*以下內(nèi)容轉(zhuǎn)載自:安在
近段時(shí)間,歐洲疫情再度強(qiáng)烈反彈,新冠確診病例突破了5000 萬(wàn),法國(guó)甚至已經(jīng)進(jìn)入第四輪疫情,反觀國(guó)內(nèi)卻是把疫情控制的死死的。兩者最大的差別是,國(guó)內(nèi)真正將新冠病毒的風(fēng)險(xiǎn)管控落到了實(shí)處,真正做到了事前隔絕,事中快速處置,事后復(fù)盤(pán)沉淀經(jīng)驗(yàn)。
有意思的是,這波操作放在網(wǎng)絡(luò)威脅的處置上也是極為合適,這是因?yàn)槌掷m(xù)的風(fēng)險(xiǎn)管控也是網(wǎng)絡(luò)安全建設(shè)者的根本目標(biāo)。
當(dāng)下,數(shù)字化轉(zhuǎn)型使得組織暴露在網(wǎng)絡(luò)世界中的風(fēng)險(xiǎn)進(jìn)一步增加,全球網(wǎng)絡(luò)安全整體形勢(shì)進(jìn)一步惡化,如何持續(xù)有效管控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已成為各個(gè)組織亟待解決的問(wèn)題。
對(duì)于這個(gè)問(wèn)題,或許我們可以從新冠病毒風(fēng)險(xiǎn)管控中得到一些不一樣的答案:即打疫苗(預(yù)防),人人戴口罩(防護(hù)),人人有健康碼(實(shí)時(shí)監(jiān)測(cè)),出現(xiàn)感染者立刻進(jìn)行隔離,摸排可能接觸到的人員,并進(jìn)行徹底的消毒和監(jiān)測(cè)(快速主動(dòng)響應(yīng)),避免病毒再次傳播。
網(wǎng)絡(luò)安全也是如此,面對(duì)快速升級(jí)的勒索病毒,近乎實(shí)戰(zhàn)的攻防演練帶來(lái)的各種風(fēng)險(xiǎn),組織同樣需要快速擴(kuò)展自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)持續(xù)管控能力,需要提前做好預(yù)防和保護(hù),需要24小時(shí)不間歇的監(jiān)測(cè)機(jī)制,以及更專業(yè)的,對(duì)事件快速處置和善后的技術(shù)支撐。傳統(tǒng)基于人力資源服務(wù)化的安全服務(wù)模式已經(jīng)無(wú)法滿足用戶對(duì)持續(xù)發(fā)現(xiàn)問(wèn)題、快速閉環(huán)問(wèn)題的訴求,一種創(chuàng)新的安全服務(wù)模式由此而生。
近日,工業(yè)和信息化部起草、發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃(2021-2023年)(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《意見(jiàn)稿》)也再次明確了一點(diǎn)。
《意見(jiàn)稿》提出“產(chǎn)業(yè)供給強(qiáng)化行動(dòng)”,并指出要“創(chuàng)新安全服務(wù)模式”:加強(qiáng)安全組織技術(shù)產(chǎn)品的云化能力,推動(dòng)云化安全產(chǎn)品應(yīng)用;鼓勵(lì)綜合實(shí)力強(qiáng)的安全組織發(fā)展彈性、靈活的云模式網(wǎng)絡(luò)安全服務(wù);發(fā)展地區(qū)級(jí)、城市級(jí)、行業(yè)級(jí)安全運(yùn)營(yíng)服務(wù),提高運(yùn)營(yíng)自動(dòng)化、流程化、工具化水平;支持開(kāi)展威脅管理、檢測(cè)響應(yīng)等安全托管和咨詢服務(wù)等。
事實(shí)上,多年來(lái)深信服也一直是這樣做的,此前推出的安全運(yùn)營(yíng)服務(wù)(MSS)完美契合了《意見(jiàn)稿》所提出的“創(chuàng)新安全服務(wù)模式”。作為組織網(wǎng)絡(luò)安全建設(shè)的強(qiáng)力補(bǔ)充,深信服MSS將以人機(jī)共智的模式助力組織做好持續(xù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控工作,如同疫情防控一般,將風(fēng)險(xiǎn)降低到可以接受的最小化范圍內(nèi)。
MSS正在成為組織持續(xù)保障安全效果的必要措施
MSS是指安全廠商通過(guò)統(tǒng)一的云端安全運(yùn)營(yíng)平臺(tái)為客戶提供一系列安全服務(wù),以滿足組織對(duì)安全專家、技術(shù)和流程外包的需要。
當(dāng)下,網(wǎng)絡(luò)安全正面臨前所未有的壓力:勒索軟件攻擊水平全面升級(jí),大規(guī)模針對(duì)性網(wǎng)絡(luò)行動(dòng)大幅增加,重大安全漏洞缺陷不斷涌現(xiàn),超大規(guī)模數(shù)據(jù)泄露甚至趨于常態(tài)化......
