乙方视角的安全防御15年

围观次数:5,458 views

 

落笔初衷

      又是一年岁末年初,2018年对信息安全从业者来说是不平静的一年,无论是国家、企业和个人或多或少都能感受到安全威胁给我们带来的阵阵寒意,具体发生了什么文末会有彩蛋。之所以写下这篇安全防御技术回顾的万字长文,一方面与个人的从业经历有关,太多时间呆在不同类型的信息安全厂商,一方面有机会接触到各种信息安全技术(不到一百也有大几十:)。另一方面,这些年安全防御技术也是日新月异,但是重来没有机会读到一些梳理性的资料和对比分析,所以自己在这辞旧迎新之际利用两天周末好好梳理下这些年从事信息安全技术工作的所见所闻,站在一个乙方的角度回顾所用过的安全技术,梳理下当前安全技术的现状,展望一下未来安全技术未来的发展。

开门见山

      如果15年前跟客户谈应用防火墙和威胁情报或零信任架构,可能没有多少用户理解或接受如此超前概念,更难看到有可以落地的安全技术方案。一方面在当年大多数企业或个人可能根本不会受到有组织和目的的攻击,因为电脑和Internet并未像今天渗透到我们生活的方方面面。此外跟我们合作伙伴交流信息安全问题,也会无果而终,因为即便网站被黑,密码被盗也不会对我们的工作和生活产生多大点事儿,因为在当时信息化技术并没有产生足够多与企业和个人相关的数据。但是今天,我们发现从国家层面大力推动互联网+和企业核心业务快速从线下走到线上,信息技术已经全面渗透到工作生活的细枝末节。比较典型的是以前出门生怕忘记带钱包,如今出门最怕的是忘带手机。欣喜之余,我的手机每天被各种售楼电话、信贷促销狂轰烂炸,更有甚者是伪基站发送各种钓鱼短信、微商广告和电子邮件,简直让人防不胜防。好在你有张良计,我有过墙梯,如今我们有为数众多的安全厂商和信息安全从业人员日以继夜的为保护企业和个人的数字资产在劳心费力。回首过去十几年,经历了信息安全的默默无闻,蓄势待发和如今的百花齐放。在不同的时期,所面临的信息安全风险也各不相同,好在都有代表性的安全技术为大众保驾护航,但是这些年安全防御技术的发展经历了什么?下面结合过往一点实际经验进行回顾。但个人的经历和见识毕竟有限,所以也仅代表自己从乙方视角,对整个安全防御技术领域无法大而全面面俱到,恐有不足之处,还望各位看客多多包涵和指教。

为什么安全防御不断进化?

    信息安全防御技术的不断演进本来就是攻防对抗的结果,有果必有因,究其原因如下几点不得不谈:

  1. 威胁形势的演变,早期的安全威胁可能是脚本小子简单的炫技,是单纯的个人行为,后来由于利益的驱使,部分技术人员演变成黑产的链条,形成团伙有组织的行动,追求利益的最大化,从最早的刷游戏点卡或盗号发展为针对行业的数据库拖库或个人信息的收集倒卖,甚至近一两年流行简单粗暴的勒索攻击直接通过虚拟加密货币比特币所要赎金。
  2. 客户业务的演变,最近十五年信息技术蓬勃发展和广泛普及,企业更多的业务系统转移到线上,办公自动化或是移动办公广泛普及,甚至越来越多的企业将传统数据中心的业务迁移到云端公有云环境,匹配业务快速发展对敏捷性和弹性扩展的需求,这都是10年前我们无法想象的场景。由于业务模式和业务环境的变化,势必引入新的安全风险,对有不轨企图的组织而言,只要有访问接口就能渗透的核心业务。
  3. 安全市场的发展逐步成熟,互联网已经成为技术革命的强力引擎,我国大力支持和鼓励互联网技术对国计民生的推动,同时高度重视网络安全建设,2014年中央网络安全和信息化领导小组成立,2015年11月1日第十二届全国人大常务委员通过刑法第九条修正案对网络安全问题刑事处理的规范,2017年6月1日中华人民共和国网络安全法施行,都极大的推动了企业对信息安全建设的重视和决心,以及对现有安全技术的信心和易接受程度。国内外众多安全厂商也顺势而为,在这十多年锐意进取,推陈出新始终战斗在与黑灰产对抗的前线。

本文反映的是安全防御性产品技术的演进,一方面这是攻防对抗的产物,某种程度上也是客户对安全功能需求推动。但任何安全技术的最终落地都有一个过程,从最初的安全概念的提出,到安全厂商将产品落地并被广大客户所接受,是一个循序渐进的过程。比如防火墙技术的发展,第一代是包过滤技术,第二代应用代理技术,第三代状态检测技术,第四代统一威胁防护技术(UTM),到最新的基于应用和用户身份识别进行内容检测的应用防火墙技术,都是从最早的概念提出到最终的产品落地。当然技术的创新仍在继续,比如现在流行的“Zero Trust”,“XDR”等,目前已经可以找到对应的安全方案,可以想象未来还将出现更多的新技术概念,我们也将看到更多新的落地安全技术。

数据来源:https://www.csoonline.com/article/3301893/endpoint-protection/edr-is-dead-long-live-xdr.html

        看安全防御技术演进的阶段,我尝试按照时间的角度来阐述,技术演进的时间范围覆盖从 2003年~2018年共15年时间,大体分为三个阶段,即为默默无闻阶段(2003年~2010年),蓄势待发阶段(2011~2015)以及安全需求深化阶段(2016年~2018年)。

不同时段依然会存在刚性需求和改善型两种类型的技术,安全刚性需求是网络安全的基础架构,如防火墙、防病毒。但由于威胁形势的变化,该阶段的刚需产品技术上推陈出新,出现了新的概念和技术特点以满足当时的安全环境的防御要求。当然每个阶段除了原有的技术仍然被采用,新的安全控制技术也逐步被用户所接受和认可。

在解决安全刚需基础建设后,客户也需要能改善安全状态的改善型需求,比如漏洞扫描(Vulnerability Scanner),安全事件分析(SIEM)、准入控制(NAC)等,改善型安全需求产品的使用取决于不同客户的关键痛点和优先级别,这些措施对提高客户当时网络安全防护等级起到添砖加瓦的作用。下面具体介绍三个阶段有代表性的技术和流行的安全产品。

第一阶段 默默无闻的安全防御工作

        从2003年到2010年,大概7年时间里,信息安全的重要性在整个信息化的领域并没有被充分认识,大多数企业信息安全并非IT业务的关键部分,IT部门所有工作仍然以网络和运维为主,比较典型的情况是防火墙、IPS等安全产品归属网络部门管理和使用。这个阶段面临的主要威胁也是内部的威胁,如内网病毒、蠕虫,垃圾邮件和与工作无关但会引入风险的上网行为管控。外部威胁来源主要集中在门户网站、邮件系统以及分布式拒绝服务攻击(DDOS)等威胁。所以此时信息安全的工作也是默默无闻,并不出彩,企业对信息安全的投入和重视程度相对较弱。这一阶段,企业在安全刚需技术上主要是防火墙,防病毒和IPS,下面谈谈这些刚需产品的技术特点。

该阶段防火墙技术特点以四层网络访问控制为主,具有代表性的技术是基于流量会话上下文状态检测,记得当时无论国内外防火墙都具有统一的称谓,“基于IP五元组和会话状态检测(Stateful Inspection)的防火墙”。状态检测机制的概念最早是1994年由安全厂商Check Point提出,可具体发挥了多大的作用对使用者而言并没有直观的数据和结果展示,但基本上实现防火墙“不被允许的全部拒绝”的目的。10年后,2004年IDC首度提出统一威胁管理(UTM)的概念,将访问控制、病毒过滤、入侵检测等技术统一到安全网关上实现,UTM(统一威胁管理)技术也渐成气候,终被市场和客户接受也是几年以后了,所以UTM网关在2010年之前也是安全刚需市场的宠儿,毕竟在当时能够花一台设备的钱解决几台设备才能覆盖的安全威胁那何乐而不为?

