从企业安全管理员的视角来看,业界的安全产品多种多样,而且往往价格不菲,企业需要根据自身情况选择合适的安全解决方案。反之,作为乙方企业也要认识到,市场和客户是分层的,对待不同的市场和客户,需要提供与之匹配的对应产品和服务,不要妄图用一种产品通吃整个市场。
在被勒索病毒敲诈勒索的受害者中,有不少是中小企业主。在网络安全防治工作中,理论上是体系越完整则越安全,但同时也意味着需要更多的投入,这对中小企业来说,预算往往是不足的。因此,在设计安全解决方案的时候,要充分考虑企业的规模和预算、业务对安全性要求等多个方面。
如果不想花钱,又想防御常见的病毒木马,可以使用免费的安全软件,比如某管家、某卫士,它们为用户提供了病毒查杀、主动(云)防御、漏洞修复、权限管理、垃圾清理、弹窗拦截等丰富的功能。
但免费安全软件主要的用户群体是个人用户,因此默认设置了符合个人用户使用习惯的安全策略,为了减少不必要的误报影响用户体验,安全策略一般也相对宽松,也不支持安全策略的统一管理。因此,最终的安全性与用户的安全知识、使用习惯有很大的相关性。另外,在应对黑客的定向入侵攻击时,由于没有完整的入侵检测方案,因此效果也相对有限。
但不管怎样,免费的安全软件可以应对常见的勒索病毒、挖矿木马等威胁,如果开启主动(云)防御、及时打补丁、管理软件权限,并养成良好的上网习惯,也能有效防御大部分网络威胁。
为了能够相对较好地管理公司资产的安全性,需要使用专业的企业级终端安全系统替换免费安全软件。
一整套企业级终端安全系统通常包括一个安全管理平台、若干员工版终端安全软件、若干服务器版终端安全软件。如果资产部署在公有云上,则需要购买云上终端安全系统。同时,需要配备至少一个安全运营人员来实施安全管理和运营,如果想降低人力成本,也可以向乙方购买安全托管服务。
此时,解决方案除了具备免费安全软件的功能之外,还具备了入侵检测、安全审计、统一漏洞管理等能力,最重要的是有专业的安全运营人员提供风险排查、威胁分析、处置响应等能力。
为了能够提供更进一步的安全防护,可以在网络边界部署IPS入侵防御系统或防火墙。
网络安全结合终端安全,形成了初步的纵深防御体系。不同于终端安全基于恶意程序实体及行为的识别,网络防御系统从流量角度进行威胁识别,通过源目身份分析、流量特征分析、异常流量识别等方法,实现网络层拦截,从而阻止入侵,或者阻断入侵后的控制通信。
对于Web服务,部署Web防火墙(WAF)也是有必要的,不同于通用防火墙,WAF针对Web组件漏洞入侵、SQL注入、WebShell等威胁有更专业的防护策略。如果业务在公有云上,则可以购买对应的云防火墙、云WAF等产品。在安全策略的运营上,需要及时更新安全策略来应对新的攻击武器或攻击方法,比如0DAY/1DAY漏洞利用、新通信隧道等。
前面所述解决方案的重点是对网络威胁进行拦截和处置,对中小企业来说是性价比较高的解决方案。若想全面分析企业所面临的安全风险,则显得有些力不从心。如果企业对资产安全性要求比较高,则需要增加在网络威胁分析上的投入,通常包括网络威胁检测系统、资产风险监测服务和网络威胁分析服务。
网络威胁检测系统通常包括基于流量特征的入侵检测、基于威胁情报的攻击/失陷探测、基于异常流量智能分析技术的未知威胁检测。流量特征检测比较基础,一般的网络威胁检测系统都具备此功能,差别在于特征库的大小,可以通过较新的攻击武器来验证具体效果;威胁情报一般需要额外购买,并且国内生产威胁情报的厂商也是有限的几家,在选择威胁情报时,要考查失陷指标的可解释性,攻击源IP是否具有身份属性标签和历史痕迹记录;异常流量智能分析包括自动计算检测基线、异常网络行为分析等,对于网络流量不大的中小企业,并不一定能学习出有效的模型,可以省下这笔费用。
