程老師是一位擁有豐富經(jīng)驗(yàn)的安全老兵,3年前接手了某大型基金的安全運(yùn)營(yíng)管理工作。這魔幻的3年,給本不富裕的安全行業(yè)雪上加霜,但出乎意料,他卻斗志昂揚(yáng)。“程老師,你藏了什么好東西”,他狡黠一笑,“我找到了三板斧”。
何為安全運(yùn)營(yíng)的三板斧?以下來(lái)自程老師的自述。
第一板斧:自動(dòng)巡檢突破安全設(shè)備山
我剛到公司,想著先對(duì)安全能力做個(gè)盤點(diǎn),看看下一步安全建設(shè)的方向,盤點(diǎn)完,血壓直接就上來(lái)了。公司在不同時(shí)期,陸續(xù)采購(gòu)了不同廠家的、各種技術(shù)棧的各種設(shè)備。早期的動(dòng)態(tài)數(shù)據(jù)包過(guò)濾防火墻、反垃圾郵件,后來(lái)為了合規(guī),搞了一些日志審計(jì)、惡意軟件分析的系統(tǒng),前幾年還買了一些蜜罐和威脅情報(bào),甚至還有一個(gè)爛尾的SOC。
為了捋清楚這些系統(tǒng)是不是還能正常使用,廢了我老鼻子勁。你知道,這種重復(fù)的工作,我一般不會(huì)做第二次,所以就想調(diào)研看看有沒(méi)有啥解決思路,結(jié)果遇到了“青藤鵲橋”這個(gè)法寶。你知道我們現(xiàn)在巡檢怎么做了么?早上我到辦公室,會(huì)收到一封郵件,里面是我們30多個(gè)設(shè)備的授權(quán)和健康狀況,那些有問(wèn)題的設(shè)備,早已經(jīng)自動(dòng)提交了工單。
第二板斧:自動(dòng)處置化解告警龍卷風(fēng)
在設(shè)備巡檢的事情有思路后,我就對(duì)告警這塊有些想法了,但實(shí)際情況遠(yuǎn)比我想象的要糟。最大的問(wèn)題是,我發(fā)現(xiàn)人手全都被限制在告警上,規(guī)則優(yōu)化了好幾輪還是沒(méi)有太大改善。尤其是流量告警,不看擔(dān)心有風(fēng)險(xiǎn),要是看,那一天別的基本上啥都不用干了,好不容易招的人不是跑了就是廢了。沒(méi)人愿意做這些重復(fù)的、機(jī)械的邏輯判斷,大家都知道和機(jī)器搶活干遲早被淘汰。
現(xiàn)在有了“青藤鵲橋”,對(duì)于邊界上的告警,我們貼著業(yè)務(wù)做一些自動(dòng)的處置判斷就能消滅大部分。比如像國(guó)外的IP,我們直接就封了,因?yàn)楦揪蜎](méi)有國(guó)際業(yè)務(wù)嘛,再配合威脅情報(bào),絕大多數(shù)告警都能自動(dòng)處理掉。涉及到內(nèi)網(wǎng)的告警,在人介入之前,也會(huì)自動(dòng)做一些基礎(chǔ)的數(shù)據(jù)調(diào)查,把關(guān)鍵的調(diào)查結(jié)果放在工單上一起提交,效率高還方便復(fù)盤。現(xiàn)在大家都是搶著處理工單,因?yàn)橐坏┌l(fā)現(xiàn)安全事件,那可是頭功。
第三板斧:自動(dòng)分級(jí)跑贏資產(chǎn)攻擊面
這幾年我們最大的進(jìn)步,就是安全建設(shè)思路清晰了。以前我們都是被告警追著滿地跑,現(xiàn)在才發(fā)現(xiàn)之前的重點(diǎn)完全放錯(cuò)了。告警只是安全問(wèn)題的表象,能被天天狼來(lái)了的告警耍的身心俱疲,根本原因是我們內(nèi)部的安全管理是嚴(yán)重缺失的。最首要的是資產(chǎn)的管理,各種負(fù)載、應(yīng)用、供應(yīng)鏈的資產(chǎn)是不是能摸清楚。在這些細(xì)粒度的資產(chǎn)基礎(chǔ)上,風(fēng)險(xiǎn)、漏洞是不是可以探明查清,需要緊急修復(fù)的有沒(méi)有辦法持續(xù)追蹤。
就好比你是你家小區(qū)保安,如果對(duì)小區(qū)的建筑資產(chǎn)和安保風(fēng)險(xiǎn)都心中有數(shù),那就不會(huì)有任何風(fēng)吹草動(dòng)都亂成一團(tuán)。戰(zhàn)時(shí)的關(guān)鍵是跑贏入侵者,但更重要的是在平時(shí)要跑贏攻擊面。
說(shuō)實(shí)話,最開(kāi)始我是不相信這事兒能成的,因?yàn)橘Y產(chǎn)太多了,漏洞也太多了。我不是裝了5000點(diǎn)的主機(jī)么,最開(kāi)始跑完掃描直接給我報(bào)了2萬(wàn)多個(gè)漏洞,人都麻了,差點(diǎn)原地辭職。結(jié)果,“青藤鵲橋”幫我們做了自動(dòng)化的漏洞分級(jí),1分鐘就給出了排序結(jié)果。可以很清楚地知道哪些漏洞是最危險(xiǎn)的要趕緊修復(fù)掉,哪些是沒(méi)有POC或者EXP的可以往后放。
這三板斧讓程老師迅速打開(kāi)了局面。但是據(jù)他說(shuō),圍繞“青藤鵲橋”這個(gè)法寶他可不止練了三招。比如攻擊面梳理之后,如何結(jié)合自動(dòng)化來(lái)做攻防演練,讓備戰(zhàn)演練不再過(guò)家家。比如那些發(fā)現(xiàn)的安全事件,如何結(jié)合自動(dòng)化來(lái)做隔離溯源,讓處置響應(yīng)不再苦哈哈。比如那2萬(wàn)多的漏洞,如何結(jié)合自動(dòng)化來(lái)做虛擬補(bǔ)丁,讓漏洞收斂不再拖拖拉拉。……如此練下來(lái),看來(lái)過(guò)段時(shí)間再見(jiàn)到程老師,又得刮目相看了……
關(guān)于作者:
Welder: 青藤平臺(tái)產(chǎn)品事業(yè)部-自動(dòng)化安全運(yùn)營(yíng)專家,主要負(fù)責(zé)自動(dòng)化安全運(yùn)營(yíng)解決方案咨詢與設(shè)計(jì)。