此时的另一刚需防病毒也出现了新的特性,以往购买防病毒产品它就是病毒查杀,但国外先进安全公司此时已经推出类似桌面统一威胁管理的终端安全产品,除了检测病毒、还具有木马查杀、恶意代码检测以及主机入侵防御(IPS)的功能,终端安全的防护也开始走向多元化全面覆盖,更让人惊喜的是出现将无法识别的恶意样本分布式收集后在云端进行集中分析,这在当时还是比较先进的。

图片来源于McAfee VirusScan Datasheet 2010年4月28日版本

        在此时期另一大刚需产品就是入侵防御系统(IPS)了,在当时也是大多数企业的标配。毕竟原有的入侵检测系统(IDS)在防护上效果不如IPS实时阻断效率实时性好和可靠性高,因此IDS逐渐被IPS取而代之,这在当时帮助企业解决系统、网络以及部分应用的漏洞防御也发挥了重要作用,但其依赖于特征匹配的方式产生的漏报和误报也让管理员头疼不已。

在安全防御默默无闻的年代里,我想说到的改善型安全需求产品在当时看到的比较多的是基于URL的上网行为管理,基于部分协议的防病毒网关,以及反垃圾邮件网关。谈到这些改善型安全需求,我也另有一番心得,比如上网行为管控在当时主要基于内到外的访问限制,比如网址类别限制(色情类、购物类等),网页关键字内容限制等功能,这些控制更多被用于控制员工主动上网的行为以及提升办公效率,时至今日上网行为管理仍然是一个安全功能,但是被赋予了新的使命,比如钓鱼网址、恶意代码站点、命令和控制(C&C)网址、恶意域名和URL等内容,在兼具传统安全功能的同时,更突出了在安全防护上的赋能。关于反垃圾邮件网关仍然一如既往的从事着过滤广告邮件、同时还能提供针对病毒、恶意软件、网络钓鱼、帐户收集、拒绝服务的全面防护。但是此时反垃圾邮件也出现一些新特性比如针对出站的邮件内容进行基于指纹探测,词汇分析和关键字与正则模式匹配功能以便检测结构化数据和非结构化数据,从而分析出带有公司敏感数据的邮件,这也为后来出现基于网络的数据防泄密(DLP)提供了宝贵的经验积累。最后谈谈当时流行的防病毒网关,通过基于签名的防毒引擎对WEB协议的网页内容进行扫描,分析恶意代码、插件以及各类混合威胁,同时能起到网页缓存服务器的功能来提升网页访问速度。但是也正因为如此,其低效的性能也给客户带来使用上的麻烦,因为企业环境中基于HTTP和HTTPS的流量往往占到60%以上,其对HTTP协议数据流进行检测往往导致性能上的问题,当然性能问题也并非无解,除了采用更优越的检测机制,匹配更高的硬件型号往往是最佳解决办法。

 

第二阶段,蓄势待发的安全防御趋势

        时间从2011年到2015,这一阶段,我们所感受到的威胁好像更多来自外部环境,期间发生影响非常深远的两件轰动事件,朱利安.阿桑奇创办的“维基解密”和“棱镜门”斯诺登曝光了大量来自头号强国对网络安全的威慑能力。

通过国际国内网络安全形势的新变化,企业普遍意识到狡猾的入侵者不再以技术炫耀和单纯经济利益为出发点,黑客产业链条日渐完善和猖獗,有基于国家意志的较量,也有商业竞争和政治动机的有组织团队化行动,这一类型的网络威胁活动主要是利用操作系统、应用程序等靠近业务核心的漏洞在应用层发起有定向攻击,过去利用网络层协议漏洞的流氓式DDOS攻击或大范围蠕虫传播这种费力不讨好的攻击开始边缘化。这些威胁形势的新变化让原有的防护系统变得脆弱不堪,比如针对门户WEB应用的漏洞攻击,传统防火墙和IPS就很难检测,又如发起针对终端用户桌面操作系统和办公应用的水坑攻击或者是邮件钓鱼,传统桌面防病毒就很难阻断。

