雷鋒網(wǎng)編者按：在越來越復雜的威脅和挑戰(zhàn)下，企業(yè)安全體系應該怎么建設？十多年前，我們覺得部署幾臺設備和一些規(guī)則就可以，但實踐證明不可行。安全不是靜態(tài)，而是一個動態(tài)過程，需要持續(xù)的監(jiān)控和分析。這就是綠盟科技的高級副總裁葉曉虎對于企業(yè)安全運營的基本觀點。以下是葉曉虎最近在第25屆中國國際金融展上對企業(yè)安全運營的詳細闡述，在不改變愿意的基礎上，雷鋒網(wǎng)編輯對其演講全文略有刪減，小標題為雷鋒網(wǎng)編者所加。

--

實際上，安全的日常工作沒有發(fā)生更多改變，還是圍繞核心資產(chǎn)做漏洞檢測，事件的響應、調(diào)查的取證和持續(xù)改進。今天所發(fā)生的變化是——日常工作里所產(chǎn)生的一些數(shù)據(jù)要積累起來，對這些數(shù)據(jù)進行持續(xù)監(jiān)控和分析。以這些數(shù)據(jù)為基礎，建設相應的能力，包括態(tài)勢感知、綜合防御、預警監(jiān)控、應急處置以及協(xié)同運營的能力。

企業(yè)安全運營需要怎樣的數(shù)據(jù)體系？

企業(yè)安全運營需要的數(shù)據(jù)體系是怎樣的？我認為可以分兩大類。

一類是內(nèi)部情報。也就是說，企業(yè)在運營過程中，在業(yè)務環(huán)境，內(nèi)部業(yè)務環(huán)境中產(chǎn)生的相關的數(shù)據(jù)，包括流量、IP、域名、URL、帳號等。

一類是外部情報，引入第三方權(quán)威機構(gòu)的數(shù)據(jù)，包括漏洞情報、威脅情報等。

通過對“內(nèi)部情報+外部情報”，可以形成相對完整的數(shù)據(jù)體系。在這些數(shù)據(jù)體系之上，建設相關的安全能力。

利用這些數(shù)據(jù)，可以看到企業(yè)的安全態(tài)勢情況，對發(fā)生的安全事件進行回溯、取證、分析，針對威脅的情況，判斷下一步可能發(fā)生的風險隱患在什么地方。根據(jù)企業(yè)不同業(yè)務情況，可以來建設對應的入侵態(tài)勢、DDoS 攻擊的態(tài)勢和網(wǎng)絡安全態(tài)勢。

同時，還可以建設對應的預警監(jiān)控的能力。通過建設監(jiān)控系統(tǒng)，可以看到企業(yè)暴露在互聯(lián)網(wǎng)上面的資產(chǎn)情況，監(jiān)控漏洞披露的情況、漏洞在黑客社區(qū)里面的活躍度、工具利用的熱度以及相應的情報。通過采集這些情報，可以在企業(yè)本地網(wǎng)絡進行資產(chǎn)核查，資產(chǎn)的核準包括對應的漏洞預警工作。

漏洞生命周期管理：情報驅(qū)動

漏洞生命周期管理是安全管理中一個很基礎的課題，幾乎所有的報告都會提到安全團隊的人數(shù)是不夠的，但是企業(yè)的業(yè)務快速發(fā)展，資產(chǎn)數(shù)量變化很快，漏洞披露的數(shù)量越來越多，如果按照以往的工作方式，安全團隊很難有效對漏洞進行生命周期的管理。

現(xiàn)在，漏洞生命周期的管理也發(fā)生了很多變化，更多靠情報驅(qū)動。

漏洞的活躍度是怎樣的？企業(yè)的關鍵業(yè)務資產(chǎn)情況、匹配情況是怎樣的？

了解之后，安全團隊才能夠?qū)Ｗ⒃趦r值更高的工作上，提高工作能效。同時，企業(yè)還可以和專業(yè)安全廠家間建立漏洞處置過程，包括基于情報的風險處置，確認真實的威脅范圍。

如何發(fā)現(xiàn)日常威脅？

大家肯定聽過這樣的案例——出了一個威脅，它是針對 Linux 的系統(tǒng)攻擊，我的系統(tǒng)是 Windows，還需要關注嗎？以前可能需要做確認工作，今天這樣的理念已經(jīng)被大多數(shù)安全團隊所接受。

