山石岩读丨攻防对抗为什么离不开“可持续安全运营” ?


防得好需要 “可持续安全运营”,持续监控、动态调整,不断提升可持续安全运营能力,实现可持续安全。

经历过2003年SARS的人,想必也会有类似的想法:“一鼓作气,新冠疫情就过去了!”现实却很骨感。医学专家预言Covid 19比同出一门的SARS、MERS等冠状病毒都“聪明”。跨入2021年,Covid 19各种变异,仅被列为高度关注的有四种,包括最近备受瞩目的Delta(δ)。

即使在广州等地出现了Covid 19的变异病毒,国内的疫情防控态势依旧不错,一年多来整体反应更迅速,管理更人性化,对日常经济影响越小。取得这样的成绩,依靠的是常态化疫情防控不放松, “坚持预防为主、落实“四早”措施、突出重点环节、强化支撑保障、加强组织领导”几个关键环节持续保持高水准。特别是对重点人群保持高频次核酸检测,在信息技术支撑下迅速调整策略。而随着更多疫苗投入使用,感染机率和重症率都有可能得到控制。

虚拟的网络世界里,威胁攻击的不断变化也在上演。国家互联网应急中心(CNCERT)发布的《2020年我国互联网网络安全态势综述》(以下简称《综述》),可以看到老威胁得到控制,新的“高智商”威胁危害持续上升。

《综述》中显示“随着我国网络安全宣传活动丰富、威胁治理成效显著”,并列出了一列数字,诸如:

● CNCERT协调处置各类网络安全事件,同比减少4.2%

● 抽样显示,我国被植入后门的网站数量同比减少37.3%,境内政府网站被植入后门数量同比减少64.3%……

● 根据外部报告,全年我国境内DDoS 攻击次数减少16.16%,攻击总流量下降 19.67%。

DDoS这种看似没头绪,“穷横”难治理的都被抑制了…… 愁的是,高“智商”的威胁却持续上升。《综述》中提到:

● “APT 组织利用社会热点、供应链攻击等方式持续对我国重要行业实施攻击,远程办公需求增长扩大了APT 攻击面。”比如利用疫情期间大家远程办公增多,把木马文件伪装成VPN客户端升级包展开攻击。

● “勒索病毒持续活跃,全年捕获勒索病毒软件78.1万余个,较 2019年同比增长6.8%。近年来,勒索病毒逐渐从“广撒网”转向定向攻击,表现出更强的针对性,攻击目标主要是大型高价值机构。同时,勒索病毒的技术手段不断升级,利用漏洞入侵过程以及随后的内网横向移动过程的自动化、集成化、模块化、组织化特点愈发明显,攻击技术呈现快速升级趋势。”

网页仿冒治理工作力度持续加大,但因社会热点容易被黑产利用开展网页仿冒诈骗,以社会热点为标题的仿冒页面骤增。比如仿冒“ETC”、“网上行政审批”。

2021年这半年来,有针对性的勒索病毒不断创造爆炸新闻,一个月内,管道油气供应商科洛尼尔、世界最大肉类供应商JBS均受攻击,现实世界中人和机器的“食粮”供应都受到影响。

随着等保2.0推出以来,我们国家政府、关键信息基础设施领域的用户,越来越认识到实战攻防演练的重要性,定期不定期的攻防演练,践行“三化六防”的整体思想。

不论是面对真实威胁,还是在实战攻防中磨练能力,业界都认识到网络安全“一劳永逸”是痴心妄想。如同新冠疫情常态化防控一样,要通过可持续安全运营实现网络安全的长治久安。

网络安全运营是一个闭环、螺旋提升的过程。网络安全运营与运维不同,后者是围绕着设备、软件转,监控调整,保证正常运行。运维是运营的一部分。安全运营则要围绕着的业务发展的主线转,在收集更多领域数据基础上进行洞察。安全运营的调整,不仅仅要围绕着软硬件设备转,要调整安全的战略、制度和流程、调动内部外部的资源,包括人、财、物,目标不仅仅是堵住现在的缺口,更要提升整体安全能力。商业组织的运营,追求利润、效率、实力提升,安全运营要提升的是,防的能力,防的耐力,防的实力

《综述》中提到利用社会热点是攻击者善用的趋势,也有业界人士称社攻是攻防演练攻击方有效的攻击手段之一。抵御社攻的一种方法是全员的安全意识培训,严格的网络安全管理,安全运营就需要承担起相关的工作。

2020年,春节期间太多的团队迫不得已加入了远程办公的大军。《综述》中也提到APT组织利用远程办公中的漏洞,肆意展开攻击。安全运营工作,首先要围绕业务发展的新趋势,跳出物理围墙呵护下的老思路,重构新的组织安全战略、新安全管理制度,而后是采用新技术。

应对这一新需求,业界都爱谈“零信任”。零信任本身就是一个可持续安全运营的实践。比如,最初,“预测发现”阶段去梳理资产,发现风险,明确需求,最小授权;实施之后(防御与控制),后去持续监测分析,包括异常的检测,监控行为是否合规;在响应与分析阶段,分析、调查、调整。根据安全运营的实践,再入四个阶段的循环,持续监控、动态调整,实现零信任的目标——在最小范围目标资产下,给对的时间的,对的用户,最合理的最小授权。

即使实现了这一目标,运营工作也进入不到“一劳永逸”的阶段,一方面访问行为还会被收集和分析,以备最坏打算;另一方面,因为业务会发展,用户对应的授权会变,资产会变,安全运营还要持续下去。

结合上面两个例子,我们可以看到,通过可持续安全运营提升攻防对抗能力,首先需要做好一个战略——组织网络安全战略;以及管理、团队、时间、资源和技术装备五个维度的准备工作,可持续安全运营工作才能有效开展起来。

● 依据组织的战略、遵从法规、业务流程、组织架构,制定网络安全战略。目标需要可衡量,战略要持续改进。

● 组织应该有明确的网络安全规章制度、流程等,融入组织方方面面,可逐步被技术贯彻执行、监控。

● 依据网络安全战略,提供资源保障。不仅仅是充足的资金、装备。还要包括全员的安全意识,安全团队的业务能力培训、提升

● 建立一个强有力的、高效的、来自多部门、协同能力强的网络安全领导机构。领导一支角色清晰、责权分明,并可由多个专业能力强的服务团队构成的高效安全运营团队

● 网络安全工作要有持续性,同时能够快速响应。

● 采用支持“全息、量化、智能、协同”四大特性的安全技术装备。

在日常的安全运营工作中,需要在自适应安全模型的大框架指导下展开工作。

在总体战略层面,强调安全运营体系应当在满足方针策略和合规性要求的前提下,通过“规划-实施-监控-调整”的闭环过程来持续监控各类安全风险并对各技术环节和流程等进行动态调整,以应对不断变化的威胁环境。安全运营工作在预测与发现、防御与控制、监测与分析、响应与管理四个环节循环往复所构成的闭环体系中转换,持续监控、动态调整,以实现总体战略层面提出的安全运营体系持续监控风险和动态调整策略的目标。

网络世界里,威胁不断演变,需要可持续的安全运营不断提升对抗能力。