面對(duì)日益嚴(yán)峻的安全威脅,組織缺乏安全自查的能力,以致各類安全事件此起彼伏。IDC在《面向未來(lái) 有效保護(hù),護(hù)航數(shù)字化轉(zhuǎn)型》白皮書(shū)中直接指出,組織完全依賴自身的能力進(jìn)行網(wǎng)絡(luò)安全管理已經(jīng)分身乏術(shù)。
因此,請(qǐng)外援(MSS)就成為大多數(shù)組織的選擇,讓專業(yè)的人去做專業(yè)的事情。
近年來(lái),安全形勢(shì)日益嚴(yán)峻,隨著安全技術(shù)的發(fā)展,MSS受到了越來(lái)越多組織的肯定,甚至已成為組織安全體系的一部分。據(jù)IDC調(diào)查數(shù)據(jù)顯示,2018年,全球MSS的市場(chǎng)規(guī)模達(dá)到 211 億美金,且近年來(lái)一直保持著10%以上的速度增長(zhǎng)。
另一方面,安全產(chǎn)業(yè)成熟度的提升也是MSS保持高速增長(zhǎng)的驅(qū)動(dòng)力。
隨著產(chǎn)業(yè)成熟度的持續(xù)提升,政企用戶的安全重心,將逐漸從采購(gòu)安全產(chǎn)品以滿足合規(guī)要求,轉(zhuǎn)移到采購(gòu)安全服務(wù)以提升安全能力。
對(duì)于大多數(shù)頭部組織來(lái)說(shuō),經(jīng)過(guò)多年的安全建設(shè)后,安全設(shè)備所帶來(lái)的提升有限,因此,專業(yè)安全服務(wù)廠商提供的安全運(yùn)營(yíng)服務(wù)就成了組織安全體系很好的補(bǔ)充。不論是SOC平臺(tái)還是安全服務(wù)廠商高階的安全技術(shù)專家,都是組織目前所缺乏的。
從長(zhǎng)遠(yuǎn)來(lái)看,與其花費(fèi)大量的人力、資源自己建設(shè)高端的安全運(yùn)營(yíng)能力,倒不如通過(guò)云化的形式,用安全廠商的高階安全能力來(lái)應(yīng)對(duì)復(fù)雜威脅和管控風(fēng)險(xiǎn),這樣反而可以實(shí)現(xiàn)網(wǎng)絡(luò)安全工作的降本增效。
由此來(lái)看,組織對(duì)于專業(yè)的安全運(yùn)營(yíng)服務(wù)的采購(gòu)需求將進(jìn)一步增加。
正因?yàn)槿绱耍?018年深信服重磅發(fā)布了“人機(jī)共智”安全運(yùn)營(yíng)服務(wù)(MSS),引起了業(yè)內(nèi)人士的強(qiáng)烈反響。短短幾年的時(shí)間,深信服MSS服務(wù)用戶已經(jīng)超過(guò)1000家,覆蓋政府、央企、教育、醫(yī)療等多個(gè)行業(yè)。
所謂“人機(jī)共智”,“人”是指安全專家,為了有效應(yīng)對(duì)威脅,深信服MSS設(shè)置了T1、T2、T3三級(jí)專家團(tuán)隊(duì);“機(jī)”則是指深信服自研的AI安全運(yùn)營(yíng)平臺(tái)、基于威脅情報(bào)打造的脆弱性管理平臺(tái)、標(biāo)準(zhǔn)化服務(wù)監(jiān)控平臺(tái)。
一直以來(lái),黑客的攻擊往往不分時(shí)間,針對(duì)需要持續(xù)保障的業(yè)務(wù)服務(wù)場(chǎng)景,傳統(tǒng)人工服務(wù)主要依賴于服務(wù)人員的能力和精力,往往難以7*24H不間斷服務(wù),導(dǎo)致無(wú)法實(shí)時(shí)應(yīng)對(duì)隨時(shí)發(fā)生的安全威脅,例如新漏洞不斷曝光、黑客持續(xù)性攻擊等。
而人機(jī)共智的創(chuàng)新模式,通過(guò) “人”“機(jī)”兩者相互配合,反而更能發(fā)揮出彼此的優(yōu)勢(shì),為用戶提供更能保障安全效果的持續(xù)性標(biāo)準(zhǔn)化安全服務(wù),最終實(shí)現(xiàn)7*24H 可持續(xù)安全運(yùn)營(yíng)。
至于深信服MSS具體是怎么樣的,咱們一起扒一扒。
深信服MSS之事前管理和監(jiān)測(cè)
