護網行動中的安全產品優化
0x00、前言
伴隨著新基建項目的不斷演進,IT信息安全業務也在不斷的變化,從前幾年的只銷售安全單品、安全服務、安全解決方案到現今的銷售基于IT基礎設施的安全服務。這種安全服務,安全能力不僅僅包含安全產品、純安全服務,還需要一整套基于IT基礎設施的自研的安全解決方案,有時候還需要配合外采服務滿足用戶需求,同時業務方面需要與大型商業活動結合,安全防護級別達到護網行動的級別,同時做好政府部門對接工作。只有這樣,我們才能把這種安全服務賣上500w~1000w價錢。
0x01、安全產品優化
在對外銷售這種安全服務的時候,我們發現提升安全運營人員的工作效率是整個項目盈利的核心,安全產品優化的好,我們能節省的人力成本的投入就會少,反之項目會虧損。簡單舉個例子:如果要提供7*24小時的安全運營服務,一個項目周期為7天,14人/天,后臺二線運營也至少2個人。如果安全運營人員都把時間浪費在給主機打補丁,處理防火墻策略,數據分級等基礎預防性工作,那你的工作無法集中到運營監控方面,遇到問題也無法做深入思考,一旦發生入侵事件,無法有效的處理。這些前期工作都需要增加安全服務的工時。
那么針對安全解決方案,最快速搭建的方法就是使用公有云,公有云基礎設施比較完備,安全服務也齊全,包括:主機安全、云WAF、抗D、掃描器、態勢感知、數據庫審計、堡壘機等,那么在做護網行動前,我們要做的一些安全預防性工作包括:安全鏡像優化、人工滲透測試、自動化滲透測試、主機/云產品基線、安全組ACL設置、數據分級等。
先以安全鏡像優化為例:
自動化安全產品:主機安全中主機漏洞,
目前存在的問題:
@1、主機操作系統的鏡像制作周期一般一個季度制作一次,因為有幾十種操作系統版本,每個版本需要經過嚴格的測試才能上線,從漏洞產生頻率上看,每個季度大約CVE,2000+,RHSA 50+ ,USN 150+ 從涉及到的軟件數量看,因為用戶安裝的軟件是不可控的狀態,五花八門的軟件都有,這些軟件的安裝都會帶來主機漏洞。
@2、漏洞庫爬取后,如何有效判別該漏洞是否符合產品漏洞庫的條件,靠人工方式確認,一般廠商也不會這么做,投入產出比太低。
@3、在護網期間,對配置變更服務器要有一定的審批流程。新加入的服務器,新安裝的軟件都要做嚴格的審查,業務方上線需要和安全有聯動,使用重保安全鏡像。同時在重保期間暫停漏洞庫的更新,針對一些特殊情況,例如:云服務器上運行著Kubernetes,Pod重啟會導致災難性的后果。需要添加例外。
為啥要改產品:
@1、有些流程一旦被驗證,自動化會提升安全運營效率。
@2、用第三方安全產品,產品更改的難度很大,所以一般都是第三方安全廠商的售前或者產品經理通過曲線救國的方式幫你變形解決相關問題。
@3、目前大部分安全產品沒有針對護網的需求,做出產品化的調整。用戶需要護網模式的產品。
其次消耗安全運營人員精力的是:配置安全組和ACL策略。
由于在公有云上防火墻策略已經與安全組和ACL策略耦合在一起,同時,業務系統在不斷的變更,上線下線,給安全風險管控帶來的諸多不便。今天哪個部門上了一個應用,需要開TCP8080端口對外服務,也不知會安全人員,系統測試發現上一直不通,查來查去,最后發現業務系統訪問的數據庫端口沒有加入到安全組的開放列表中,這種崩潰的事情,在護網前期時時刻刻再發生。。。沒有一個整體安全可視化的網絡資產管理模塊,幫助用戶圖形化管理安全組或者ACL策略。
產品解決方案:微隔離可視化管理
通過微隔離可視化技術幫助用戶業務人員在上線業務的同時,做好安全控制。既提高了配置工作效率,也防止高危端口暴露在外,給紅隊小伙伴可乘之機。
產品的核心是可視化:
@1、需要支持自定義分組,例如:按照業務分組等,同時支持各種角色組,例如:數據庫角色,web服務角色。
@2、工作負載與訪問關系展示。
@3、訪問邊聚合的連接,以及訪問方向和屬性。
第三部分,就是存在公有云上的關鍵數據的分級分類整理,什么樣的數據需要哪種級別管理,這部分早期護網行動中涉及的比較少,但是伴隨著護網的深逐年入,拿到用戶數據的情況也越來越多,據了解阿里云2020年護網行動中拿下所有目標的用戶數據。
還有一種情況是,很多用戶特別是大型用戶上公有云后,在公有云上常年積累了很多數據,散落在對象存儲,RDS數據庫,大數據存儲引擎中,,再加上各種應用在調用這些數據,短期內很難做分級分類處理,這就需要有一套自動化產品幫助用戶梳理,保護。
產品解決方案:敏感數據保護系統
@1、敏感數據識別
@2、數據安全審計(主要包括對象存儲和RDS)
@3、數據脫敏
數據分級是在數據防泄漏項目中最重要的一步,這一步的智能化程度高低代表安全運營工作效率快慢。特別是在護網前期準備階段,需要對數據進行分級,最終決定數據保護的級別。比如用戶比較關注自己CRM會員系統,一旦出現數據外泄,整個護網行動功虧一簣。
0x02、重新定義安全服務
這種安全服務,包含的安全產品需要為整體的安全服務效率負責,這里定義的安全服務,也不僅僅是人工滲透測試服務,還包含:業務安全規劃、項目實施、應急演練、壓測、復盤、線上護網級別的重保、網安國安政府對接事務性工作;同時,安全產品近期的規劃也需要一個“護網模式”,通過安全能力產品化的方式賺錢,越來越難了,通過托管服務方式對外輸出安全能力的時代將來臨。
