就是安全建设思路清晰了。以前我们都是被告警追着满地跑,现在才发现之前的重点完全放错了。告警只是安全问题的表象,能被天天狼来了的告警耍的身心俱疲,根本原因是我们内部的安全管理是严重缺失的。最首要的是资产的管理,各种负载、应用、供应链的资产是不是能摸清楚。在这些细粒度的资产基础上,风险、漏洞是不是可以探明查清,需要紧急修复的有没有办法持续追踪。

就好比你是你家小区保安,如果对小区的建筑资产和安保风险都心中有数,那就不会有任何风吹草动都乱成一团。战时的关键是跑赢入侵者,但更重要的是在平时要跑赢攻击面。

说实话,最开始我是不相信这事儿能成的,因为资产太多了,漏洞也太多了。我不是装了5000点的主机么,最开始跑完扫描直接给我报了2万多个漏洞,人都麻了,差点原地辞职。结果,“青藤鹊桥”帮我们做了自动化的漏洞分级,1分钟就给出了排序结果。可以很清楚地知道哪些漏洞是最危险的要赶紧修复掉,哪些是没有POC或者EXP的可以往后放。

这三板斧让程老师迅速打开了局面。
但是据他说,围绕“青藤鹊桥”这个法宝他可不止练了三招。
比如攻击面梳理之后,如何结合自动化来做攻防演练,让备战演练不再过家家。
比如那些发现的安全事件,如何结合自动化来做隔离溯源,让处置响应不再苦哈哈。
比如那2万多的漏洞,如何结合自动化来做虚拟补丁,让漏洞收敛不再拖拖拉拉。
……
如此练下来,看来过段时间再见到程老师,又得刮目相看了……

关于作者:

Welder: 青藤平台产品事业部-自动化安全运营专家,主要负责自动化安全运营解决方案咨询与设计。

-完-

热门动态推荐


文章来源: https://mp.weixin.qq.com/s?__biz=MzUyOTkwNTQ5Mg==&mid=2247488021&idx=1&sn=c03aa11ee9fed4eb8141a7ab847266c1&chksm=fa58b02ecd2f3938ab491618680fe1de34986b82735ddd97f90b3a31a5182c36a1942dabb395&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh