本文来自微信公众号“科技云报到”。
从安全的视角看,网络空间充斥着病毒、黑客、漏洞。在过去,企业习惯用“老三样”——防火墙、IDS、杀毒软件来搞定安全。
如果将网络空间比喻成一个大厦,那么防火墙相当于门锁,用于隔离内外网或不同安全域;IDS相当于监视系统,当有问题发生时及时产生警报;杀毒软件相当于巡视和保证大厦安全的安保人员,能够根据经验发现问题并采取措施。
然而,在新的网络安全形势下,“老三样”早已力不从心。
勒索软件攻击是近几年来安全领域的头号威胁,每一年都发展得更为猖獗。
网络安全公司派拓网络发布的《2024年勒索软件回顾:Unit 42泄密网站分析》显示,勒索软件泄密网站报告的受害者增加了49%,受害者至少覆盖全球120个国家。
对于一些新型且具备免杀功能的勒索病毒,杀毒软件压压根就无法检测出勒索攻击,更不可能阻止勒索攻击,也无法破解加密的密钥。
网络钓鱼攻击也在快速升级,从传统的邮件转向了日常使用的微信。当企业员工或个人用户在微信中被骗扫码跳转页面或加入群,就会被黑客直接钓鱼控制终端,进而传播木马。
这些木马只存在手机内存里,网络流量经过的也是手机网络而非企业内部网络,因此企业部署的防火墙、IDS、电脑里安装的杀毒软件,根本就察觉不到这些网络风险的存在。
不仅如此,网络攻击者仍在不断改进和创新攻击技术,如APT攻击、供应链攻击等高级攻击手段层出不穷,传统安全防御手段全面失效。
面对日益升级的网络安全态势,越来越多的安全专家提出了“纵深防御”、“主动防御”、“全方位监测预警”、“联动应急响应”等新的安全理念。
在这些理念的背后,到底有哪些关键技术,企业又该如何将其应用到安全实战中?
构建新一代的
基础安全防护体系
近年来,全球出现了多起“核弹级”的网络攻击事件,目标瞄准金融、能源、交通、工业等服务于生产生活的关键基础行业;与此同时,医疗、教育、政府、制造等行业因其特殊性,也是网络攻击重点“光顾”的对象。
从网络攻防的角度看,黑客想要针对某一个组织找突破口是非常容易的。相反,一个资产动辄成千上万的组织机构想要把每一个关口都把守住,是一个几乎不可能完成的任务。
但这并不代表防守方只能“躺平”。在新的安全理念支撑下,越来越多的组织机构开始重新“打地基”,构建新一代的基础安全防护体系。
例如国家水利部,近年来就明确提出了“合规有层次纵深防御、全方位感知的监测预警、分类施策的关基防护、迅速联动应急响应”的技术架构体系。
国家水利部信息中心原主任蔡阳
据国家水利部信息中心原主任蔡阳介绍,在网络基础安全防御方面,水利部从三个方面开展了建设:
一是合规有层次基础安全防御,以等保2.0为基础,实现物理环境、通讯网络、区域边界、计算环境多层次的防护;
二是建设集约统一的安全基础服务,提高行业整体网络安全的基线,如:统一身份认证、统一密码服务、统一情报服务、应用安全基线管理、共享交换等服务;
三是强化关基重点防护,针对不同类型业务采取不同的防御措施,如:网络类是加强探测流量加强边界的防护;应用类是业务深度融合算法模型;数据类是基于全生命周期的防护;工控类是构建安全可信的环境等。
同为大型基础设施领域的中交集团,承担了很多国家大型战略性工程如:港珠澳大桥、南海填岛等,2020年被美国纳入实体清单,这些年一直受到境外政治黑客的持续攻击。
作为一个拥有17万员工、11万台终端、6000台主机、1000余个信息系统,分布在全球的大型复杂组织,中交集团将安全防护建设作为重中之重。
中交集团科学技术与数字化部总经理助理兼网络安全处处长刘学忠
据中交集团科学技术与数字化部总经理助理兼网络安全处处长刘学忠介绍,中交集团的基础安全防护搭建了六道防线:
一是云防护平台;二是互联网出口,对统建出口进行重兵把手;三是广域网边界,为了避免一点突破全网漫游,由全集团统建并且统一管控全集团380多个广域网边界防火墙;四是总部&各单位内网安全域建设;五是全集团由统一安全防护平台进行防护;六是人的安全意识。
事实上,安全基础防护的搭建只是第一步。
在近日一场安全会议中,中交集团刘学忠处长反思道:“全集团的网络安全体系是否能够真正满足常态化安全防护的需求?是否能够满足特定场景下大规模高威胁敌对攻击?是不是能够对全集团网络安全状况真正做到可知可控?”
