以前，雷鋒網(wǎng)客頻道曾撰文稱“CSO（首席安全官）是企業(yè)的背鍋俠”。玩笑歸玩笑，事實(shí)上，企業(yè)打造安全框架有三類人：高管層、中間管理層、一線技術(shù)人員，這三類人各司其職，也有不同的安全需求。

不久前，剛剛獲得新一輪融資的愛(ài)加密召開(kāi)了一場(chǎng)媒體溝通會(huì)，愛(ài)加密技術(shù)副總裁程智力重新介紹了其已發(fā)布半年的重磅產(chǎn)品 MSOC，并對(duì)雷鋒網(wǎng)闡述了他對(duì)企業(yè)三類人的安全需求以及打造企業(yè)安全網(wǎng)絡(luò)的看法。 

口述：程智力 | 整理：李勤

三類人的安全需求

對(duì)高管層來(lái)說(shuō)，他們主要關(guān)心的其實(shí)就是法規(guī)遵從或法律免責(zé)，企業(yè)做安全，本身不產(chǎn)生任何經(jīng)濟(jì)效益，所以，他們第一關(guān)心的是如果出現(xiàn)問(wèn)題，是否需要承擔(dān)責(zé)任。

管理層關(guān)心的是，保證企業(yè)的核心業(yè)務(wù)不受到安全威脅的影響，上線新業(yè)務(wù)后，如何與原有安全架構(gòu)整合，是否需要運(yùn)用新技術(shù)打造彈性可拓展的安全平臺(tái)。

如果真的要建設(shè)一種這樣的平臺(tái)，還要考慮兩點(diǎn)，第一，安全工作的量化——匯報(bào)時(shí)能明明白白告訴老板安全投入在哪里，產(chǎn)生了什么效果。第二，優(yōu)化運(yùn)維，讓看上去一團(tuán)雜亂的安全工作高效、有序。

對(duì)于技術(shù)人員，他們關(guān)心的是，出現(xiàn)風(fēng)險(xiǎn)后，如何跟蹤問(wèn)題，直到解決問(wèn)題；如果要建立移動(dòng)互聯(lián)網(wǎng)的安全，如何與傳統(tǒng)的IT架構(gòu)整合。

三個(gè)層次的防護(hù)體系

基于這個(gè)需求，建立企業(yè)安全的防護(hù)體系，我們通常分為三個(gè)層次。任何一個(gè)防護(hù)安全體系都不是一蹴而就建設(shè)而來(lái)，需要一個(gè)統(tǒng)一的規(guī)劃，再逐步建設(shè)。

第一，建立從靜態(tài)到動(dòng)態(tài)再到實(shí)時(shí)的防護(hù)防護(hù)體系，符合國(guó)家網(wǎng)安法和等級(jí)保護(hù)2.0的基本要求。

去年頒布的網(wǎng)安法明確要求企業(yè)建立威脅預(yù)警和響應(yīng)機(jī)制，本質(zhì)就是要求企業(yè)建立主動(dòng)實(shí)時(shí)的安全防護(hù)體系。而等保2.0通過(guò)對(duì)移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制的擴(kuò)展，要求企業(yè)建立管理和技術(shù)并重的實(shí)時(shí)安全防護(hù)架構(gòu)。。

第二，動(dòng)態(tài)保護(hù)就是企業(yè)運(yùn)轉(zhuǎn)起來(lái)。

第三，實(shí)時(shí)保護(hù)就是要做主動(dòng)和提前防御。實(shí)時(shí)保護(hù)實(shí)際落地就是實(shí)踐從被動(dòng)到主動(dòng)的原則，這個(gè)原則說(shuō)起來(lái)很簡(jiǎn)單，是一個(gè)指導(dǎo)規(guī)范，但是應(yīng)該怎么落地？要做基礎(chǔ)建設(shè)，即從終端到網(wǎng)絡(luò)再到服務(wù)器，整體安全保護(hù)架構(gòu)要是齊全的，而這要求我們要有一個(gè)基本的平臺(tái)。

我們要建立一個(gè)基本的平臺(tái)，平臺(tái)是企業(yè)統(tǒng)一的標(biāo)準(zhǔn)、接口和入口，其意義在于，企業(yè)一開(kāi)始規(guī)劃這樣一個(gè)安全計(jì)劃規(guī)范時(shí)，就要通過(guò)平臺(tái)建立統(tǒng)一的標(biāo)準(zhǔn)或者統(tǒng)一的接口，所有的安全建設(shè)都在這個(gè)平臺(tái)之上，通過(guò)模塊化的方式增加，就可以保障所有的投資在每一步都可以得到保護(hù)。

