安全運維的十個靈魂拷問
安全運維,是企業安全管理中躲不開的一個環節,有一套良好的安全運維規范,可以幫助企業降低安全隱患。那么到底應該如何做好安全運維?近日安全牛有幸邀請到了行業資深專家杜建榮先生,從組織、流程、人員幾個方面,圍繞安全運維中的十個常見問題,來解答企業在安全運維中可能遇到的疑問,以下是主要內容:
杜建榮,2006年入行至今,技術出身,從事過甲乙雙方的各個不同崗位,熟悉IT的各個領域。從2012年開始專注于信息安全領域,先后負責過安全運維、安全管理、制度建設、攻防、合規等不同工作。
一、企業安全運維的本質是什么?
杜建榮:安全運維包含兩層意思,第一層意思是維護一個組織的信息安全管理體系,比如使用防火墻維護公司的安全域劃分,使用堡壘機滿足運維審計要求,使用漏掃挖掘漏洞風險等。第二層意思是在運維工作中落實安全管理要求,降低運維工作中的安全風險。
由此可見,第二層的意思立足于第一層,安全運維的前提是企業有明確的信息安全管理體系,信息系統有較合理的安全架構。
安全運維的主要工作模式也分為兩種。一種是依靠信息安全管理團隊的工作模式,組織建立信息安全管理體系,在信息系統建設時同步建設信息安全技術措施,敦促信息系統在建設中同步落實安全管理要求,利用安全產品開展管理與審計監督。另一種是依靠運維人員的工作模式,把安全賦能給運維人員,運維人員根據安全要求執行規范的運維規程。
安全運維需要將兩種模式有機結合,不是信息安全團隊或者運維人員的單打獨斗,才能起到最好的效果。
二、如何做好安全運維?
杜建榮:在考慮安全運維之前,首先需要首先對企業的整體安全架構有一個全面、嚴謹的規劃部署。做好一個良好的建設,后期通過安全運維嚴格執行,才能有好的效果。否則運維就只能像救火,頭痛醫頭、腳痛醫腳。安全運維的本質,就是通過規范的流程,落實貫徹企業既定的安全政策方針,推行企業設計好的安全架構。比如進行防火墻的運維,本質上是維護企業的安全域規劃,如果在運維中不按規章胡亂開策略的話,用防火墻進行安全域隔離的初衷就等于形同虛設。安全策略一旦放行,日后要收回來就很不容易,任何弱點都能成為黑客攻擊的目標。
三、安全運維的重點在哪里?
杜建榮:安全運維的重點是:遵循一個商定的標準嚴格執行運維,而不是隨心所欲或者隨機應變。安全運維不是攻防演練,不需要靈光一現的點子,變化越少越好。如果在運維過程發現需要放開越來越多的特例,那就證明當初商定的標準有問題,需要重新修訂當初的標準。良好的安全運維標準應該是松緊有度,并在建立之初得到涉及的業務部門共識,有一套規范的流程而無需經常放行各種特例。
另一方面,安全運維需要分層分級,有的放矢。比如將重點的漏洞管理、防火墻、WAF、IPS、服務器EDR等運維,專門交給有豐富經驗的人員負責;將技術含量稍低的VPN、堡壘機、辦公電腦準入防病毒等重復繁瑣的運維,交給稍低經驗的人員處理;最好有專崗負責日志告警,分析溯源。如果把所有運維工作都集中在一兩個人身上,將會不堪重負,每天大量繁瑣的低級運維工作與需要細心集中的重點運維工作交雜在一起,會降低人的集中力,應付了事,從而忽視了真正的風險。
此外,針對運維人員的操作,也需要有精細的權限控制與完善的日志記錄,并最好由上級領導或專門審計角色進行定期審計。
以上幾點的集合才能最大程度的提高安全運維的準確率,降低安全風險。
四、安全運維分為幾個階段?
杜建榮:對于小型企業來說,往往沒有專職的安全人員,安全建設通常由網絡或基礎架構部門兼任,安全運維往往只能依賴運維人員的能力。這種階段下安全只是一個可有可無的附加值,并不能真正發揮它的作用。
發展到一定規模的中小型企業,招聘了安全專崗,但也往往只有一兩個人,這種一個人的安全部模式,安全人員往往因為前期沒有做好整體的安全規劃而在運維上疲于奔命的救火。公司把信息安全的責任都放在安全人員身上。針對中小型企業,建議聘請安全公司的安服團隊進行運維,讓安全人員釋放雙手進行有效的安全規劃與建設,才能逐漸走向正規。
對于大型企業,安全部門已逐漸成型,可能會有專人負責管理、制度建設、合規等工作;有專人負責運維工作。在這種模式下,建議參照上一點提到的重點,將運維工作分層分級給不同的人員處理,并將安全技能充分賦能給其他業務部門。如可以把終端殺毒、準入、VPN、防垃圾郵件等工作賦能給桌面運維團隊;將堡壘機、服務器EDR等工作賦能給基礎架構團隊。真正的做到誰主管、誰負責;誰使用、誰負責、誰運營、誰負責。信息安全團隊更可以集中精力在安全建設、日志監控、攻防等方面,同時提升了全公司的安全水平。
五、如何培養安全運維的人才(如何留住安全運維的人才)?