魔高一尺,道高一丈。这一时期基于网关的安全产品在技术上出现了革命性的变化,在这5年里下一代基于应用安全的防护概念已经瓜熟蒂落,依附于新技术的产品已经日趋成熟,客户对安全防护的重点需求逐渐从网络层隔离上升到应用层防御,可以采用的新式安全解决方案也逐渐从传统的三大件(防火墙、防病毒、入侵防护)变得多样化、细分化。首先从概念上2005年安全厂商Paloalto Networks提出以基于用户身份和应用程序为目标,进行安全内容控制的下一代应用防火墙(NGFW),在这一阶段得到市场广泛认可,业内安全友商也是顺势而为推进了下一代应用安全网关(NGFW)的普及献策献力。也就是在这一阶段,传统的入侵防御系统(IPS)和防病毒网关逐渐被NGFW的功能所取代,渐渐的淡出安全产品的历史舞台。

这一时期,传统安全三大件之一的防病毒技术也出现了新的变化,Gartner的Anton Chuvakin于2013年7月首次提出了“端点威胁检测和响应(ETDR)”一词,现称为EDR技术,即通过在主机上的安全工具具备聚焦在针对可疑活动的检测和调查以及做出最终响应的能力。这对比传统的基于病毒引擎匹配特征的检测方式又更先进,首先具备特征匹配的检测能力,其次能通过监控终端上的活动和事件,并将所有活动记录到统一的数据库进行分析、实现针对主机侧威胁活动的检测、关联、告警和阻断,因此它不在是一个单纯的终端安全工具,而是一种终端安全防御的能力。

除了刚性需求的防火墙NGFW和终端安全EDR技术方案从概念走向现实,更多的基于应用安全的解决方案也得到蓬勃发展,有基于HTTP/HTTPS协议的WEB应用防护(WAF),基于数据库的监控审计(DAM)产品,以及针对业务数据安全的数据防泄密(DLP)技术也是被市场广泛接受。这些安全改善型需求在企业不同类型的业务系统中也广泛使用,比如WAF专门针对HTTP和HTTPS协议的应用提供强大的WEB系统建模能力和丰富的WEB攻击检测功能,数据库审计(DAM)提供了对数据库访问权限和操作的实时监控审计,虚拟补丁修复功能帮助数据库延缓漏洞修复的时间差,还能防御针对数据库漏洞利用攻击的防护,这对核心的数据资产的保护也有重要意义。

谈到数据资产的保护,按照数据的状态可以分为静态的数据和动态的数据,如果说WAF和DAM保护的是企业静态的数据,那数据防泄密(DLP)则偏向于对动态数据的保护。动态的数据又可以分为使用中的数据((如正编辑的PPT))、移动的数据(如正在发送的邮件)和保存的数据(硬盘上的文档)。数据防泄密对这三种类型的数据提供了不同的保护方式。针对使用中的数据,分析泄密的途径有主动泄密和被动泄密,主动泄密的途径有文件外发,拷贝粘贴、截图录像、U盘拷贝等方式。所以控制泄密的途径首先对数据资产进行分类、分级,根据不同等级的数据定制不同的标记,然后根据标记定义不同的安全策略实施审计和控制。被动泄密往往发生在安全意识层面,比如重要文档错发,笔记本或存储介质丢失,以及被盗被抢等造成的数据资产外流。被动泄密则需要预先对数据资产进行加密处理,如系统磁盘加密,文件和文件夹加密,一旦发生被动泄密事件,至少还有兜底的加密策略保证数据的机密性。当然除了技术控制,被动泄密最好的防护方式还是安全意识的教育,因为安全最薄弱的环节还是人。至于针对移动的数据和存储的数据保护方式,除了加密和隔离,现在也有利用机器学习和语义分析以及数字水印等新兴技术出现,这都帮助我们更好的识别和心数据资产,定位重要数据资源位置和数据使用流向都起到了非常积极的帮助。

这一时期,不得不提国家对网络安全的重视程度显著提升,比较有代表性的事件是,2014年成立中央网络安全和信息化领导小组,2015年和通过刑法第九条修正案对网络安全问题刑事处理的规范,将信息安全案件入刑等。这些来自国家层面的意志也极大的推动了企业对信息安全的重视程度,我们惊喜的发现,众多企业开始成立以单位一把手负责的网络信息化和安全领导小组,设立专门的信息安全管理部门,聘请专业的信息安全负责人(CSO)等。

