證通的態(tài)勢(shì)感知:立足合規(guī),打造適應(yīng)性安全
ThreatBook較真之作第二期,看看作為金融科技企業(yè)的證通股份有限公司(以下簡(jiǎn)稱 “證通”) 如何理解網(wǎng)絡(luò)安全?
“別人家的安全”是安全威脅情報(bào)(微信ID:ThreatBook)近期推出的一檔專欄。
合規(guī)、管理、構(gòu)建、應(yīng)急……安全問(wèn)題千千萬(wàn),層出不窮。我們沒(méi)辦法給出這些問(wèn)題的標(biāo)準(zhǔn)答案,但我們可以用Case Study的形式,讓你看看——“別人家的安全”。
本期受訪者資料:黃凱,8年安全從業(yè)經(jīng)驗(yàn),目前就職于證通股份有限公司,安全技術(shù)負(fù)責(zé)人,職責(zé)包括信息安全技術(shù)體系管理、安全監(jiān)控系統(tǒng)運(yùn)營(yíng)、安全技術(shù)調(diào)研。
證通資深安全工程師 黃凱
Q:作為金融科技企業(yè)的證通股份有限公司(以下簡(jiǎn)稱 “證通”) 如何理解網(wǎng)絡(luò)安全?
A:證通股份有限公司成立于2015年,是由國(guó)內(nèi)多家證券機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)和金融服務(wù)機(jī)構(gòu)以市場(chǎng)化方式共同發(fā)起成立的金融綜合服務(wù)企業(yè),證通的團(tuán)隊(duì)來(lái)自銀行、證券、互聯(lián)網(wǎng)企業(yè)以及業(yè)內(nèi)領(lǐng)軍科技公司,其中核心科技人員占員工總數(shù)一半以上。實(shí)力雄厚的股東背景及團(tuán)隊(duì)優(yōu)勢(shì),讓證通有責(zé)任更有義務(wù)在面向金融行業(yè)的IT創(chuàng)新輸出上有所作為。因此證通上至管理層、下至基層員工,大家對(duì)安全都非常重視,對(duì)新技術(shù)也保持著積極學(xué)習(xí)與探索的狀態(tài)。證通安全架構(gòu)是在滿足合規(guī)要求基礎(chǔ)上,結(jié)合新思想和新技術(shù)的“創(chuàng)新工場(chǎng)”。一方面是為了自身的安全能力的提升,畢竟網(wǎng)絡(luò)安全發(fā)展到現(xiàn)在,單純防御性的措施已經(jīng)不如之前那么有效了;另一方面,我們也希望通過(guò)我們的技術(shù)革新,建立起成熟的與時(shí)俱進(jìn)的安全體系架構(gòu),更好地為股東單位及行業(yè)機(jī)構(gòu)服務(wù)。
現(xiàn)在證通安全團(tuán)隊(duì)的職責(zé)已覆蓋安全合規(guī)、安全開(kāi)發(fā)生命周期、安全運(yùn)維、安全監(jiān)控、安全技術(shù)調(diào)研等方面,是一支綜合能力很強(qiáng)的團(tuán)隊(duì)。
Q:證通的整個(gè)安全體系是如何構(gòu)建的?
A:證通的安全體系已經(jīng)覆蓋了安全技術(shù)管控、安全運(yùn)營(yíng)管控、安全策略制定等各個(gè)方面。以具體場(chǎng)景為例,我們有三張網(wǎng):生產(chǎn)網(wǎng)、測(cè)試網(wǎng)和辦公網(wǎng)。我們以生產(chǎn)網(wǎng)為重,對(duì)其管控力度也是三張網(wǎng)里最強(qiáng)的,生產(chǎn)網(wǎng)的安全設(shè)備部署與測(cè)試網(wǎng)、辦公網(wǎng)隔離,并且從建設(shè)之初便著手全量的安全日志收集,實(shí)現(xiàn)第一時(shí)間的安全事件告警和響應(yīng)。對(duì)測(cè)試網(wǎng),我們配置了網(wǎng)絡(luò)安全設(shè)備和日志收集系統(tǒng);對(duì)辦公網(wǎng),我們配置了齊全的安全管控和檢測(cè)手段,并定期對(duì)證通全體員工進(jìn)行安全培訓(xùn),重點(diǎn)防止敏感數(shù)據(jù)泄漏。
Q:適應(yīng)性安全是安全圈現(xiàn)在很火爆的理念,態(tài)勢(shì)感知系統(tǒng)是這個(gè)理念比較典型的實(shí)踐品,證通啟動(dòng)態(tài)勢(shì)感知項(xiàng)目的大致情況如何?
