淺談企業(yè)安全體系建設(shè)

■ 北京 劉家華

編者按：面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，僅靠幾個(gè)安全設(shè)備就能防范網(wǎng)絡(luò)攻擊的時(shí)代已經(jīng)一去不復(fù)返了，如今企業(yè)網(wǎng)絡(luò)安全建設(shè)需要體系化。

當(dāng)前，網(wǎng)絡(luò)空間安全形勢(shì)越來(lái)越嚴(yán)峻，安全事件層出不窮，很多重要機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)已經(jīng)成為攻擊者的首要目標(biāo)，大規(guī)模攻擊和針對(duì)性的APT攻擊已經(jīng)造成了嚴(yán)重影響。為了妥善處置和應(yīng)對(duì)突發(fā)安全事件，對(duì)于企業(yè)來(lái)說(shuō)，需要及時(shí)建立持續(xù)防護(hù)的安全體系，從而確保關(guān)鍵基礎(chǔ)信息設(shè)施可以安全、穩(wěn)定、持續(xù)地運(yùn)行。

筆者所在的綠盟科技安全服務(wù)部將為讀者解讀企業(yè)網(wǎng)絡(luò)安全體系建設(shè)。

圖1 無(wú)防護(hù)的業(yè)務(wù)系統(tǒng)簡(jiǎn)圖

圖2 業(yè)務(wù)系統(tǒng)防護(hù)體系簡(jiǎn)圖

前期準(zhǔn)備

首先來(lái)看一張沒(méi)有任何防護(hù)的業(yè)務(wù)系統(tǒng)簡(jiǎn)圖（如圖1所示），攻擊者可以利用各種手段滲透進(jìn)內(nèi)網(wǎng)，一旦得手就可以對(duì)內(nèi)網(wǎng)進(jìn)行“一馬平川”式的攻擊。早期的業(yè)務(wù)系統(tǒng)往往急于交付，更偏重功能可用性而忽視安全防護(hù)。

磨刀不誤砍柴工，在針對(duì)業(yè)務(wù)系統(tǒng)建立防護(hù)機(jī)制之前，最重要的是先整理出清晰的網(wǎng)絡(luò)拓?fù)鋱D，找到各個(gè)風(fēng)險(xiǎn)點(diǎn)可能在什么地方，才能有針對(duì)性地進(jìn)行防護(hù)，對(duì)比圖2，則是增加了防護(hù)體系的業(yè)務(wù)系統(tǒng)，根據(jù)業(yè)務(wù)特點(diǎn)，在重要的網(wǎng)絡(luò)節(jié)點(diǎn)處部署相關(guān)的安全防護(hù)策略。

1.攘外

攻擊者的攻擊目標(biāo)主要分為外網(wǎng)、內(nèi)網(wǎng)、內(nèi)部員工三大部分。

先來(lái)討論一下外網(wǎng)防護(hù)，部署在公網(wǎng)上的系統(tǒng)是接入內(nèi)部系統(tǒng)的入口，往往也是攻擊者進(jìn)行信息收集的首選目標(biāo)，因此公網(wǎng)系統(tǒng)應(yīng)該部署重兵把守，很多企業(yè)也的確加大了力度在外網(wǎng)防護(hù)上。從云端的安全監(jiān)控，到網(wǎng)絡(luò)側(cè)的 IPS、WAF、TAC、防自動(dòng)化攻擊等設(shè)備，再到終端側(cè)的網(wǎng)站防篡改、數(shù)據(jù)庫(kù)防火墻等防護(hù)產(chǎn)品，形成了針對(duì)單一系統(tǒng)垂直的縱深防護(hù)，再加上本地的安全服務(wù)團(tuán)隊(duì)，最終真正地實(shí)現(xiàn)“云地人機(jī)”的智慧安全防護(hù)體系。圖3則是某企業(yè)外網(wǎng)資產(chǎn)防護(hù)的體系架構(gòu)。

2.安內(nèi)

對(duì)于內(nèi)網(wǎng)的安全防護(hù)，重在監(jiān)控?zé)o死角。由于內(nèi)網(wǎng)中通常都是業(yè)務(wù)流量，因此一般采用監(jiān)控設(shè)備代替防護(hù)設(shè)備，如網(wǎng)絡(luò)側(cè)的 IDS、TAC、全流量等設(shè)備，終端側(cè)的HIDS、防病毒產(chǎn)品等。

內(nèi)網(wǎng)防護(hù)的重中之重是保護(hù)核心業(yè)務(wù)系統(tǒng)的正常運(yùn)行，當(dāng)事件發(fā)生后可以快速地進(jìn)行溯源，并控制擴(kuò)散態(tài)勢(shì)，真正地保證業(yè)務(wù)的連續(xù)性。圖4所示為某企業(yè)內(nèi)網(wǎng)資產(chǎn)防護(hù)的體系架構(gòu)。

3.防人

介紹完技術(shù)上的防護(hù)，接下來(lái)再講解一下對(duì)抗社會(huì)工程的防護(hù)方案。

一個(gè)真正安全的體系架構(gòu)中，只有技術(shù)是不行的，還要結(jié)合具體業(yè)務(wù)和流程制度制定合理的管理方法。在日常運(yùn)營(yíng)中，有些企業(yè)往往只偏重技術(shù)和設(shè)備上的硬防護(hù)，而缺少制度和管理的軟防護(hù)。筆者曾見(jiàn)過(guò)一家公司的機(jī)房和食堂建在一起，大門從不上鎖，也沒(méi)有專門的機(jī)房管理者，帶來(lái)嚴(yán)重的安全隱患，攻擊者或許只需要帶上U盤，就可以輕松獲取公司內(nèi)部的核心數(shù)據(jù)。

圖3 某客戶外網(wǎng)防護(hù)體系

圖4 某客戶內(nèi)網(wǎng)防護(hù)體系

圖5 管理制度保障安全

因此，在注重技術(shù)防護(hù)的同時(shí)還要建立合理有效的流程管理制度（如圖5），比如建立多因素認(rèn)證體系、對(duì)重要區(qū)域上鎖、安排門衛(wèi)人員值班、安裝攝像頭等。同時(shí)還要增強(qiáng)員工的安全意識(shí)，定期進(jìn)行安全培訓(xùn)，在工作中養(yǎng)成良好的習(xí)慣，提高警惕意識(shí)，特別要防范陌生人甚至是熟人對(duì)于接觸公司敏感核心數(shù)據(jù)的請(qǐng)求。

主動(dòng)防御

作為防守方也不能總是處于被動(dòng)挨打狀態(tài)，建立主動(dòng)防御體系也是非常重要的。

1.漏洞挖掘主動(dòng)發(fā)現(xiàn)漏洞最常見(jiàn)的方法就是漏洞掃描和滲透測(cè)試。很多企業(yè)都會(huì)將漏洞掃描作為定期的例行工作去做，使用漏洞掃描設(shè)備可以提高發(fā)現(xiàn)漏洞的效率。該過(guò)程是自動(dòng)化的，且掃描范圍也可以非常大。其專注于網(wǎng)絡(luò)或應(yīng)用層上的已知漏洞，漏洞掃描不涉及漏洞利用，其目標(biāo)只是發(fā)現(xiàn)漏洞。

圖6 綠盟科技預(yù)警運(yùn)營(yíng)流程

相對(duì)于漏洞掃描，滲透測(cè)試范圍是針對(duì)性的，而且總有人的因素參與其中，效率相對(duì)于漏洞掃描也更低。測(cè)試人員往往可以利用最新的漏洞，或者發(fā)現(xiàn)正常業(yè)務(wù)流程中的邏輯缺陷，這一過(guò)程可能需要幾天到幾個(gè)星期的時(shí)間，但是通過(guò)滲透測(cè)試可以及時(shí)發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞和未知的漏洞，這些優(yōu)勢(shì)是漏洞掃描不具備的。

漏洞掃描替代不了滲透測(cè)試，而滲透測(cè)試本身也守不住整個(gè)網(wǎng)絡(luò)的安全，只有將兩者進(jìn)行有效結(jié)合才能有效地增強(qiáng)信息系統(tǒng)的安全性。當(dāng)發(fā)現(xiàn)漏洞后，可結(jié)合漏洞管理生命周期，在攻擊者展開(kāi)攻擊之前封堵缺陷。

2.威脅預(yù)警

如今來(lái)自互聯(lián)網(wǎng)的未知威脅越來(lái)越多，企業(yè)需建立安全預(yù)警體系來(lái)及時(shí)應(yīng)對(duì)突發(fā)威脅，及時(shí)發(fā)現(xiàn)高危漏洞、病毒暴發(fā)等高危事件，并進(jìn)行快速分析處理，最終形成結(jié)合本地運(yùn)維和防護(hù)產(chǎn)品的一體化防護(hù)體系，解決威脅預(yù)警難落地的問(wèn)題。

威脅預(yù)警可結(jié)合企業(yè)安全運(yùn)維團(tuán)隊(duì)，針對(duì)提高突發(fā)威脅的快速響應(yīng)能力，提升未知威脅的處置能力，幫助企業(yè)提升所有環(huán)境中情報(bào)驅(qū)動(dòng)型業(yè)務(wù)的成熟度。圖6為安全服務(wù)團(tuán)隊(duì)建立的預(yù)警體系。

持續(xù)運(yùn)營(yíng)

技術(shù)體系和管理體系建立完成后，就要讓其真正發(fā)揮作用，但是在實(shí)際運(yùn)營(yíng)過(guò)程中，又會(huì)發(fā)現(xiàn)很多新的問(wèn)題，例如：

“公司購(gòu)買了掃描器，但沒(méi)有例行使用起來(lái)，因?yàn)橐粧呙铇I(yè)務(wù)系統(tǒng)就掛了?！?/p>

“升級(jí)了硬件，優(yōu)化了軟件，掃描器終于例行跑了，但好多漏洞都檢測(cè)不出來(lái)啊?！?/p>

“終于換了一個(gè)檢測(cè)率高的漏掃設(shè)備，但誤報(bào)也高。”

“IDS、IPS、WAF統(tǒng)統(tǒng)都有，但告警量太大，沒(méi)法分析?！?/p>

“告警量太大，終于通過(guò)加人手的方式解決了，分析的結(jié)果就是誤報(bào)多了點(diǎn)，一天一萬(wàn)條，我們就當(dāng)沒(méi)問(wèn)題吧。”

“找了廠商的人來(lái)做了規(guī)則優(yōu)化，終于解決了大量誤報(bào)的問(wèn)題，但是看不懂告警是什么意思，還是不知道到底是不是誤報(bào)?！?/p>

……

想必這些問(wèn)題一定引起了大家的共鳴，安全設(shè)備部署齊全了，但是沒(méi)有發(fā)揮出真正的作用，流程制定了卻難以落地執(zhí)行。

為解決這些問(wèn)題，安全運(yùn)營(yíng)也就隨之而生，它貫穿產(chǎn)品研發(fā)、業(yè)務(wù)運(yùn)行、漏洞修復(fù)等一系列環(huán)節(jié)，實(shí)行系統(tǒng)的管理方法和流程，將各個(gè)環(huán)節(jié)的安全防控作用有機(jī)結(jié)合，旨在真正將安全防護(hù)落地。

下面介紹一下安全運(yùn)營(yíng)中的三個(gè)重要環(huán)節(jié)，旨在起到拋磚引玉的作用，實(shí)際上真正的安全運(yùn)營(yíng)的內(nèi)容要豐富得多。

圖7 應(yīng)急響應(yīng)閉環(huán)

1.規(guī)則優(yōu)化

規(guī)則優(yōu)化分為兩個(gè)方面：一是針對(duì)規(guī)則開(kāi)發(fā)，二是針對(duì)規(guī)則過(guò)濾。

對(duì)于產(chǎn)品，工程師在規(guī)則研發(fā)的時(shí)候，需要完善規(guī)則的相關(guān)信息，比如漏洞概述、漏洞影響的產(chǎn)品版本、相關(guān)的CVE編號(hào)等，信息提供得越全，前場(chǎng)監(jiān)控人員越容易進(jìn)行分析判斷，從產(chǎn)品源頭對(duì)規(guī)則進(jìn)行信息完善，則會(huì)給使用者帶來(lái)極大的方便。

