安全運營建設就像走迷宮。
這個迷宮似乎沒有終點,挑戰完第一個階段的任務,就會點亮下一階段的迷宮地圖。有些人選擇不斷走進下一個迷宮地圖,在一次次挑戰中突破能力邊界。
探索迷宮的過程中我們會不斷碰壁,但如果原地踏步,越來越多的“危險”將從入口涌進,將我們吞噬。
多年以后,面對愈發復雜的網絡攻擊,大多數人將會回想起站在迷宮門口,選擇走進去的那個遙遠的決定。
回過頭來看,或許應該思考的是:我們為什么要走進來?安全運營建設的「初心」是什么?
今天,深信服想回顧8年安全運營建設的探索之路,希望與你找到共鳴、找回「初心」。
01探索之路 亦是技術的迭代發展之路
這是一段不斷創新,又不斷糾錯改進的旅程。
從最開始整合安全設備告警的SIEM模式,到中期提升檢測能力的NDR模式,再到當前以還原完整攻擊故事線、提升實戰化威脅對抗能力的XDR模式,深信服始終走在技術探索的前沿。
順應技術的發展潮流,深信服完成三階段安全運營建設,最終實現有效實戰對抗的安全運營方案的逐步升級:
1. 采集資產信息和設備日志,構建立體防御能力
防御、檢測、響應,是任何安全體系架構的核心,因此安全工作的第一步,是完成立體防御架構的搭建。
當時,我們有幾十個海內外分支機構,數十萬部署在各地數據中心、網絡的服務器和終端資產,需要在互聯網出口與辦公網、研發網邊界等部署大量安全設備。
我們先將34個數據中心,以及網絡出口、服務器網段、核心資產,梳理出完整的攻擊路徑,并進行風險評估。
得益于網絡防御技術日趨成熟,我們通過部署下一代防火墻AF、IPS等50多臺各類安全設備,強化邊界防護體系。
這時,我們考慮能否有一個平臺,通過匯總展示所有防護設備的安全告警和事件,以提升工作效率。
我們收集了現網中所有防火墻、IPS等各類安全設備和服務器、交換機等網絡設備的日志,通過SIEM技術滿足基礎威脅管理與合規需求。
然而,基于“二手數據”采集的SIEM技術,只是數據的簡單糅合而缺乏關聯分析,無法有效提升檢測能力。
在實際工作中,噪音大、告警多,威脅難檢出、難溯源、難響應的問題,依然沒有得到有效解決。
2. 組件+服務,安全可感知,事件可閉環
隨著網絡復雜性愈演愈烈、網絡弱點越來越多,利用邊界防護設備阻止黑客進入內網的難度加強。“攻防不對等”的鴻溝日益拉大。
2018年,網絡攻擊的數量呈指數級增長,我們看到太多國際知名企業,乃至重大國際性活動都遭受黑客攻擊。
我們深刻剖了這些事件暴露出的層層問題:
無法應對不斷升級的攻擊手段
APT攻擊頻發,事后檢測成本增高?;诤诎酌麊?、簽名和規則特征的安全威脅發現手段,已不能應對不斷發展的網絡威脅和IT環境。
無法定位威脅根因
一旦發生安全事件時,我們常常因為缺乏終端數據關聯分析,而無法定位到根因。
無法保障攻防對抗持續性
安全運營人員無法全天候值守,同時面對大量安全事件和告警分析工作,其精力完全難以招架。
為解決以上三個問題,我們分三個步驟建立起“SIP+端點防護+MSS”的方案:
STEP 1:強化威脅主動檢測
我們開始著手從過去單一設備、單一方法、僅關注防御的安全體系,升級為基于全局視角,強化威脅檢測、調查等能力,以應對不斷變化的威脅。
以流量檢測響應技術為核心,我們研發出安全感知管理平臺SIP,并在集團節點部署了16臺探針、6臺SIP集群,將IP及資產關系進行導入,達到初步安全感知。
STEP 2:建立終端側防護
面對全集團50+分支,日益增加的BYOD辦公設備,建立終端安全體系迫在眉睫。
借助零信任方案的落地推廣(點擊跳轉:深信服零信任的0號樣板點),我們在集團1.5萬個終端部署終端安全管理系統EDR、3個MGR管理端。
后續通過零信任與EDR的對接,我們做到人機對應,實現安全事件溯源快速精準定位到人。
STEP 3:服務閉環安全事件
為了解決攻防對抗連續性和人員精力的問題,安全托管服務MSS應運而生。我們將EDR、SIP接入MSS,以7*24小時持續在線服務,提供專家級能力支撐。
基于過往安全建設的持續投入,深信服安全運營體系能力不斷加強,至此能有效滿足常態化安全運營場景的各類需求。
以攻促防,是我們不斷檢驗提升自身安全運營建設水平的重要手段。然而,在一次深信服藍軍的內部演習中,面對強大的攻擊隊,我們的內部防守依然頂著巨大的壓力。
盡管守住了底線,但我們清醒地反思,復盤當前安全體系建設依然存在各類問題:
高價值告警難以有效定位、高級威脅難精準檢出、攻擊路徑還原呈現碎片化、智能研判難度大、響應處置效率低等。
又一次,我們陷入了思考中。
3. 平臺+組件+服務,檢測響應新范式XDR
一籌莫展之間,我們開始回過頭來看:
安全運營建設的本質需求是什么?
