11月23日,由广东省公安厅指导,广东省计算机信息网络安全协会主办,深信服科技股份有限公司承办的“红帽杯网络安全攻防与人才培养论坛”于广州成功举办。
在会上,深信服安全服务cto李焕波谈到——
过去,企业做好网络层和端点保护就已足够,但现在,各种应用、云服务和移动设备越来越多,企业面对的攻击面也急剧扩大。数字时代,如何让安全更有效?我们的答案是,构建以安全效果为目标、以‘人机共智’为驱动的持续化安全运营体系。
▲深信服安全服务cto 李焕波
现场,李焕波介绍了当前数字时代的网络安全新挑战、网络安全运营新体系,并对外分享了深信服助力企业构建安全运营体系的实战经验。
数字时代的网络安全新挑战
当前数字化的应用领域正从互联网行业向政府、金融、零售、农业、工业、交通、物流、医疗健康等行业深入。其中,政府、零售业等将成为受云计算、人工智能、iot等新技术影响最深的行业领域,在未来3-5年内,数字化程度有望达到70%-80%。随着各行业数字化转型速度不断加快,各种应用、云服务和移动设备越来越多,企业面对的攻击面也急剧扩大。
同时,外部的安全形势也变得更加严峻。首先,外部威胁变化加快,根据国家权威机构cncert披露,去年出现的勒索软件数量高达14万个,其中一款勒索软件一年时间迭代19个版本,平均19天就会出现一个变种,这些威胁直接增加了各行业网络安全事件爆发的几率。
安全事件频发的本质是攻防上的不对等,黑客往往是先手一方,敌在暗,我在明处,一次成功的黑客攻击,黑客可以做到速战速决,而防守方为了及时发现入侵并控制安全事件带来的影响,往往需要耗费大量的建设时间和人力成本。
李焕波提到,传统的安全运维体系,安全效果很难达到预期。传统的安全运维体系往往具有以下四个特点:
1. 纯防御 呆控制
传统的安全运维体系以防御为主,但业务所需的安全保护却不能及时到位,最终常常会制约业务开展。
2. 不协同 难管理
传统的安全运维体系分对象构建安全保护措施,各自为政,难以联合和管理,面对高级威胁或复合型攻击束手无策。
3. 缺感知 不可视
在面对新型网络安全威胁时,传统的安全运维体系在被攻击之后,难以查明攻击来源、途径和过程,也很难确定是否有攻击事件发生、是否有潜在的危险。
4. 轻运营+难进化
在需要应用新it技术或根据业务提出新安全需求时,传统的安全运维体系调整往往流程繁琐、响应迟钝,并且往往不具备7*24小时网络安全保障能力。
数字时代下网络安全运营新体系
为更好应对数字时代的网络安全新挑战,深信服构建了以安全效果为目标、以“人机共智”为驱动的持续化安全运营体系。
1. 以安全效果为目标
通过管理资产、漏洞、威胁以及事件在内的四个控制要素,结合“人机共智”模式开展持续化的网络安全保障工作,实现安全合规、风险可控、能力提升、价值呈现。
以安全效果为目标,要在日常工作中对资产、漏洞、威胁以及事件在内的四个控制要素进行把控,在快速响应流程和安全专家支持下,大幅度降低安全事件发生的概率,同时提升整个组织的安全能力,实现安全合规,风险可控。在此过程中,深信服可以对用户进行能力提升,将安全工作的价值呈现出来。
2. 以“人机共智”为驱动
深信服“人机共智”的安全运营技术架构,首先会对用户资产的日志数据进行搜集过滤,并按照相关合规要求做脱敏处理并加密传输到云端,同时通过强大的ai分析能力与3级安全专家梯队(t1\t2\t3)形成“人机共智”。在安全事件发生时,遵照标准化的响应流程(监测、分析、通告、处置),输出精准的安全事件研判信息和解决办法,并及时通告给用户,协同用户一起进行处置工作。
▲“人机共智”的安全运营技术架构
深信服安全运营体系的背后,主要由以下3点做支撑:
1. 基于业界最佳实践的威胁检测技术
mitre的att&ck是当前最流行威胁检测框架,这个框架系统地描述了黑客攻击过程的十二个阶段,从初始化,到中间的横向移动到最后窃取数据造成影响,所有已发现的黑客攻击手法和检测建议都收录在里面,由业界全球顶尖攻防专家共同维护。
深信服依托自身近20年的安全沉淀,对标att&ck框架,具备全面的网络检测和端点检测能力,结合云端强大的威胁情报能力、ai检测能力(200 个usecase)以及专家研判能力,为用户输出精准的告警研判信息。
2. 基于ooda循环的动态响应机制
ooda环,又称博依德环,由美国空军上校约翰·博依德(john boyd)提出,最早应用于美国空军的战术,美军在海湾战争中大放异彩很大原因归功于这个战术。现被广泛应用于网络战、诉讼战以及金融战。深信服安全运营体系应用ooda,通过系统化的动态响应机制,来解决与黑客攻防对抗过程中的及时监测与响应问题,通过自动化的操作流程(playbook runbook),协同用户快速处置并控制安全事件的风险。
3. 7*24小时在线的安全服务专家体系
目前深信服安全运营体系拥有完善的三级安全专家梯队。其中涉及病毒专家、安全数据分析专家、安全事件响应专家、威胁追踪专家、情报分析专家、安全架构专家、web安全专家、渗透测试专家、漏洞挖掘专家等等,安全专家团队在各自领域拥有丰富的专业经验,通过集中办公将各自优势整合统一,帮助用户应对各类风险。
▲7*24 在线的安全服务专家体系
依托近20年的安全能力沉淀,深信服为用户构建以安全效果为目标、以“人机共智”为驱动的持续化安全运营体系,涵盖日常管理、隐患排查、应急响应等典型场景,帮助组织单位快速提升安全运营水平,7*24h守护用户的信息资产,真正帮助用户实现“面向未来 有效保护”的安全能力!