杜建榮:最近幾年,專業的安全人才一票難求已經是公認的事實,未來很長一段時間這種趨勢也會持續下去。這種情況下,應該如何培養安全運維的人才?私以為,將安全運維的能力分級,引入職業發展的路線,是一個很好的辦法。比如從基礎的終端安全運維崗開始,到網絡安全運維崗,應用風控安全運維等,通過崗位輪動,培養全能的人才,同時也可以令更多其他運維崗學習安全技能,培養公司的后備人才。安全運維經驗豐富以后,可以嘗試編寫腳本的自動化運維,培養開發方面的能力;或是走分析溯源路線。同時,這也是留住安全人才的方法,有一條清晰明確的職業發展路線,避免安全人才反復做低級的運維工作。
六、從事安全運維崗最重要的技能是什么?
杜建榮:我覺得是持之以恒的學習能力(其實很多崗位都需要,但安全尤甚),因為安全是跨領域的學科,在從業的路上需要不斷學習和理解IT其他領域的知識范疇,不能只看到自己的一畝三分地。比如我本人就曾在數據庫審計的運維工作中學習到大量的SQL語句與數據庫結構;在業務上云的項目中惡補了大量公有云的知識體系。另一方面,還需要在工作中保持細致耐心,面對反復的策略調整,權限控制不厭其煩,同時也能從千百行日志中找到有價值的事件。
七、安全運維如何能避免成為背鍋俠?
杜建榮:在安全方針政策的制定,安全架構的部署時,一定要與相關的業務部門形成共識,在大家的充分知情同意下制定出來,不能由安全部門單獨拍板,在安全方針政策制定之初明確各自的責任擔當,才不會在后續的運維工作中讓安全運維成為背鍋俠。以漏洞掃描這件事來打比方:在部署之初先規劃好掃描頻率、具體時間、誰來修復、有何潛在的風險、告警手段等等,并得到業務部門的同意認可。才不至于讓業務方一有業務中斷就懷疑是安全引起,也不會對發現的漏洞推三阻四不愿意修復,一旦被入侵又怪罪是安全的責任。
八、安全運維崗位的就業形勢如何?這個職業會有瓶頸嗎?
杜建榮:安全運維崗的就業形勢相對其他網絡或桌面運維還是很吃香的,雖然今年遭遇疫情,但從各大招聘平臺上看,也有不少的崗位在求人。安全運維崗的瓶頸在于面對重復的工作容易有惰性,必須主動堅持學習才能有突破。現在很多如云安全運維、大數據安全運維、應用安全運維等崗位都需要積極學習新的知識來迎接。另一方面,也可以嘗試學習開發能力,利用態勢感知、SOC等平臺,通過流程設計實現自動化運維。
九、企業需要態勢感知嗎?
杜建榮:態勢感知是最近幾年很火的一個概念,幾乎所有的安全廠商都會推出自己的態勢感知產品。但我認為,不要隨便被銷售忽悠,只有少量安全設備的中小企業是不需要態勢感知的。態勢感知的應用場景在于企業擁有大量安全設備,產生海量的日志,運維人員對于這些設備與日志疲于應付,誤報漏報太多,響應緩慢,無法真正提煉出有價值的事件時,才有使用態勢感知的價值。
十、態勢感知會給安全運維帶來什么幫助?
杜建榮:態勢感知可以簡化運維的工作量,更加聚焦于有價值的事件,令運維人員可以集中精力在溯源與分析上。同時,通過參與態勢感知里安全告警的設計與提煉,也能提升運維人員的綜合能力,幫助企業培養人才。
在未使用態勢感知前,安全運維人員的工作可能是在每天的WAF、防火墻、IPS、服務器日志、漏洞報告中發現異常,再驗證攻擊是否已發生。但部署態勢感知后,利用設計好的告警規則,可以迅速發現攻擊的來源、路徑,迅速修復漏洞,并不斷優化告警規則。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