毫無疑問,我們面對的“敵人”始終是網絡威脅,安全技術在不斷發展,威脅也在不斷迭代升級。因此,無論威脅如何變化,我們要始終領先威脅一步,搶占對抗攻擊的先機,聚焦檢測響應,實現真正的「安全效果」。
我們意識到,這不是以往堆疊設備,或者設備之間簡單組合聯動,就能夠滿足的需求。
安全運營聚焦檢測響應的能力核心,需要通過匯集來自不同安全設備的一手遙測數據,秒級狙擊威脅根因,進行多維度的聚合分析和響應決策,并結合服務,徹底閉環響應事件,才能保障安全效果的落地。
而這將通過什么技術實現?我們在XDR上看到了希望。
2022年3月,深信服在國內率先推出「云化SaaS XDR平臺+組件+服務」。
作為0號樣板點,深信服內部正式上線XDR平臺,對接AF、SIP、EDR組件,形成一套以效果驅動的安全運營流程:
在一同梳理深信服安全運營建設之路的過程中,深信服CSO沙明表示,落地XDR平臺超半年時間,真真切切感受到了「效果」:
-
告警削減:將原先日均1萬+告警數,依賴XDR平臺網端一手遙測數據聚合分析,生成日均600-800個事件(其中實驗室病毒事件占比70-80%),海量告警削減達90%。
-
檢測精準:能夠精準識別出0day漏洞、免殺Shell、魔改FRP等以往難以檢測的高級威脅,經驗證,事件準確率高達95%。
-
威脅定性:通過智能定性分析,將不同類型告警進行分類分級,幫助運營人員聚焦高價值告警。
-
響應快速:對接安裝EDR、CWPP的資產指紋清點,完成隔離主機、阻斷進程等處置動作,運營人員表示「基本可在當天完成所有事件處置」。
02以效果驅動安全運營 實戰表現亮眼
光說不練假把式。體系框架搭好了,是時候上場展現真正的實力。2022年11月,在沒有提前通知的情況下,深信服藍軍直接發起攻擊,“對抗”一觸即發。播放視頻:深信服內部攻防對抗XDR效果
攻防兩股力量對立交織,深信服XDR平臺精準檢測出多種高級威脅,如0day漏洞攻擊、釣魚郵件+白利用攻擊等,并聯動AF、SIP、EDR等組件,結合一套順暢的運營機制,事件閉環時間由原本5小時壓縮至30分鐘。XDR發揮出常態化攻防對抗「指揮作戰中心」的作用。
演練結束后,深信服藍軍坦言,“以前總覺得防守方被動挨打,但這次感受到了真正的對抗”。
03給用戶的安全運營建設啟示
作為一家網絡安全頭部廠商,深信服自身有一個堅定的使命,即通過真實環境下的產品體驗和效果驗證,不斷精進產品質量,基于“簡單有效、省心可靠”的理念給用戶以啟示:
安全運營建設應聚焦檢測響應能力核心
安全運營工作涵蓋范圍很廣,功能設計比較靈活,但最終效果的達成取決于內核能力的建設質量。我們認為,安全運營建設的「初心」,應當以效果為核心、以閉環為目的,聚焦檢測能力提升,實現精準高效的實戰對抗能力,由此開展下一步的管理通報等工作,逐步搭起安全運營體系的「大廈」。
統一規劃,按需建設
安全運營體系化建設落地復雜,一步到位難如登天,組織單位需要考慮當下建設現狀、改造難度與建設目標,選擇不同技術路線進行安全運營建設。
強大的服務與端點能力支撐
實踐證明,安全運營是一個長期且持續的體系化建設,這個建設過程必定需要專業的人員輔助,組織單位應找具備強大服務能力以及端點能力支撐的廠商。
爭渡 爭渡
往迷宮深處探索
愿我們終能「撥云見日」
愿安全「領先一步」