A:態(tài)勢(shì)感知在2016年上半年的時(shí)候就已經(jīng)是非常成型的概念了,我們也非常認(rèn)可這個(gè)理念并自建了一套態(tài)勢(shì)感知系統(tǒng)以滿足自身安全需求。目前已經(jīng)完成了一期建設(shè),包括安全測(cè)試模塊、自動(dòng)阻斷模塊、蜜罐模塊、智能漏洞驗(yàn)證模塊等。做態(tài)勢(shì)感知,首先要知道自己有什么資產(chǎn),有什么風(fēng)險(xiǎn),再結(jié)合外部的數(shù)據(jù)去防護(hù)。之所以強(qiáng)調(diào)外部數(shù)據(jù)是因?yàn)槠髽I(yè)光靠自己收集的數(shù)據(jù)通常是不夠的,而且數(shù)據(jù)分析成本很高,必須要有獲得外部情報(bào)數(shù)據(jù)的途徑。比如我們看到一個(gè)IP來(lái)掃描,我們?cè)趺磁袛嗨笾率且粋€(gè)什么樣的人,他到底是惡意地來(lái)掃描,準(zhǔn)備進(jìn)行攻擊,還是說(shuō)他只是一個(gè)“廣撒網(wǎng)”的掃描,威脅情報(bào)可以讓我們心里有底。
Q:那您覺(jué)得態(tài)勢(shì)感知項(xiàng)目本身需要具備什么條件才能夠有效?
A:態(tài)勢(shì)感知項(xiàng)目要成功,我覺(jué)得主要有以下幾個(gè)條件。第一是數(shù)據(jù)源要豐富,對(duì)數(shù)據(jù)的理解要足夠充分,得知道現(xiàn)有的數(shù)據(jù)源到底是哪個(gè)系統(tǒng)產(chǎn)生的什么日志,從而進(jìn)行解析和分析。日志解析和分析工作對(duì)人員的技術(shù)能力以及對(duì)數(shù)據(jù)理解的要求很高,對(duì)于正則表達(dá)式需要非常熟悉,還需要理解網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、中間件、開(kāi)發(fā)框架等多方面的數(shù)據(jù),與相關(guān)團(tuán)隊(duì)的溝通成本也很高,是一個(gè)非常費(fèi)時(shí)費(fèi)力而不怎么能獲得成就感的工作,但是把這些日志結(jié)構(gòu)化是非常有用的,因?yàn)榈胶竺婵梢宰鼋y(tǒng)計(jì)、呈現(xiàn)、數(shù)據(jù)關(guān)聯(lián),做好這些工作是先決條件。提高對(duì)數(shù)據(jù)的理解和數(shù)據(jù)的準(zhǔn)確性,還要靠自己不斷地在運(yùn)行中總結(jié)經(jīng)驗(yàn),同時(shí)也需要依靠外部的數(shù)據(jù)源來(lái)做一些輔助,有時(shí)我們做告警就依賴于威脅情報(bào),結(jié)合外部數(shù)據(jù)可以達(dá)到一個(gè)相對(duì)準(zhǔn)確的效果,我們自己其實(shí)也有建自己的情報(bào)源,但是僅靠自己的數(shù)據(jù)不足以做出足夠準(zhǔn)確的判斷。
其次是界面設(shè)計(jì)和交互設(shè)計(jì)要友好。一方面,操作人員要容易配置,能夠保證數(shù)據(jù)多層面、多角度的呈現(xiàn);另一方面是上層決策者的宏觀感受要直觀,一看就知道安全團(tuán)隊(duì)在做什么事情,阻攔了多少攻擊事件,也就是讓安全不僅是可視化的,而且是可量化的,這樣才能直觀體現(xiàn)出安全團(tuán)隊(duì)的價(jià)值。
第三是怎樣建立數(shù)據(jù)模型,因?yàn)槊刻飚a(chǎn)生那么多數(shù)據(jù),肯定得去建立相應(yīng)的一些模型,以模型為基準(zhǔn)去做數(shù)據(jù)的分析和呈現(xiàn)。有一些模型可能是簡(jiǎn)單的條件判斷,有一些模型可能是通過(guò)機(jī)器學(xué)習(xí)實(shí)現(xiàn),隨著數(shù)據(jù)的增加逐漸成熟,等等。
Q:態(tài)勢(shì)感知系統(tǒng)的效果是什么?
A:對(duì)于一線人員來(lái)說(shuō),態(tài)勢(shì)感知打通了多個(gè)維度的數(shù)據(jù),通過(guò)數(shù)據(jù)可視化讓我們對(duì)威脅態(tài)勢(shì)有直觀了解,通過(guò)外部威脅情報(bào)協(xié)助我們進(jìn)行決策,甚至自動(dòng)阻斷惡意請(qǐng)求,把我們從重復(fù)勞動(dòng)中解放,從而可以聚焦在更高層面的工作。舉個(gè)例子:在以前沒(méi)有安全威脅情報(bào)做參考的時(shí)候,事件處置流程是這樣的:發(fā)生告警以后有值班人員打電話給你,你打開(kāi)電腦開(kāi)始處理應(yīng)急事件,登錄系統(tǒng)后判斷這個(gè)IP對(duì)我們公司的什么系統(tǒng)做了一些什么樣的掃描或者攻擊,再去看他的請(qǐng)求參數(shù)是什么樣的,會(huì)不會(huì)對(duì)我們產(chǎn)生威脅。引入了威脅情報(bào)之后,我們就可以基于威脅情報(bào)先判斷一下這個(gè)IP是來(lái)干嘛的,比方說(shuō)一個(gè)掃描IP,在我們系統(tǒng)中觸發(fā)了大量404響應(yīng),再對(duì)比相關(guān)的告警內(nèi)容,就可以初步判定威脅性不大,此外由于我們的系統(tǒng)在上線前都經(jīng)過(guò)了嚴(yán)格的安全測(cè)試,我們相信類(lèi)似的掃描不會(huì)對(duì)我們形成威脅,所以這個(gè)告警就不用再去太關(guān)心了,這樣就極大地降低了我們應(yīng)急人員的工作壓力。
從上層管理人員的角度來(lái)看,就像剛才說(shuō)的,通過(guò)態(tài)勢(shì)感知系統(tǒng)做到了安全態(tài)勢(shì)的可視化和工作成效可量化。
Q:接下來(lái)準(zhǔn)備怎樣對(duì)態(tài)勢(shì)感知系統(tǒng)做升級(jí)?
A:首先是增加數(shù)據(jù)源,做安全要在“知己”的路上走得更遠(yuǎn),既然已經(jīng)盤(pán)點(diǎn)了已有的資產(chǎn)信息,就可以基于這些資產(chǎn)去做一些更深入的工作,比如資產(chǎn)的系統(tǒng)、版本、中間件信息、開(kāi)發(fā)框架信息等等,這些信息可以做一些關(guān)聯(lián),基于關(guān)聯(lián)去做精確度更高的、更智能的安全威脅的態(tài)勢(shì)感知;其次是工具化集成化,將態(tài)勢(shì)感知系統(tǒng)打造成安全團(tuán)隊(duì)日常的工作平臺(tái),形成閉環(huán),從而提升工作效率。此外,我們安全團(tuán)隊(duì)還可以與其他團(tuán)隊(duì)合作,讓?xiě)B(tài)勢(shì)感知系統(tǒng)為運(yùn)維和數(shù)據(jù)分析提供支持。
當(dāng)前微步在線的威脅情報(bào)跟我們的SIEM系統(tǒng)結(jié)合得比較深,我們的生產(chǎn)網(wǎng)、辦公網(wǎng)、測(cè)試網(wǎng)都有接入,在不同維度數(shù)據(jù)的整合方面還有很多工作要做。外部數(shù)據(jù),包括威脅情報(bào)在內(nèi),也是需要逐漸完善,我們也想和微步在線進(jìn)行更深入的合作,并樂(lè)意將我們的經(jīng)驗(yàn)和技術(shù)與行業(yè)分享。
