可持续的网络安全运营实践解析
我讲的题目叫“可持续的网络安全运营实践”。刚才讲到可持续、安全运营、场景化,土话是“人少,活多,场景化”。安全运营,活太多了,通过智能化技术去自动化降低人重复的工作量;场景化,威胁或者风险太大了,能够通过场景去关注主要矛盾,去解决主要的问题,让安全人员少做救火员、少做应急医生。我打个比方,安全跟医生有点像,我们甲方像医生,天天系统把脉,对安全人员做意识教育;乙方提供更好的药、更好的工具,我们能够更快的去诊断疾病、更好的去治疗。但是我又希望大家永远不要把自己当作应急医生,天天去救火,工作没有很高的提升。我们希望把安全做成可持续的,就像我刚来国家电网,领导问我:你来了以后能不能就不出安全问题?不发生漏洞?不发生黑客攻击?我说做不到,如果你有这个目标,我们就谈不拢了。安全肯定不是买一个系统就所有问题都可以解决的,这时候大家都很高兴,相信乙方这个产品也可以大卖热卖,不可能的。刚才赵老师讲过体验、风险平衡、攻击和防护的不对等,安全工作不可能一成不变,不可能一蹴而就,也不可能一劳永逸,它是持续运营的工作。
为什么叫“可持续安全运营”?我今天分享的东西不适合所有的企业,也不适合所有的乙方借鉴,更多的是我把适合我们产业证券的想法、实践过程中的东西与大家分享。安全更多是因时、因地、因人来制宜,需要依据企业的目标或者跟管理层沟通达成安全目标一致性,去制定相应的措施,而不是我都要保证不出问题,我只能把风险怎么控制住。
毛主席三个著名论著:矛盾论、论持久战、实践论。矛盾论跟我们安全很像,有些事情很矛盾。实践论,要依据实践,依据公司当前的研发水平、运维水平成熟度,去制定相应的安全策略。论持久战,前面讲到安全是一个持续改变优化的过程,不可能一蹴而就,不是今天你给我500万买一个设备,明天就可以睡大觉了。给领导讲了目标、定位、规划,告诉他我的目标是持续保障,而不是我去消灭漏洞,我要持续不产生安全事件、没有发生误操作。第二个是目标。第三个,建团队。安全肯定要投入,不可能所有安全工作依赖网络、防火墙管理人员去做,要有专门的团队,要有持续的安全演进架构,工作机制要持续运营。
最终的结果,安全要看得见、感知得到、监测得到,发现以后快速处置,三个风险的量化可视可控,威胁之后能够感知、定位、回溯,安全行为要快速、准确、有效。短期做外防、内控至少要把问题得住,中期主动防御,把问题巩固起来,最后做运营,能够预先预判和预发现问题。
思路有几点:
1、开商业与开源融合互促,借助专业力量实现我的目标。很多厂商做的专业化很好,审计、日志收集等等,但是很多时候业务安全或者我们自身的安全依赖于我对业务的理解,这时候需要我做个性化的开发。现在讲自动编排、讲场景化就是这个概念,每一关都拿最好的产品堆迭起来以后能解决安全问题吗?解决不了,还是会发生安全事件。这时候需要自有的安全团队把商业和开源的东西结合起来,做个性化的场景。
2、架构团队要融通。买了安全产品就能够睡大觉了吗?不能依赖厂商,要自己把工具完善。买一艘航空母舰至少要配备一个编队把航空母舰开起来。
3、管理意识强化。让管理层达成安全共识,意识到安全是会发生的,一是把影响降到最低,二是把处置时间缩短,三是降低损失。让全员参与工作,安全不是安全团队一个团队的事情,应该是全员。我们现在公司很好的是运维同事主动加入安全审计,研发同事上新系统时会找我做安全评审或者出具研发的架构方案,这个很好。
另外,IT全过程的共享共治和共担。举个简单的例子,我们有一个业务做线上营销,比如双十一马上做营销活动了,研发团队可能开发一个营销活动的场景,它的生存就是7天,但是我们检测以后发现有些漏洞,这时候只有3天时间就要上线了,那么我可以告诉它:我同意你上线,但是我来辅助你做安全监测,当发生重大安全风险时,你要按照我安全处置的要求来进行关闭或者做一些处置。这时候:一是保证业务活动的顺利推进,二是我跟你共同承担风险,保证你的业务能够顺利推进,这很有必要。
技术和数字化驱动是2018年我们做的网络安全画像,跟唐老师讲的态势感知很像,回溯过去所有的数据,来分析过往系统什么样子、现在什么样子、未来变成什么样子。
4、内外部资源协同防御。共同合作共同防御,包括金融行业、证券行业、期货等等要守望相助共同做好防御,互通有无、情报共享。 (编辑:南京站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |