king

东华软件马虹斌畅谈运维视角下的网络安全建设,“工具赋能”大有可为

king 安全防护 2022-11-28 334浏览 0

2020年,国家从政策层面不断推动网络安全产业加速成长。对于企业用户而言,网络安全成为确保业务连续性和商业变革顺利开展的重要基础。当人们纷纷将目光聚焦在零信任、云安全、数据保护这些安全技术和产品时,其实很多人忽略了一点,相比较网络安全项目在企业中的前期设计、规划、建设,后期运营才是决定网络安全真正生命力的关键因素。东华软件网络技术事业部高级项目经理马虹斌日前就从企业运维的视角,分享了他对于企业网络安全建设的新思考。

东华软件马虹斌畅谈运维视角下的网络安全建设,“工具赋能”大有可为

  三大因素驱动安全高速发展 安全进入“工具赋能”阶段

  近几年国家对网络安全的重视有目共睹,网络安全在千行百业中的部署之所以能够如此迅速普及,马虹斌认为离不开三大“引擎”驱动,即政策引导、科技伴生驱动,以及网络安全攻击事情的频发。

  他解释道,2019年等级保护2.0的实施让很多企业更加重视安全建设,而大数据、云计算、物联网、移动办公这些科技在疫情期间的大量应用,也让企业意识到需要给科技加道“安全锁”才能更好发挥它们的价值。此外新闻中动辄因安全攻击导致企业损失惨重的事件,也让企业领导者紧绷安全这道弦不敢松懈,从侧面推动了安全产业的发展。

  在马虹斌看来,安全建设不是一个从无到有的过程,而是一个不断提升“工具赋能”的建设过程。在安全产品堆积建设中,安全运营和运维能力的建设迫在眉睫,除利用安全工具构建基础安全架构之外,企业还需要加强安全工具的日常运营,提升自动化响应运维和安全设备协同能力,形成一个“分析-检测-处置-预防”的闭环。

  赋能+协同 安全工具原来可以这么用?!

  那么安全工具如何为企业赋能呢?马虹斌以流量分析进行举例。众所周知,流量数据一直是安全分析的一个重要手段,安全分析人员可以对已经发生的攻击行为进行多角度、全方位、可反复的回溯检测。大多数人一想到流量分析,往往第一个想到的就是原始数据包,其实在大型网络中除了流量原始数据包分析外,DNS解析记录和关键节点Flow数据也会对整体的分析手段进行赋能。

  东华软件参与的数次攻防演练中,在客户现场遇到过这样一个案例,这家客户企业拥有20多个数据中心,原始数据流在关键节点具备采集探针,但是缺乏宏观的统计分析,当企业想要统计一个月内不活跃的IP数量时,受限于探针的覆盖范围有限和响应速度很难快速实现。但是通过flow采集就可以做到,只要网元设备支持flow协议,那么flow数据采集可以实现全网可达分析。于是在攻防对抗准备阶段,东华软件帮助客户通过flow数据收集,快速统计出了历史活跃IP,同时与规划IP做差额减法,很快就锁定了一部分不活跃资产,从而在演练中高效的缩减了攻击面。

  不仅如此, flow还可以作为在安全攻击事件发生时固化证据的一个有效支撑手段。曾经有一家企业中了勒索病毒,当东华软件的安全分析专家检查主机日志时,发现日志已经被修改,很难界定确认具体爆发时间,但是从flow数据中就发现了3389端口的突发流量时间节点和首发IP,从而快速的确认了勒索病毒影响范围,再通过范围内的原始流量探针回溯,很快做出了响应处理,提高了整个检测的效率。这就是一个很好的“工具赋能和安全协同”的例子。

  企业安全怪圈如何破?

  既然安全工具能够为企业赋能,那么是否已经部署了安全工具和平台的企业就可以高枕无忧呢?事实上,并非如此。

  马虹斌指出,虽然企业动辄安装了很多安全工具,但是真正实现“工具赋能”并非易事。他表示,由于很多安全工具彼此孤立,即使存在统一管理工具,但是各个异构信息系统无法真正达成安全事件的共享和归并,管理平台每天告警事件上千上万条,但真正能处理的安全事件不到7%。此外企业建设安全团队难度较大,安全人员匮乏,尤其是考虑到投资回报率之后,很少有企业会坚持投入安全平台的持续运营服务建设。

  事实上,正如马虹斌所言,不少企业的安全建设似乎进入一个怪圈——安全投资回报率很难衡量,导致企业安全投入就会迟疑,而安全人员投入不到位就只能依托安全工具,而安全工具的孤立又导致安全水平的不稳定……

  东华软件安全运维经验谈

  这样的困局如何破呢?东华软件在过去服务客户的经验中总结了自己的一些经验:

  首先安全建设不能脱离与运维团队的沟通,单一的堆砌安全产品没有意义,要把产品或工具融入到日常运维工作中。马虹斌表示IT运维人员掌握着日常运维操作,非常清楚知道安全痛点在哪里,最容易将安全目标和业务对象做好对应关系,因此安全最好不要独立在运维之外开展。

  其次选择有实力的服务提供商。要确认厂商的后期服务支持,以及他的固有生态,避免平台绑架和交付困难。当然有能力的客户在平台侧建议自研和培养自己的安全团队人才。

  马虹斌介绍到,东华软件长期驻扎在用户现场从事主机和网络运维工作,有大量专业的运维团队去服务用户,协同工作效率非常高。同时又恰恰因为集成商的角色,可以从客户角度去规划和协调多个安全厂商进行“协同”发力,此外依托于东华本身的运维产品,可以有效解决在安全建设过程中的流程复杂和闭环困难等问题,深得客户信赖。像上文中提到的flow分析案例,就是通过东华流量分析产品解决的,这款产品早已广泛应用于金融、运营商、能源等大型行业客户。

  最后要紧跟安全发展趋势,顺势而为。马虹斌认为,未来软件自主化,硬件平台国产化的输入,进而适应更多的“信创”市场需求。同时2020年疫情带来了大规模移动办公、远程办公的需求, 数字化及混合云应用场景的变化,也带来了新的业务机会,安全服务将会呈现SaaS化趋势,安全服务托管及代运营等远程安全服务已经大规模应用。

  最后谈及安全产业未来发展时,马虹斌强调,网络安全领域永远不会有唯一的解决方案,没有一家厂商可以搞定所有的安全问题,也不会有万能钥匙。这种碎片化的状态,是问题也是机遇。在企业网络安全建设领域,东华软件未来将持续构建安全体系生态,关注新时代网络安全人才培养,打造网络安全建设及运营一体化服务能力,为企业信息安全保驾护航。

  想了解马虹斌专家更多精彩内容,点击进入:

  http://www.51cto.com/act/jiangxin/dhwz11

东华软件马虹斌畅谈运维视角下的网络安全建设,“工具赋能”大有可为

继续浏览有关 安全 的文章
发表评论