之所以提国家层面政策的推动,这对我们开展安全新技术的落地产生了巨大的推动作用。在这期间作为乙方技术人员,我们也一直走在帮助客户逐步从传统防护思路转型到新的防御体系建设的路上。虽然一路坎坷走的很艰辛,但面对大多数客户对新技术的支持和包容,也让我们所有付出得到正面肯定的和积极评价。因为面对新形势下的安全威胁现状,没有甲方乙方,只有黑白对抗。如何将有效的防御技术和能力传递到客户生产一线,是一名信息安全从业始终思考的问题。对客户而言,提高安全对抗能力和补齐防御短板,降低安全威胁发生的频率和年度损失的成本是一个长期的目标。

 

这几年里无论是从国家层面和企业层面,大家对网络安全重要性的认识已经极大提升,网络安全建设积极开展和新技术也不断萌出,安全防御技术的全面升级也蓄势待发。就在这一阶段尾声,发生了一件震动业界的事件,2015年7月,意大利安全公司 Hacking Team 由于严重的安全漏洞,遭到了黑客的入侵,400 GB 的内部电邮、文件和程序源代码等数据大量泄漏,也包括很多零日漏洞Zero和黑客工具流出,随后这些资源很快转化到黑产领域,对企业的安全防护和建设带来了新的挑战。

 

第三阶段,安全需求深化发展时期

        一波未平、一波又起, 2016年~2018年是安全事件井喷的几年,无论是世界头号强国、还是普通网民,都经受了数轮安全威胁风暴的洗礼,针对企业的数据窃取和个人计算机与数据中心服务器的加密勒索层出不穷。一方面是由于大量武器级的漏洞流入黑市,另一方面黑客攻击技术的难度日益降低,在加上虚拟加密货币的比特币和暗网大行其道,都为这些黑产链条的滋生繁衍提供了温床。从2016年开始到2018年,节选部分有影响力的事件如下;

2016年5月俄罗斯黑客成功盗取了2.723亿个帐号。包括至少5700万Mail.ru,3300万Hotmail,4000万雅虎以及2400万Gmail地址。此外,列表中还包括成千上万的中国和德国电子邮箱地址服务器的信息等。

2016年8月,黑客组织“影子经纪人”的神秘黑客组织成功黑掉了美国国家安全局(NSA)所属的承包商“方程式小组”,并使大量的黑客工具大量泄漏。之后,“影子经纪人”免费向所有人泄露了其中部分黑客工具和数据。

2017年3月,维基解密网站公开披露CIA关于Vault 7项目的相关资料。“Vault 7”,即“7号金库”,它是维基解密泄露的美国中央情报局(CIA)一系列用于网络战的武器代称。

2017年5月12号,全球99个国家和地区12日发生超过7.5万起电脑病毒攻击事件,罪魁祸首是一个名为“想哭”(WannaCry)的勒索软件。紧接着6月27日Petya勒索软件爆发,随后10月26日 Bad Rabbit新式勒索软件开始传播。

2018年3月17 日,Facebook上超过5000万用户信息数据被一家名为“剑桥分析”(Cambridge Analytica)的公司泄露,用于在2016年美国总统大选中针对目标受众推送广告,从而影响大选结果,此事在世界范围内引发了轩然大波。

2018年8月28日,在美上市的中国连锁酒店集团华住酒店被曝旗下酒店约5亿条个人信息遭泄露,并在境外黑市中售卖。

2018年9月10日,著名酒店连锁集团万豪国际遭到不明身份的黑客窃取有大约3.27亿人的包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店的信息已被泄露。

2018年12月份,华为CFO孟女士遭西方国家非法拘禁事件后,境外媒体指出,NSA成功入侵了华为深圳总部网络,获取了大量公司内部文档和客户名单,获取大量邮件记录,包括高层领导的邮件通讯记录,以及获取了产品的源代码来帮助他们更好的入侵华为的产品。

注:以上数据来源来源于网络

 