也就是說(shuō)投資之后，只要是基礎(chǔ)沒(méi)有變化，它可以一直用，不會(huì)被淘汰，所以這是我們要建設(shè)的基礎(chǔ)架構(gòu)。當(dāng)然，缺什么還要建什么。比如，移動(dòng)安全從安全開(kāi)發(fā)到安全應(yīng)用，中間的所有的環(huán)節(jié)都需要進(jìn)行保護(hù)，那么需要去進(jìn)行建設(shè)包括物聯(lián)網(wǎng)、云、大數(shù)據(jù)等方面的安全。

建設(shè)時(shí)，強(qiáng)調(diào)的是把異構(gòu)的安全防護(hù)系統(tǒng)融合在統(tǒng)一的平臺(tái)上，形成異構(gòu)管理。

我們還要做融合，因?yàn)槲覀円Ｗo(hù)的不是基于某一個(gè)的單一系統(tǒng)，它是基于業(yè)務(wù)的，安全保護(hù)要基于業(yè)務(wù)進(jìn)行防護(hù)，針對(duì)終端、網(wǎng)絡(luò)、服務(wù)器和后臺(tái)數(shù)據(jù)庫(kù)的防護(hù)的系統(tǒng)在底層都要融合。

這種融合主要是數(shù)據(jù)的融合，只有把數(shù)據(jù)融合在一起，才能夠有主動(dòng)防御的前提和可能。所謂的數(shù)據(jù)融合，就是要和傳統(tǒng) IT 框架融合，在移動(dòng)互聯(lián)網(wǎng)環(huán)境，或是物聯(lián)網(wǎng)云計(jì)算環(huán)境下給我們帶來(lái)新的防護(hù)體系，新的防護(hù)體系如何和原來(lái)的 IT 防護(hù)的系統(tǒng)進(jìn)行融合，包括對(duì)用戶的融合，還有跟安全風(fēng)險(xiǎn)管理流程的融合，問(wèn)題跟蹤的融合，這些都需要考慮，在底層設(shè)計(jì)的時(shí)候一并考慮。

除了保護(hù)內(nèi)部之外，還需要考量外部互聯(lián)網(wǎng)環(huán)境的風(fēng)險(xiǎn)。所以需要跟第三方威脅庫(kù)融合，通過(guò)引入第三方威脅情報(bào)來(lái)獲取外部的相關(guān)風(fēng)險(xiǎn)情況。

舉個(gè)很簡(jiǎn)單的例子，假如客戶是一個(gè)銀行，銀行在看內(nèi)部風(fēng)險(xiǎn)時(shí)，如果說(shuō)有一個(gè)第三方風(fēng)險(xiǎn)情報(bào)告訴你，銀行業(yè)相關(guān)的應(yīng)用目前正在遭受某一種惡意代碼的攻擊，雖然你沒(méi)有遭受這種攻擊，但是由于企業(yè)自身的行業(yè)歸屬，遭受這個(gè)攻擊的可能性比較高，如果拿到這些數(shù)據(jù)，可以提前對(duì)威脅進(jìn)行預(yù)防式防御，未來(lái)可能出現(xiàn)這種風(fēng)險(xiǎn)時(shí)，免遭危害。

我們要跟安全態(tài)勢(shì)進(jìn)行融合，這種怎么做？在展示風(fēng)險(xiǎn)時(shí)，要做到對(duì)現(xiàn)在的移動(dòng)端、云端、物聯(lián)網(wǎng)端的風(fēng)險(xiǎn)進(jìn)行統(tǒng)一展示，所以這種融合要打通數(shù)據(jù)底層。

第四，要做智能防御，因?yàn)樽屗械陌踩到y(tǒng)在一個(gè)平臺(tái)之上進(jìn)行管理，所有數(shù)據(jù)做了融合，然后就是利用機(jī)器學(xué)習(xí)相關(guān)的技術(shù)幫助我們主動(dòng)從數(shù)據(jù)中分析潛在的風(fēng)險(xiǎn)和威脅，智能防御或者主動(dòng)防御的前提就是要能感知威脅。除了收集數(shù)據(jù)，我們需要通過(guò)人工智能技術(shù)幫助我們做感知的這種操作，進(jìn)行自動(dòng)化響應(yīng)。

總結(jié)一下，其實(shí)就是重感知、重響應(yīng)、全防護(hù)。

 

