信息化的高速发展,云计算、大数据等新技术的普及,在当今复杂的安全形势下,甲方安全建设愈发关注实战和响应能力。通过开展常态实战化的安全运营,能够提升企业整体威胁发现和应急响应的能力,在发生安全事件时,改进检测和响应时间,以最短时间保障业务系统的正常运行。
随着监管合规要求的提高和攻防演习活动的深入开展,很多企业都逐步看到自身在防御体系建设与运营落地的脱节,都在往实战化方向建设安全运营体系。甲方企业安全建设的目标就是要实现业务的整体安全,建立贴合自身业务需求的防御保障体系,高效地落地安全运营并对安全事件快速响应,为业务达成目标安全赋能。
8月19日——21日,第八届互联网安全会(ISC 2020)的人才日主题活动中,由360SRC承办的应急响应与安全运营论坛邀请了京东监控响应运营负责人、高级安全专家夏浩淋,小米安全运营中心负责人高鹤,360集团信息安全中心负责人张睿,平安银行科技运营中心总经理助理、深圳市金融科技协会成员及金融科技协会信息安全分会副主任委员宋歌,国家互联网应急中心(CNCERT/CC)运行部高级工程师吕志泉,上海雾帜智能科技有限公司 CTO傅奎六位嘉宾带来主题演讲,探讨不同安全威胁场景下的实践经验,分享实战中的落地思路和方法,帮助甲方更好地实现安全落地和执行。
知己知彼
打赢信息时代的“持久战”
京东监控响应运营负责人、高级安全专家夏浩淋带来《威胁视角下监控响应运营建设》的主题演讲。夏浩淋建议每一家互联网公司都应该对公司内部不同业务场景的“受灾程度”进行梳理,找出重灾区和攻击路径。
他从威胁战场——威胁响应之对手、兵器打造——矛与盾的建设、持久战——持续改进/运营输出三个方面分享了甲方在安全监控和应急响应方向中,所应对不同维度的“攻击”事件面上,京东安全的问题解决、技术落地经验。他认为,首先要确定哪些问题要解决,并排好优先级,以及现实可行性。
在攻击路径拆解中要知己知彼、打好根基,尽快分析止损,提高运营效率,减少人的运营成本。在京东的实践中,夏浩淋指出,数据、能力和指标是安全运营的根基,内部运营与研发的协同很重要,“武器打造”才能更加有力。他以主机进程为例介绍了实操过程中的问题与经验,并介绍了SOAR六大阶段中遇到的问题及处理办法。
聚沙成塔
从零到一搭建防御“司令部”
企业在网络、系统、业务等各个方面都做了安全防护,为何安全问题依然层出不穷。安全体系建设后怎样评价体系的好坏?企业安全建设后续如何发展?小米安全运营中心负责人高鹤在《小米安全运营落地与实践》的主题演讲中从安全运营的定义及思考、安全运营目标及方法、小米安全运营落地实践几方面入手,重点分享了小米从零到一的“体系化”“平台化”“数据化”的安全运营工作落地和实践经验以及遇到的挑战、对运营工作的重新思考。
抽丝剥茧
360安全大脑命中威胁“七寸”
随着近年来攻防演习活动的深入开展,各大企业都在往实战化方向建设威胁运营体系,落地安全运营工作成为甲方安全关注的重中之重。360集团信息安全中心负责人张睿在演讲《基于360安全大脑的威胁运营落地与实践》中介绍了360集团在多年攻防实战中威胁运营的思路和实践,面对高度复杂业务场景的运营战场,需要找准高投入产出进行安全建设,一手抓自主可控,一手抓工程能力建设。
为了高效落地全面的威胁运营,首先最重要的是做好安全基本功,通过基础的日常安全运营工作形成纵深防御体系,提升攻击者成本,减小响应的时间窗口;其次要真正的拥抱数据驱动安全,以威胁为中心聚焦数据采集,积极的检测与响应,不再追求告警的绝对精准和单点的完备性,用大数据分析的科学方法将海量告警收敛到相对精准可运营的威胁事件。