资产风险监测服务通常包括设备漏洞扫描、网站监测、公众号/小程序风险检测等。对于暴露在公网的资产(如服务器、云主机等),设备漏洞扫描是通过资产测绘(一种通过特定流量探测服务组件信息,从而判断是否存在漏洞的技术)和无损POC扫描(一种不会造成实质破坏的模拟攻击技术)分析出资产存在的风险清单;网站监测是对客户添加的指定网址进行监测,如果发现上传的WebShell,或者发现非法篡改,则及时进行通知预警;公众号/小程序风险检测是探测公众号或小程序的数据接口,分析是否存在越权读取数据、信息枚举等容易造成数据泄漏的风险。资产风险监测服务一般按资产数量进行收费,是比较适合中小企业的解决方案。
购买各种系统之后,如果公司没有懂行的专家使用这些系统,是无法发挥系统的全部价值的。为了发现网络中的威胁和风险,需要自建或购买安全运维团队来进行专业的网络威胁分析,对于预算有限的中小企业,可以购买月度或季度巡检来对全网进行网络威胁分析和资产风险排查,以较少的投入获得相对较多的安全保障。
大型企业通常具有资产多、流量大、分公司分地域、网络架构复杂等特点,因此,网络安全解决方案需要成体系、有纵深。另外,无论什么时候,我们都不应该把“全方位无死角阻止威胁”的绝对安全作为目标,那是理想主义。我们应该从保护核心资产、快速发现威胁、快速处置响应出发,动态地实现相对可靠的安全目标。
通过对安全大数据的分析和监测,多方位解决大型企业面临的网络威胁,核心能力应该包括:
如何镇守攻击入口?
总之,所有的网络出入口都应该部署相应的网络防御设备。
如何监控横向移动?需要部署具备异常行为监测的终端防御系统(EDR),除此之外,还可以在内网部署一些蜜罐来诱捕攻击者。部分蜜罐可以暴露常见的漏洞,用来捕获渗透工具扫描或蠕虫传播,还需要部署一些“假旗”蜜罐,比如伪装成数据服务器,用来捕获高级别的APT定向攻击。
如何保护核心资产?常用的系统有堡垒机、数据加密系统、数据审计系统、凭证权限管理系统等。目前,比较热门的是零信任安全管理系统。企业部署零信任体系,一方面需要零信任安全管理系统具备足够多的探针,在终端上需要包括设备检测、应用检测、漏洞检测、基线检查等能力,在网络上需要包括威胁和风险探测等能力,另外还需对接企业资产管理、权限管理等系统;另一方面,难点还在于动态的信任机制,当企业资产和数据流量达到一定的规模,靠人工来制定信任策略是不可想象的,所以,这部分工作往往需要针对具体企业环境进行定制,利用大数据分析、机器学习、人工调试来达到可用及最优状态,这个过程往往需要持续几个月。
为了使用好这套安全防护体系,企业需要筹建安全运维团队或购买安全运维服务,建议自建结合购买的方式。对于大型企业,需要有专业的安全团队负责企业整体的网络安全,但在一些专业领域如资产风险监测、渗透测试、网络威胁分析等,则需要产品官方提供的对应安全运维服务来支撑。
然而,这么多的安全产品每天都会产生大量的告警,这给安全运维工作带来了巨大挑战。因此,还需一套好用的安全运营系统(SOC/SIEM)来统一管理各产品的安全日志和安全数据。该系统需具备关联分析、智能分析的能力;跟踪和编排应急响应进度和结果;调用防火墙/入侵防御系统来进行简单的阻断处置;自动输出各类安全报表、事件分析报告,甚至安全运维周报。
安全运营系统不仅能提升安全运维的工作效率,还能从企业全局视角来分析和处置网络威胁。虽然个人能够很好地处置单个事件,但系统化监控所有资产风险、分析所有安全数据、响应所有产品告警,单纯靠人力是无法完成的,必须依赖系统进行全局化监测、(半)智能化分析、(半)自动化响应。由此可见,安全运营系统对海量资产和海量流量的大公司的安全建设显得尤为重要。
