攻防常态化背景下安全运营体系建设如何提质增效?|专家对话

发表时间: 2024-09-18 06:10:54 作者: 资质荣誉

  攻防常态化背景下,安全运营体系建设如何提质增效?|专家对线 【 来源 : 信阳日报数字报刊 】

  在数字化转型加速的背景下,企业不仅要应对一直在变化的市场环境,还需确保网络安全的稳定性和可靠性。当前,实网攻防日趋常态化,尤其今年攻防演练行动的特殊变化,时间长度拉长、参与主体增多,安全挑战升级,对企业整体的安全防御能力提出了更高的要求。

  攻防演练重要阶段,企业怎么样应对防御压力升级?攻防演练中的经验、教训如何沉淀成企业的数字化安全建设的“硬肌肉”?

  腾讯安全和数世咨询联合打造《安全先行者》研讨,由数世咨询创始人李少鹏主持,并邀请到乐信集团信息安全中心总监刘志诚、腾讯玄武实验室产业安全负责人周君宇,从甲方建设、乙方产品及服务、第三方观察三个视角,深度分析重保期实网攻防下安全防御的变化发展,复盘金融企业安全布防思路,从实战经验中提炼有效的手段及解决方案助力企业提高网络安全威胁防范能力。

  从整体的安全建设工作角度来说,企业要对安全风险进行判断和识别,并进行一定的能力建设,以及持续的安全运营。因此近些年,基于BaaS的攻防演练已成为检验企业实际安全水平的重要手段之一,攻防演练呈现出从静态检验到动态的实战化检验的变化趋势。

  从攻击方视角,企业整体的安全水位逐年提升,攻防演练难度持续不断的增加,对企业内网的突破渗透已逐渐升级到0day漏洞、供应链攻击等高级攻击手段,这在某种程度上预示着需要更高精尖的技术人才,成本也慢慢变得高。我们也在尝试将安全专家的知识经验沉淀到工具中,将大量的可重复性操作或较低技术上的含金量的操作自动化,通过自动化替代人工以减少对人力的需求。

  使用不当或配置有误,其效果将大打折扣。安全体系是系统化的,这不仅考验乙方的产品能力,也考验甲方对安全产品的综合应用能力。例如,尽管近年来攻击溯源不再作为加分项,但蜜罐对公司安全防御仍具备极其重大意义,因为攻击者进入内网后通常会进行持续的探测和扫描,蜜罐可以及时有效地发现这些攻击行为。例如SOC、SIEM等,可以对安全日志做综合分析,从而提升企业的主动防御能力。

  现在的研究方向偏向于“攻击不可见”,即如何绕开安全设备告警。每个安全设备都有盲点,这种规避技术相当于从安全检测根源上进行规避,而不是针对某一条规则,这在原理上很难解决。从攻击者视角,钓鱼攻击的性价比远高于0day漏洞攻击。企业员工的流动性增加了钓鱼的机会,攻入内网的成功率也更高,而0day漏洞的挖掘成本更高,时间也比较长。例如,很多主机安全产品会使用正则表达式来检测命令行,攻击者若使用自研工具生成无特征的命令行就可以避开安全检测。主机安全产品当然能够正常的使用更高级的检验测试手段,但同时也会产生大量误报,这就需要在误报量和检测精度之间进行权衡。

  反钓鱼攻击很重要,也是企业安全建设最大的盲区之一。很多企业都会开展安全意识教育,当然总有部分员工不参与,而钓鱼攻击往往也都是从这些员工身上进行突破。针对这部分员工,我们会进行内部的钓鱼攻防演练,重点培训。但因为人员的生命周期管理,这是一个持续不断的长期过程,不可能一蹴而就。

  企业作为防守方,应建立起多层次的纵深防御体系。有一种说法,安全的预算没有上限,其实安全防御手段也是。比如我们刚才提到的,现在很多安全手段是基于关键词和正则表达式,这必然会带来一定的漏报和误报,因为规则检测不能够做到实时更新。

  比如企业内部资产的生命周期管理、威胁暴露面管理、办公网与业务网隔离的问题等,整体的防守策略很关键。我们也在研究基于大模型、机器学习的方法来替代关键词检测等,逐步降低被轻易攻破的概率,当然技术升级需要一个过程,需要投入大量的数据训练,以及威胁情报的持续更新等等。

  攻击方实际上的意思就是合规问题,确保所有的行为符合攻防演练的规则。防守方的主要压力在于资源的投入,以前可能能够最终靠外包驻场的方式来应对,但是攻防常态化下显然是不可行的。重点是日常的防御工作,比如对攻击方常用的工具、渗透平台、测绘工具等进行全局的扫描,发现存在的风险从而针对性地补足。

  防守方需要提高自身风险感知能力,确保能够及时有效地发现并应对安全威胁,避免数据泄露和更严重的损失。常态化地进行安全检测和防御工作不仅能减少突发压力,还能提升整体安全水平,在真正面临威胁时从容应对,减少风险和损失。

  企业一定要了解自身资产、漏洞和面临的威胁,并能及时有效地发现事件。资产管理其实是从安全属性出发,动态的、全生命周期的资产管理,能够跟踪所有变更并及时预警问题。这不仅包括互联网暴露资产,也包括企业内部资产,需要整合各个资产管理系统,并确保它们的安全属性和变更过程都在掌控之中。

  这其实也取决于自身资产的可见性,以及第三方威胁情报。这两年也常见通过ATT&CK、威胁狩猎的方式,形成攻击链,虽然在真实生产环境中很难实现,但可以以此作为追溯依据。

  NDR流量数据、安全设备日志等各种数据汇聚在一起,进行关联分析,需要克服不同厂商数据不兼容、数据降噪等问题,让SEIM、SOC和XDR等系统发挥真正的作用不太容易,这其实是一个逐步整合的过程。

  一是资源整合,员工的安全意识教育需要到位;二是外部的联动协作,企业能够与安全厂商、监管部门建立起良性的沟通机制。

  腾讯构建了数字安全免疫力模型,在这个模型指引下提供多种产品和技术上的支持,帮助企业化被动为主动。腾讯安全NDR天幕安全治理平台,有别于传统串联防火墙,通过旁路部署的方式,无变更、无侵入地实现秒级实时阻断,这在腾讯内部已得到验证。

  iOA,集成下一代VPN、EDR、DLP和网络准入NAC等多重能力,全面守护企业终端安全。腾讯天御风控解决方案,以AI为核心,为金融领域客户提供欺诈识别、金融级身份认证等服务。在数据安全方面,腾讯安全也推出了一站式的数据安全治理方案,帮助客户实现一站式数据安全建设和高效数据安全治理运营。



最新文章
相关产品