可以说这三年来每一次的安全事件,无论是国家、企业还是个人,信息安全都面临前所未有的威胁。在这一阶段,无论是网络安全刚需技术还是改善型安全需求,都面临着巨大的挑战,前文所提到的各种安全技术和产品继续发挥着强大的作用,帮助客户降低安全风险,减轻损失影响。传统安全公司不断加强已有产品的防护能力,奋战在网络安全一线的技术人员也在不断创新,新兴安全创业公司也如雨后春笋发展迅猛,作为信息安全领域从业者,无论后端研发、安全研究员,再到前端一线技术工程师,都积极的配合着企业安全部门的小伙伴一起应对复杂威胁形势的新常态。在此期间,我们看到了应对安全威胁新常态的新技术不断普及,比如威胁情报技术、沙箱检测技术、大数据安全事件分析系统、主机APT防御、安全自动化编排与响应(SOAR)等,下面针对其中部分重点技术的新特性进行扼要回顾;

首先威胁情报技术已经不再是厂商用来提升自有产品检测和响应速度的补充,威胁情报技术就像千里眼和顺风耳,也能帮助企业快速提升针对安全威胁的响应速度,通过在企业或云端落地的威胁情报系统,帮助企业安全团队导入精准的威胁情报信息,快速的和现有安全架构集成,比如威胁情报源与应用防火墙和终端安全产品联动,实现针对0Day,1Day漏洞的快速反应,提前预防。抑或通过利用威胁情报信息,对企业网络流量活动的恶意行为进行分析,提前识别出潜在的安全风险。

威胁情报技术快速普及,也逐渐开始细分为针对行业的情报,针对恶意代码或域名家族的分类,以及针对勒索软件的分类等,通过不断更新迭代确保情报信息的准确性与可用性。安全厂商为提高情报信息的准确性和来源的多样性,也开始互通有无共建生态,比如国外安全行业领导厂商就有网络威胁情报联盟(CTA)等机制就是威胁情报领域合纵连横共御外敌的典型案例。

第二,基于沙盒的未知威胁检测技术也日渐流行,毕竟刚需类的安全产品如应用防火墙和终端安全(EDR)技术大多数仍然紧针对已知威胁有效,企业投入大量人力和资源,但多数产品和技术仍然是应对已知威胁为主,即便有安全分析团队能对事件进行分析,但面对海量的样本和数据时,对未知威胁分析能力仍然效率低下,想要知道这些样本到底有多少是真正的未知威胁我们不得而知。因此依靠成熟的沙盒分析技术自动化对现有安全架构无法识别的威胁进行自动化分析显然效率更高。其通过高度仿真的用户系统和应用场景,模拟用户执行恶意样本的行为。恶意样本一旦触发通常会修改一些系统属性,如修改注册表键值,下载可疑脚本,添加动态链接文件,开放危险端口,执行反向可疑域名或者IP的反连等行为。通过这一系列异常行为,充分暴露样本的性质。相反如果是良性样本,其结果是不会影响系统任何完整性。因为未知威胁防御的重要性只有0和1的区别,现有的安全架构能帮助我们抵御99%的已知安全威胁,但真正的未知威胁只需要有1%的机会他就能渗透成功。所以业内人士普遍认为没有绝对的安全,我们能做的是将安全防护的等级提高,以便与随时发生的安全威胁对抗中能取得攻防持久战的胜利,毕竟黑客组织发起攻击活动也有成本,伤敌一千、自损八百的买卖不是每个人都能接受。

第三,安全事件分析(SIEM)其实这并非新的技术,至少10年前已经存在,但安全威胁形势的复杂化和安全防御技术的多样化给安全事件分析平台带来了新的机遇,10年前并不像今天有如此多的安全产品和技术可以提供数据来源,也不能像今天一样与各种安全产品广泛集成,因此当时安全事件数据所能产生的价值也有限。如今SIEM产品技术更加成熟,所能采集的安全事件来源也更丰富多样,通过大量数据的采集并加以分析和关联后对安全事件的画像和溯源能更精确,对企业整体安全威胁态势也能通过数据分析得出更精准的风险走势。