四個(gè)原則

針對(duì) MSOC 的設(shè)計(jì)，結(jié)合上述的想法，需要遵循四個(gè)原則。

第一，因?yàn)閭鹘y(tǒng) SOC 的融合是通過(guò) API 的方式，通過(guò) API 的融合其功能是有限制的，只能局限于 API 范圍之內(nèi)，第二，融合時(shí)間很長(zhǎng)，一般來(lái)說(shuō)，API 的融合少則1、2周，多則一個(gè)月，而且它會(huì)涉及到修改兩個(gè)系統(tǒng)的架構(gòu)。

不通過(guò) API ，那用什么？我們使用一個(gè)個(gè)類似虛擬機(jī)的容器，把系統(tǒng)直接裝在這個(gè)容器里，實(shí)現(xiàn)安全系統(tǒng)的融合和集成。這樣可以打到“使用 API 的痛處”，短時(shí)間內(nèi)實(shí)現(xiàn)平臺(tái)和底層數(shù)據(jù)層面的融合。

所以，我們做的統(tǒng)一融合可以實(shí)現(xiàn)非常簡(jiǎn)單的融合，只要半天的時(shí)間，就可以部署一個(gè)新系統(tǒng)的融合，這種融合賦予了平臺(tái)一個(gè)非常強(qiáng)大的擴(kuò)展能力。

第二，做彈性的擴(kuò)展，以后企業(yè)的系統(tǒng)越來(lái)越多，我要達(dá)到的是功能和性能上的擴(kuò)展，通過(guò)拋棄 API 的模式，可以形成無(wú)縫的擴(kuò)展，不管是用 BS 的架構(gòu)、CS 的架構(gòu)，甚至是一個(gè)命令行的架構(gòu)，都沒(méi)關(guān)系，我們要求這個(gè)擴(kuò)展實(shí)現(xiàn)起來(lái)非?？旌秃?jiǎn)單。

第三，平臺(tái)的管理都是數(shù)據(jù)驅(qū)動(dòng)。例如，當(dāng)我們自動(dòng)掃描一個(gè)APP，出現(xiàn)風(fēng)險(xiǎn)時(shí)，我們會(huì)自動(dòng)要求這個(gè) APP 進(jìn)行加固，這個(gè)加固策略基于掃描的報(bào)告自動(dòng)形成，我們的架構(gòu)策略是抵御這樣一種檢測(cè)中的問(wèn)題和漏洞，這個(gè)過(guò)程不要求有人工干預(yù)。

如果發(fā)現(xiàn)外部的攻擊，比如來(lái)自云端 WAF 的設(shè)備，這個(gè)設(shè)備來(lái)自于一個(gè)移動(dòng)端，攻擊來(lái)了之后要把風(fēng)險(xiǎn)對(duì)應(yīng)到 APP，如果有問(wèn)題要求它自動(dòng)進(jìn)行修復(fù)，外部的風(fēng)險(xiǎn)驅(qū)動(dòng)同樣也是數(shù)據(jù)驅(qū)動(dòng)。

不管是對(duì)內(nèi)還是對(duì)外，我們要求它都是數(shù)據(jù)驅(qū)動(dòng)，完全自動(dòng)化。所以，我們就要有數(shù)據(jù)，這個(gè)數(shù)據(jù)一是自己產(chǎn)生的，第二就是感知來(lái)的數(shù)據(jù)，所以感知數(shù)據(jù)越全面，對(duì)風(fēng)險(xiǎn)或者威脅的預(yù)警能力越強(qiáng)。

第四步，智能連接。很早就有很多企業(yè)提出要建立安全聯(lián)盟，安全聯(lián)盟當(dāng)時(shí)要做的就是不同的異構(gòu)設(shè)備之間的聯(lián)動(dòng)，但是這么長(zhǎng)時(shí)間過(guò)去了，我沒(méi)有看到基于 SOC 的很成功的聯(lián)動(dòng)案例。

為什么沒(méi)有？因?yàn)樗麄兊臄?shù)據(jù)沒(méi)辦法無(wú)縫融合在一起，不同安全的威脅架構(gòu)，其數(shù)據(jù)的格式是異構(gòu)的，只有同一廠商才能做到一定程度上的連接，但是現(xiàn)在講智能連接，就是要打通移動(dòng)企業(yè)的各個(gè)環(huán)節(jié)，要求底層的產(chǎn)品做到無(wú)縫連接，我們要做數(shù)據(jù)層面的融合，把所有數(shù)據(jù)都融合在一起，通過(guò)這種方式才能做到智能。

了解更多網(wǎng)絡(luò)安全的信息？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”（微信ID：letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。