基于資產(chǎn)的風險預警，可以在日常工作中收集，建立相應期限。一旦出現(xiàn)相應事件，不再需要緊急掃描。另外，可以把檢測和防護結(jié)合一體，通過這樣的過程可以促使安全廠家的專業(yè)安全團隊和企業(yè)的安全團隊建立一套有效的工作流程。在對應的工作流下發(fā)給相應的設備，有機完成整個過程。

傳統(tǒng)的安全設備、防火墻、WAF 都是根據(jù)規(guī)則實時的檢測威脅情況。未知威脅在模型上需要做更大變化。我們提出了這樣一套平臺和方案，對于被監(jiān)控的網(wǎng)絡徑向它的流量，獲取告警數(shù)據(jù)，把原數(shù)據(jù)獲取下來，包括對于檢測網(wǎng)絡的掃描數(shù)據(jù)，存儲在一個平臺上面。威脅分析師可以在這個平臺上面進行威脅的挖掘和捕獲，根據(jù)攻擊模型可以指引他做威脅分析，從而可以發(fā)現(xiàn)隱藏在威脅背后的蛛絲馬跡。

當然，前面所說的都是我們在網(wǎng)絡安全方面所做的工作，但是網(wǎng)絡安全的范圍也在不停擴展。一些新方法和新技術(shù)不斷出現(xiàn)，這兩年基于行為異常的威脅檢測也是大家非常關注的技術(shù)方向。

通過建立行為期限，可以為用戶的行為進行畫像，隨后做時間序列的分析，比如，機器學習和挖掘的方法，可以發(fā)現(xiàn)高危賬戶的異常，包括非法內(nèi)容泄露的可能性。

大多數(shù)的業(yè)務系統(tǒng)的安全問題在立項的第一天已經(jīng)出現(xiàn)，這是這兩年來整個行業(yè)一直在談的 DevOps的生命周期。

在業(yè)務系統(tǒng)需求規(guī)劃的階段，就應該引入對應的安全需求，在編碼階段需要對開發(fā)人員進行安全規(guī)范的培訓，在上線發(fā)布的時需要做準入安全檢查。在建設監(jiān)的體系、整個運營的過程中，要持續(xù)、周期性評估業(yè)務系統(tǒng)的安全狀況，包括技術(shù)手段、測試手段、配置核查的方法，以及漏洞掃描的方法。

企業(yè)安全運營不是靜態(tài)的

企業(yè)安全運營不是一個靜態(tài)的工作，也不僅是企業(yè)自身的工作，需要企業(yè)、安全廠家以及監(jiān)管領導機構(gòu)進行緊密合作。

攻擊方的分布很精細，漏洞挖掘工作者在交易平臺上發(fā)布漏洞，攻擊工具的開發(fā)者在交易平臺上發(fā)布攻擊工具，一個攻擊者可以輕易在交易平臺上得到這樣的工具，發(fā)動一次攻擊是成本很低、效率很高的攻擊過程。

作為防守方，我們需要經(jīng)過預警、通報的環(huán)節(jié)，需要經(jīng)濟配合核查的環(huán)節(jié)，然后才進入處置階段。提升防守方分工和協(xié)作效率是保持企業(yè)高水平安全狀態(tài)的一個非常重要的課題。

比如，WannaCry 利用的漏洞在 4 月初已經(jīng)發(fā)布了補丁。但是，大多數(shù)企業(yè)都是在事件發(fā)生的當天才進行掃描防備、防護設備、操作系統(tǒng)的升級，這說明企業(yè)在安全運營和安全協(xié)同運營的過程中，還需要很多改進的空間。

企業(yè)和安全廠家如何更好協(xié)同運營？

首先，改變對服務的觀念，改變預算的決策機制和結(jié)構(gòu)。

第二，企業(yè)需要將安全運營能力和開發(fā)進行整合。

第三，作為監(jiān)管合規(guī)的限制。大多數(shù)安全廠家以前都做安全漏洞研究開發(fā)對應的安全產(chǎn)品，今天需要從單點的技術(shù)場景轉(zhuǎn)化為解決方案的提供，從產(chǎn)品的交付轉(zhuǎn)變價值能力的交付，這對于安全廠家而言，都是一個很大的挑戰(zhàn)。攻防本質(zhì)是對抗，對抗的背后是攻防雙方的能力之間的較量。如果要為用戶提供更好的安全服務，安全廠家需要積累更多的安全能力。只有積累更多安全能力，才能夠有效的提升對抗水平和速度。我們要探討如何在監(jiān)管機構(gòu)的領導下，企業(yè)和安全廠家能夠建設有效的協(xié)同運營的體系。

【葉曉虎】

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。