第四,主机APT防御技术,可能我们通常会认为EDR技术是足以防范终端安全面临的风险,其实不然EDR技术也并不能对未知威胁进行有效的检测,毕竟还是依赖于传统的签名和事件的分析,而且黑客攻击的手法日益老练,就在安全管理员分析数据库中各种终端日志的过程中已经渗透成功并清除了痕迹。所以我们需要更先进的检测技术和更广泛的联动完成针对终端的威胁,目前下一代终端安全也已经有落地技术,其通过机器学习和威胁建模的方式,预先将黑客攻击行为模型化,靠内置算法判断恶意活动的行为走势,实现无特征前提下的未知威胁检测和拦截。这类似于仍处于概念阶段的XDR技术,也许下一代的终端安全XDR技术能完全实现针对此类未知威胁的识别和阻断,即必须能通过行为分析引擎猎捕的攻击行为,然后具备EDR的数据搜集和响应能力,根据搜集来自终端和网络日志和事件信息进行调查和告警,匹配异常的IOC特征和行为最终阻断高风险的威胁活动。

第五,关于安全自动化编排和响应(SOAR)出现也是必然,随着企业运营的安全技术越来越多,需要进行管理的事件也会日益复杂,技术人员不可能每天从海量的日志得出异常行为的结论后再依靠人工去处理,如何通过一套自动化运维系统将企业安全技术与产品跟业务目标相结合,并将安全运行和响应从业务风险的角度实现自动化决策和响应这一过程,将大大减轻安全运维人员的压力,提高安全响应的速度和防护的等级,因为它缩短整个事件响应周期,所以安全自动化编排和响应(SOAR)帮我们解决了工作流程自动化、决策自动化、响应自动化以及大数据安全威胁分析和危机管理等问题。这在安全架构发展到一定规模后,通过SOAR帮助提升安全运维的效率也会是大型安全环境运维方式的大势所趋。

当然除了前文描述的产品和技术,安全防御的领域也不仅仅局限于IT结构,像逐渐火热的IoT安全,以及SCADA安全未能在此文中叙述。一方面能力有限,另外篇幅太长,以后可以单独开篇论述。此外,安全行业解决方案也包罗万象,客户也会有对如桌面终端管理、安全接入、代码审计、漏洞扫描、渗透工具、特权账号管理等安全技术的需求,但术业有专攻,还是留给更熟悉和有经验和想法的朋友去分析在此不在赘述。另外关于云安全这是非常大的概念,在此文中不能全面描述和展示,留待今后有更多经验和积累后再与各位交流。

总结与展望

        最后,感谢还能看到结尾的各位,虽然文章有结尾,但是安全技术的进化仍在继续,信息安全领域从来都是求新求变。只要威胁形势有变,防御技术也随需而变,而新的技术必将替代旧的技术这也适合进化论适者生存的要义。很难想象如果我们只是享受信息技术带来的便利,而不采取任何安全的控制,我相信这种信息系统迟早会毁于一旦。就像平地起高楼,如果地基不牢,地动山摇,我们广大的信息安全从业者就是整个信息化架构大厦的第一道安全防线和应急措施,当信息化大厦设计时我们提出各项安全标准规范施工质量,在信息系统施工的过程中严格按照安全标准要求加固系统,在信息系统交付运维时我们面临跨站、拖库、薅羊毛等种种威胁时,我们贡献各种方案和技术,保护着我们整个社会信息化大厦矗立于风险中而不倒。每一个信息安全从业者肩负的使命和压力都很大,君不见起早摸黑熬夜割接,应急响应风雪无阻。这些都是我过去十几年所经历过的故事,相信每个信息安全从业者都有过共同经历,在此对各位说声辛苦!

纵观十多年,信息安全从默默无闻上升到国家战略,这是整个信息化技术的普及和推动社会进步的必然选择,面对我们所生存的社会越来越多的依赖信息技术,越需要信息安全保护和更多的人参与和贡献。安全防护的工作也要紧跟时代,与时俱进,才能主动适应信息安全防御新常态下的新要求。

 

 

 

 

 

 

 

1人评论了“乙方视角的安全防御15年”

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助