近年來(lái),網(wǎng)絡(luò)攻擊趨于復(fù)雜化和多樣化,給組織造成的威脅日益嚴(yán)重,甚至有可能是不可承受的,不可逆的后果。在這樣的情況下,傳統(tǒng)“頭痛醫(yī)頭、腳痛醫(yī)腳”的措施已經(jīng)無(wú)法滿足新型互聯(lián)網(wǎng)的安全需求,成熟的網(wǎng)絡(luò)安全防護(hù)體系必定更加重視“事前的梳理與監(jiān)測(cè)”。
也正因?yàn)槿绱耍钚欧﨧SS在事前可謂做足了準(zhǔn)備。
1.資產(chǎn)管理
當(dāng)下組織資產(chǎn)數(shù)字化趨勢(shì)明顯,能否有效梳理清楚組織的資產(chǎn)是網(wǎng)絡(luò)安全的前提。深信服MSS可部署相應(yīng)組件,設(shè)置相關(guān)資產(chǎn)發(fā)現(xiàn)策略,可定期進(jìn)行資產(chǎn)探測(cè),主動(dòng)發(fā)現(xiàn)組織資產(chǎn),形成臺(tái)賬并錄入組件,并且會(huì)持續(xù)進(jìn)行探測(cè),查看新增的資產(chǎn),保障資產(chǎn)信息細(xì)化到設(shè)備指紋級(jí)別。一旦發(fā)現(xiàn)資產(chǎn)變更或可用性問(wèn)題,云端安全專家會(huì)立刻通知用戶確認(rèn)并更新資產(chǎn)。
2.漏洞管理
漏洞管理的重要性不言而喻,能否做好漏洞管理是衡量組織安全的重要指標(biāo)之一,同時(shí)也是組織必須要履行的義務(wù)。
2021年7月12日,工信部、網(wǎng)信辦和公安部聯(lián)合印發(fā)了《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,并將于2021年9月1日開(kāi)始實(shí)施,并對(duì)組織漏洞管理提出了新的要求。
深信服MSS的做法是從漏洞管理的全生命周期入手,對(duì)列入安全漏洞評(píng)估及管理服務(wù)范圍的 IT 資產(chǎn)進(jìn)行漏洞識(shí)別,并綜合威脅情報(bào)、資產(chǎn)等級(jí)、危害性等進(jìn)行漏洞排序,然后提供可行的漏洞處置指導(dǎo)方案,并通過(guò)安全運(yùn)營(yíng)平臺(tái)跟蹤漏洞修復(fù)閉環(huán),最后通過(guò)關(guān)鍵績(jī)效和風(fēng)險(xiǎn)指標(biāo)展示安全風(fēng)險(xiǎn)控制情況。如此環(huán)環(huán)相扣,不斷修復(fù)組織資產(chǎn)中產(chǎn)生的漏洞。
此外,深信服MSS還會(huì)持續(xù)監(jiān)測(cè)最新的漏洞,結(jié)合自研漏洞數(shù)據(jù),以及CNVD、CNNVD等第三方漏洞情報(bào),對(duì)這些漏洞與組織資產(chǎn)信息庫(kù)進(jìn)行關(guān)聯(lián)驗(yàn)證,一旦發(fā)現(xiàn)最新漏洞即進(jìn)行預(yù)警、排查和給出處置建議,并建立起最新漏洞狀態(tài)追蹤機(jī)制。
3.威脅管理
在威脅管理方面,深信服基于安全用例(Use case)和操作規(guī)范(Play book)為用戶提供7*24H威脅監(jiān)測(cè)及處置。不同安全應(yīng)用場(chǎng)景(Use Case)和對(duì)應(yīng)的檢測(cè)模型可實(shí)時(shí)關(guān)聯(lián)分析海量的安全日志,提煉其中重要的安全信息,高階安全專家進(jìn)行研判是否為真實(shí)的威脅,制定后續(xù)的處置計(jì)劃,同時(shí)還將周期性分析威脅管理措施有效性,并提供未來(lái)安全建設(shè)的規(guī)劃建議,逐步強(qiáng)化組織自身的安全能力。
4.做好事前應(yīng)急預(yù)案
好的組織安全體系必定會(huì)有相應(yīng)的事前應(yīng)急預(yù)案,深信服MSS將為組織針對(duì)性制定好事前應(yīng)急預(yù)案,并定期組織演練,強(qiáng)化組織對(duì)于安全事件的應(yīng)急響應(yīng)。
深信服MSS之事中快速處置
所有的事前準(zhǔn)備工作都是為了將網(wǎng)絡(luò)威脅扼殺在搖籃之中,但網(wǎng)絡(luò)攻擊似乎總是無(wú)法避免。此時(shí),對(duì)安全事件的應(yīng)急響應(yīng)就決定了組織損失的多少。遺憾的是,隨著網(wǎng)絡(luò)攻擊趨于自動(dòng)化、智能化,留給組織應(yīng)急響應(yīng)的黃金時(shí)間已經(jīng)越來(lái)越短了。
