从业务需求角度如何梳理安全感知场景?上次记录补充传下。
(一)、目前业内的安全监控、审计系统不好用,主要有三个层面问题需要解决。
- 自上而下:从业务安全来驱动。解决用户的最痛点。从用户的痛点一步步梳理出可通过技术手段监测的技术点。(安全监控系统从发现安全问题、业务问题)
- 数据源的完备性:这个其实大家都清楚,数据源需要在系统配置、采集引擎层面做很多的工作。从安全日志、运维数据、业务数据、用户数据等等都需要纳入到视野。同时在共同协作的时代,外包的情报feed很重要。
- 人是第一生产力,好的安全分析团队很缺乏。团队需要几块能力:了解业务、了解攻防技术、数据分析能力、工具开发能力。
(二)、安全行业同其他行业一样,是用户需求来推动,一定要感谢有想法、想做事、愿意掏钱、高要求的用户。用户是key point,技术很重要,但是整个链条上用户的需求才是最关键的驱动点。用用户需求来驱动业务、项目进展。
(三)、安全事件能够监测的第一个点很重要,大量的安全事件都是在攻击者真正产生破坏才发现。安全同样适用于扁鹊的理论,上医治未病。监测点提前、预警响应机制是很重要的。
(四)、异常行为发现是安全监测的很重要触发点,通过发现异常行为,再逐步深入采用更高成本的流量分析、沙箱执行、人工介入等。安全也是对抗,很战争一样,最终拼的是资源。如何更有效的使用资源最关键。
(五)、要有力量紧盯用户需求,从用户需求出发,然后找到异常行为的行为特征、数据特征、操作特征,并形成审计策略,落实到可自动化工具或平台,用于查找分析异常与违规操作行为。 熟悉业务需求、攻防技术的人员来驱动,而非研发人员驱动。
(六)、数据挖掘很重要,但实际工作中,数据分析的三个阶段序列统计、关联分析、聚类分类挖掘,其实前两个阶段做好都能解决很多问题,现在是关联分析这些真正投入的都不够。
(七)、国外的安全审计产品在建模、算法等做了大量的工作,并具备很多用例。这些值得参考。我们需要结合用户的场景需求,去深入走下去。
(八)、安全情报的重要性,不是仅仅看情报本身。安全情报驱动的“visibility-analysis-action”安全过程才是根本。可以通过安全情报来驱动整个预警、监控、响应体系的不断提升。