国家水利部信息中心原主任蔡阳也在会议中表示,“建设是一方面,运营对我们来说难度更大,也更重要”。
这一切都指向基础防护之上的安全运营能力建设——安全常态化、实战化的关键所在。
打造实战化安全运营
的核心能力
当网络安全防护体系建设不再是简单的堆砌设备,而是注重实战化的安全运营能力,运营管理机制和安全技术就成为双轮驱动,共同推动组织机构安全实战化能力的提升。
例如,中交集团就在一体化网络安全防护平台之上,围绕“资产管理、漏洞管理、威胁事件管理”打通业务流程,以解决系统相互之间相互独立、数据无法共享、业务流程割裂的问题,从而形成协同效应。
从整体看,不仅实现了安全防护过程可见和规范化、大幅提升工作效率和质量,通过业务流程完善和风险评估能力提升,也推动安全运营成熟度持续提升。
在国家水利部,则是以算法模型为驱动,构建一体化水利卫星感知决策指挥系统来支撑安全运营;同时,以威胁情报为核心,来提升实战化的攻防能力。
其中,一体化威胁感知决策指挥系统,以大数据为核心,构建了动态化资产管理、立体化监测采集、业务化融合建模、智能化分析决策、标准化事件处置等子系统。
据国家水利部信息中心原主任蔡阳介绍,过去一天会产生数亿条数据、成千上万条安全告警,人工根本没办法进行处置。
现在通过这套系统,正常安全告警只有35条左右,人工干预处置的效果非常明显。
同时,通过网络安全威胁情报的收集、生产、查询、共享等环节,构建起水利网络安全联防联控机制,通过攻防演练等方式进行实践和检验,持续提升实战化的能力。
蔡阳谈到,威胁情报的建设主要包括两方面:一是建立水利网络安全情报中心,二是构建行业联防联控机制的建设。这里面不仅需要私有化情报生产,也需要多渠道汇集情报,以及情报信息的联动、共享、溯源等。
例如,与上级部门网信办安全指挥平台、钓鱼邮件共享平台、公安部对接获取情报,与微步在线等网络安全厂商合作商业威胁情报,来提升行业威胁检测能力,对恶意攻击、安全事件提供反查溯源分析支撑,以更好地掌握内外部安全态势。
不难发现,在中交集团、国家水利部等大型组织机构中,威胁情报都是构建主动安全防御体系、提升安全运营能力的关键。
微步在线技术合伙人樊兴华指出,近两年0day及高危漏洞、勒索攻击爆发,企业安全运营重心从“威胁”向“风险”演进,而情报能力是实现高效风险发现及消除的关键。
不仅如此,AI大模型技术的爆发,也进一步推动着安全运营能力的升级。
目前,国家水利部正在积极探索大模型安全GPT。通过在本地部署威胁检测GPT和安全运营GPT,在云端通过千万级数据样本训练,并与水利网络安全决策感知威胁感知平台打通,来提升安全威胁的检测和分析能力。
作为威胁情报领导厂商的微步在线,近日也在大会上进一步演示了微步“情报智脑XGPT”。
自今年1月通过生成式人工智能备案以来,XGPT已实现多次能力迭代与升级,能实时关联100+数据源与8大分析引擎,精准知识问答与威胁分析,加快事件分析与处置,并全面开放至微步X安全情报社区,成为企业安全运营的得力助手。
微步在线创始人兼CEO薛锋
正如微步在线创始人兼CEO薛锋所说,在网络空间里,“发现”是安全的核心能力,而非一味防护。
以大数据、人工智能为基础,威胁情报和安全大模型构成了网络安全新的生产力,传统“老三样”正逐步向NDR、下一代网关和EDR演进,构成新基础安全。
结语
新的时代,需要新的作战方法。
随着网络攻击手段的不断演进和复杂化,传统安全防御手段早已失效,平战结合的安全运营体系能力建设成为多个行业当前安全建设的核心思路。
总的来说,安全运营需要结合组织机构各种实际的应用场景和已有的安全能力,对接厂商的专业安全能力,再通过管理和流程真正让其发挥作用,才能变得更加高效、可度量。