具体实践中,结合360云端安全大脑的威胁情报和威胁分析鉴定能力,高效组织安全运营专家团队,打造了安全数据融入SDP零信任基础架构、全流量NTA、终端和主机EPP和EDR、大数据威胁分析等多平台的数据融合,在海量安全数据中运营威胁,落地以结果为导向可衡量的安全运营。
砥砺前行
基于目标和价值的安全运营“闭环”
“建立‘以人为本,以数据为核心,以技术为支撑’的全面安全运营能力。”平安银行科技运营中心总经理助理、深圳市金融科技协会成员及金融科技协会信息安全分会副主任委员宋歌在题为《平安银行安全运营之路》的演讲中指出,平安银行的安全运营起步属于安全事件驱动型,到目前为止安全运营体系构建分为三个阶段,事件驱动、数据驱动、价值驱动。对于技术制度、规范、体系在运行中的执行情况如何存在想不到、抓不着、做不了的诸多问题,因而决定提高在事中发现问题的处置能力,从黑客攻击模型入手做事件发现的运营体系。
在实践中发现资产管理、漏洞等问题之后,对人、数据、工具、流程在安全运营中的重要性有了进一步认识,开始构建安全大数据技术体系。在大数据平台实际建设与运维中,开始思考安全运营对银行的价值,构建价值驱动的安全运营体系。最终要探索出“统一入口、场景化工具、差异化管理”的安全运营体系,旨在构造安全运营的闭环,让安全真正运营起来,提升安全风险控制的实效。
触类旁通
APT攻击及处理的“流程图”
近年来,各种网络攻击武器不断曝光,各种网络攻击事件也层出不穷。国家互联网应急中心运行部高级工程师吕志泉在演讲《网络安全事件监测与应急处置》中立足国家监管侧指出,传统监测手段主要都是基于规则,大部分只能发现已知威胁攻击。面对未知威胁攻击,特别是APT攻击,传统手段显然无法应对。
吕志泉从恶意流量识别技术出发,探讨隐藏在流量中的未知威胁监测方法,并结合工作实践,从当前重大挑战、APT攻击监测、取证溯源分析三方面分享了这类事件的应急处置流程。
分秒必争
安全运营中心走向“零值守”
“与攻击者赛跑抢的是时间,但徒手响应的剧情几乎每天都在上演。”上海雾帜智能科技有限公司 CTO傅奎带来了《告别徒手应急响应——SOAR实战技术分享》。傅奎介绍了当前徒手应急响应的现状、SOAR技术的核心、SOAR实战场景应用以及未来SOAR技术的发展。傅奎以实际接触过的十几个小时徒手处置应急事件的案例入手,指出SOAR(安全、编排、自动化、响应)是当前国内外比较成熟的理念,并被Gartner预测为2020年9大安全趋势之一。
SOAR产品最核心的技术就是剧本编排和任务调度引擎,在事件响应时能把原来人工应急响应中需要单点执行的动作通过剧本编排的方式串联起来,最终实现自动化响应。以钓鱼邮件为例,判断所有收到邮件的人是否有下一步操作行为,判断员工安全意识、邮件危险链接处置等需要熟练的安全人员3到5天时间完成,SOAR则可能在几小时内完成。但目前SOAR也存在剧本内容不够、API匮乏等缺陷,而通过SOAR+AI的方式可以在未来实现更流畅的安全应急响应。
8月8日,ISC大会主席 360集团董事长兼CEO周鸿祎正式宣布将360企业安全集团建设成新时代的网络安全运营商,周鸿祎指出,安全的关键要素是安全专家和持续运营。
ISC 2020安全运营及应急响应论坛通过不同行业视角的碰撞和交流,让线上观众享受到一场精彩绝伦的应急响应和安全运营技术与实践的创新思想盛会,助推行业更好的落地应急响应和安全运营,这正是360企业安全集团迈向网络安全运营商的良好契机。