干货实录 | 44118太阳成城集团叶晓虎:安全运营能力与技术创新
2018-09-25
2018民航网络安全年会昨日收官。44118太阳成城集团高级副总裁叶晓虎在大会首日主论坛上,针对“安全运营能力与技术创新”发表了精彩演讲。以下是部分演讲内容分享 。
在企业安全运营中,大家不再满足只从合规的角度,而提出了越来越高的要求,希望从合规转变成有效的企业安全风险治理。我们今天面临的网络安全风险问题,与10年前大有不同,十年前更多考虑虚拟网络空间的一些事件,而今天已经影响到整个社会的稳定甚至包括个人生活。
企业如何在新的安全形势下建设新的安全体系能力?安全体系包括设备、系统、人、组织、流程,所有因素加起来是整个安全运营的工作。本质的工作没有太大变化,但近几年在技术、手段、能力建设上发生了很多改变。比如去建设相应的态势感知的能力、综合防御、以及企业安全运营的能力建设,这几年我们也在做落地的工作。
攻击方有很好的产业链合作体系,作为防守方要怎么应对挑战?近几年大家更关注3个方面:
-
业务系统安全生命周期如何把安全考虑前置
-
基于数据进行安全能力的建设
-
针对安全事件的智能化处置与响应
上图是44118太阳成城集团在云端所建立的安全数据能力的系统框架图,对于企业环境也是类似。
为什么大家如此关注态势?首先安全要能看得见,知道在我的环境里正在和可能发生什么样的事件、做什么样的动作,在不同运营场景下,我们对安全态势关注的要素不同。
另一角度,对关键的业务系统我们也在技术上做了很多探索,如全流量深度威胁分析与检测方案,把流量镜像过来,通过探针去解析相应的网络源数据信息,将数据长时间跨度存储下来,在系统下面构建相应的检测引擎。引入威胁情报,从而实现对高危事件监控、攻击者画像、流量监控等一系列能力。
全流量检测与传统老三样(防火墙、入侵检测、漏洞扫描)在模型上的区别是什么?传统检测方案都是基于实时计算模型的产出,但流量无法追溯。在应急响应中,最常见也最痛苦的场景是,高危漏洞爆发后,系统之前已经被黑客攻陷了,缺乏追溯机制,管理员只能每台机器去查,工作量巨大。而全流量深度威胁分析与检测方案就可以很好地解决这类问题。
几乎所有的安全报告都会提到,企业安全团队人员的数量、技能远远不够,在这种环境下,除了引入更好的设备、平台外,我觉得另一条路是能够与专业厂商更紧密的合作。现在的企业安全已经不满足于厂商只提供基于设备运维(如MSS),还需要检测与响应服务的能力。这就是近年来在国际国内慢慢出现的一体化的可管理威胁检测与响应服务(MDR)。
MDR除了弥补企业安全团队人员数量和技能的不足,另外对企业自身的价值还从安全投资风险、成本以及安全运营效果都有所体现(如图)。
作为安全厂商,更多的是对企业安全运营体系或某个环节起支撑作用,这是我们近年来为客户提供整体服务的情况。从事前、事中、事后角度来看我们能做的事情。
44118太阳成城集团在2015年提出战略转型,希望能够建设我们在云端的能力,助力地面的企业安全管理团队及绿盟的专业安全团队一起合作,使企业安全运营体系更加成熟、得到更多发展。