在使用相關(guān)產(chǎn)品進(jìn)行監(jiān)控的時(shí)候，應(yīng)注意總結(jié)常見(jiàn)告警的特點(diǎn)，特別是在業(yè)務(wù)相對(duì)固定的內(nèi)網(wǎng)環(huán)境中，穩(wěn)定的通信特征通常會(huì)產(chǎn)生特定的幾種告警，這樣重點(diǎn)關(guān)注的范圍就會(huì)明顯減少。當(dāng)總結(jié)出規(guī)律之后，結(jié)合自身的業(yè)務(wù)進(jìn)行逐個(gè)分析，對(duì)于誤報(bào)的規(guī)則可以選擇進(jìn)行白名單處理，這樣就會(huì)大大減少告警事件。

2.應(yīng)急響應(yīng)

為了快速處置攻擊事件，很多企業(yè)都會(huì)組建應(yīng)急響應(yīng)小組。組建這樣的團(tuán)隊(duì)，在事前準(zhǔn)備階段首先要對(duì)公司內(nèi)部的網(wǎng)絡(luò)架構(gòu)非常熟悉，確認(rèn)有哪些資產(chǎn)，哪些服務(wù)器可通過(guò)外網(wǎng)訪問(wèn)，哪些服務(wù)器可通過(guò)內(nèi)網(wǎng)訪問(wèn)，各設(shè)備部署了哪些應(yīng)用，應(yīng)用的版本是多少，包括公司內(nèi)部的流程制度都要了解?；谶@樣的前提，當(dāng)事件發(fā)生后才能快速定位問(wèn)題，從而將損失最小化。

針對(duì)一些可以預(yù)見(jiàn)的威脅，需要事先設(shè)計(jì)多套應(yīng)急預(yù)案，以應(yīng)對(duì)不同的特殊情況，這樣才能快速地處理已發(fā)生的威脅。

事中檢測(cè)和分析階段，需要結(jié)合現(xiàn)有的情報(bào)和產(chǎn)品，快速定位問(wèn)題根源，在開(kāi)始處置風(fēng)險(xiǎn)之前，應(yīng)先將風(fēng)險(xiǎn)進(jìn)行抑制，防止風(fēng)險(xiǎn)擴(kuò)大化。比如對(duì)問(wèn)題主機(jī)進(jìn)行網(wǎng)絡(luò)隔離，之后才是對(duì)威脅進(jìn)行處理，包括從主機(jī)層、網(wǎng)絡(luò)層進(jìn)行取證，盡量多地收集信息以輔助事件分析。

事件處置完成后，還要進(jìn)行經(jīng)驗(yàn)總結(jié)和分享，積累到知識(shí)庫(kù)中用于下一次應(yīng)急響應(yīng)，從而形成閉環(huán)的應(yīng)急響應(yīng)體系（如圖7所示）。

3.DevSecOps

隨著DevOps的變化，傳統(tǒng)安全不再是一種附加項(xiàng)。在開(kāi)發(fā)周期中，安全的位置太靠后，與迭代設(shè)計(jì)和系統(tǒng)發(fā)布相協(xié)作時(shí)，它又不夠迅速，因此DevSecOps應(yīng)運(yùn)而生。

傳統(tǒng)的安全部門通常與研發(fā)、運(yùn)維團(tuán)隊(duì)是對(duì)立的，因?yàn)榘踩?wù)部的存在會(huì)導(dǎo)致研發(fā)交付延期、運(yùn)維成本增加。而DevSecOps的理念則是使三者成為相互協(xié)作的系統(tǒng)，從而轉(zhuǎn)變傳統(tǒng)的對(duì)立關(guān)系，安全也不再具有滯后性，而是融入開(kāi)發(fā)、運(yùn)維和業(yè)務(wù)流程之中，從而在開(kāi)發(fā)的源頭解決安全問(wèn)題。

企業(yè)應(yīng)該結(jié)合自身的開(kāi)發(fā)流程制定適合自己的DevSecOps體系，安全服務(wù)部基于來(lái)自客戶多樣的需求，正在進(jìn)行DevSecOps產(chǎn)品的研發(fā)，旨在真正解決客戶的問(wèn)題，將開(kāi)發(fā)、安全、運(yùn)維有機(jī)地結(jié)合起來(lái)。