云计算在企业、电商、医疗、政务、金融等行业的应用越来越广泛。各大型集团企业纷纷自建私有云或混合云,各大城市纷纷建设城市云,各中小企业纷纷把业务迁至公有云。在全民享受云计算带来的数字化、智能化、现代化的便利时,云架构的安全问题也显得较为突出,黑客攻击、信息泄露、勒索病毒的危害可能从单个公司扩大到整个集团企业,甚至整个城市的数据中心。比如,可能会出现某个城市的医疗系统被勒索病毒攻击,数据库被加密,从而导致该市的医院无法正常运转。另外,城市数据中心也可能成为APT的攻击目标。因此,保障云上业务和数据的安全比以往都显得重要。
传统的网络安全解决方案和终端安全解决方案在云上依然有效,云主机安全、云防火墙、云WAF等产品依然发挥着重要的安全保障作用。对于云平台,虽然身处于万物互联的大数据宇宙中,但每一个云平台也是一个独立的“小宇宙”,在这个小宇宙中有着特定的元素和规律,为了更好地保护云平台及云客户的安全,可以在这个小宇宙中建立安全机制,做好威胁监测和事件响应。这些措施往往需要结合云计算架构、云上安全大数据来实现,因此,云原生安全一般由云计算厂商(私有云则是企业自身或合作单位)主导来实现。
目前,云原生安全还没有一个明确的定义。从实践来看,主要有两种模型:
1)云原生威胁情报。基于云原生安全大数据,经过统计分析和智能分析之后,可以生产输出“攻击云目标的外部攻击源”“用于入侵攻击的云上跳板”“用于入侵攻击的云上僵尸网络”“远程控制木马的云上C2服务器”等云原生威胁指标。这些威胁情报可以集成或接入各类安全产品中,用于检测和防御网络入侵等网络威胁。
2)云原生安全策略。①云原生流量检测策略。前面提到,智能化的异常流量检测需要有足够多的网络流量数据用于机器学习,云平台正好有足够多的网络流量,因此基于云原生大数据的异常流量检测模型可以较为有效地发现许多未知威胁。②云原生安全架构策略。基于云架构的镜像安全及容器安全,包括镜像或容器的漏洞管理、权限控制、微隔离、安全审计等。
对于解决云上安全问题,云原生安全有数据和架构上的优势,一般需要由云计算供应商主导建设,企业私有云则由企业主导建设,传统安全厂商通常以项目形式进行参与,并且一个项目可能由多个安全厂商参与负责不同的模块,最后打通安全数据和安全策略,共同组建安全运维团队,进行威胁监测及策略优化。最终,云计算厂商、传统安全厂商联合建设的安全产品及安全运营体系,成为云计算的安全保障体系。
公有云的安全运维体系大致有三种模式:
下面以乙方视角来介绍基于云SOC的MSS。
云SOC MSS是基于云SOC为云租户提供对云上资产安全托管的服务。服务内容主要包括风险排查和威胁监测,协助拦截入侵攻击,并给出加固方案。通常情况下,托管服务并不包括更改主机配置的基线修复和组件升级(修复安全漏洞)等操作,避免因操作不当导致服务器宕机,这类操作一般由更熟悉公司业务的甲方运维工程师进行实施。
在实施服务之前,需要甲方授权读取安全产品告警及日志、扫描及测绘云资产、监测主机进程和文件、分析可疑网络流量等。当然,提供服务的乙方及工程师则需承担保密的义务。
在获得授权之后,可以为客户提供以下安全服务:
云上资产的运行环境和网络环境相对私有化架构要简单很多,基本不会存在邮件钓鱼、软件捆绑、可移动媒介传播等攻击方式,云上主要的攻击方式是远程入侵。因此,事前做好资产测绘、攻击面分析和加固策略,可以有效地防御网络入侵。而一旦发生了入侵事件,只要能及时监测感知到,就不必惊慌,首先进行隔离止血,然后进行分析调查及清除威胁,最后进行系统加固和策略加固,避免再次被入侵。
由此可见,攻击面排查和威胁监测是云上网络安全防护的核心能力,是衡量云安全防御能力的关键指标。