因此,深信服MSS尤其注重快速應(yīng)急響應(yīng),且已經(jīng)取得了不錯(cuò)的成果。據(jù)目前用戶的使用情況來(lái)看,絕大部分問(wèn)題可在5分鐘以內(nèi)快速應(yīng)答,對(duì)于高危可利用漏洞、高級(jí)威脅和安全事件,做到100%的閉環(huán)處置,且時(shí)間大多在1小時(shí)以內(nèi)。
深信服MSS之所以能夠做到如此快速響應(yīng),既和上文提到的事前監(jiān)測(cè)、預(yù)警分不開(kāi)(據(jù)說(shuō)準(zhǔn)確率高達(dá)99%),也和經(jīng)過(guò)長(zhǎng)期實(shí)踐沉淀下來(lái)的處置流程有著莫大的關(guān)系。
假設(shè)某個(gè)組織出現(xiàn)了網(wǎng)絡(luò)安全事件。
借助安全組件、云端安全運(yùn)營(yíng)中心7*24H的持續(xù)監(jiān)測(cè),深信服MSS能夠可以第一時(shí)間發(fā)現(xiàn)威脅,不管是在白天還是在黑夜。
而當(dāng)威脅發(fā)現(xiàn)后,云端安全運(yùn)營(yíng)平臺(tái)將自動(dòng)生成工單并實(shí)時(shí)通知到 T1 團(tuán)隊(duì)。T1 團(tuán)隊(duì)對(duì)事件進(jìn)行確認(rèn),并按照標(biāo)準(zhǔn)化流程將工單給到 T2 團(tuán)隊(duì)。T2 團(tuán)隊(duì)開(kāi)展安全事件的研判和響應(yīng)工作,T3 團(tuán)隊(duì)作為 T2 團(tuán)隊(duì)的后端資源,為 T2 團(tuán)隊(duì)提供強(qiáng)大的技術(shù)支援,確保每種類型的安全事件都有專業(yè)知識(shí)的安全專家來(lái)解決。最后,T2 團(tuán)隊(duì)會(huì)生成事件的處置建議并同步給 T1 團(tuán)隊(duì)(線上和線下),由 T1 團(tuán)隊(duì)(線上和線下)協(xié)助用戶進(jìn)行下 一步處置工作。
在這個(gè)過(guò)程中,我們不難發(fā)現(xiàn),組織最缺乏的高級(jí)安全專家資源被深信服MSS給解決了。在事件處置過(guò)程中,深信服各個(gè)層級(jí)的安全專家們將全方位和組織進(jìn)行共享,以遠(yuǎn)程在線+線下的方式處置組織面臨的安全威脅,從而實(shí)現(xiàn)《意見(jiàn)稿》中所倡導(dǎo)的,以云化的形式提升組織安全能力的目標(biāo)。
結(jié)語(yǔ)
目前,深信服安全運(yùn)營(yíng)服務(wù)MSS以幫助用戶進(jìn)行“持續(xù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控”為目標(biāo),圍繞資產(chǎn)、脆弱性、威脅、事件四個(gè)要素,以“人機(jī)共智”模式為核心,全面整合技術(shù)、專家和流程,與用戶一同構(gòu)建7*24H、主動(dòng)、閉環(huán)的安全運(yùn)營(yíng)體系。
而以“人機(jī)共智”模式為核心深信服MSS就像是當(dāng)下的新冠病毒防控體系,上有健康碼、行程軌跡(AI安全運(yùn)營(yíng)等平臺(tái))實(shí)時(shí)監(jiān)測(cè),下有時(shí)刻準(zhǔn)備的專業(yè)醫(yī)護(hù)人員(深信服三級(jí)專家團(tuán)),再加上各類高級(jí)設(shè)備,必將最大化強(qiáng)化組織安全防護(hù)體系。
最關(guān)鍵的是,它不需要組織投入大量的人力、物力去真正建設(shè),真正實(shí)現(xiàn)了按需使用,隨時(shí)隨用的目的,并且將組織寶貴的IT人員從繁瑣的工作中解放出來(lái),將更多的精力聚焦在更有價(jià)值的工作上。
而這些,不也正是《意見(jiàn)稿》所提出的安全能力云化和安全服務(wù)云模式的真實(shí)體現(xiàn)嗎?
