这个迷宫似乎没有终点,挑战完第一个阶段的任务,就会点亮下一阶段的迷宫地图。有些人选择不断走进下一个迷宫地图,在一次次挑战中突破能力边界。
探索迷宫的过程中我们会不断碰壁,但如果原地踏步,越来越多的“危险”将从入口涌进,将我们吞噬。
多年以后,面对愈发复杂的网络攻击,大多数人将会回想起站在迷宫门口,选择走进去的那个遥远的决定。
回过头来看,或许应该思考的是:我们为什么要走进来?安全运营建设的「初心」是什么?
今天,深信服想回顾8年安全运营建设的探索之路,希望与你找到共鸣、找回「初心」。
01
探索之路
亦是技术的迭代发展之路
这是一段不断创新,又不断纠错改进的旅程。
从最开始整合安全设备告警的SIEM模式,到中期提升检测能力的NDR模式,再到当前以还原完整攻击故事线、提升实战化威胁对抗能力的XDR模式,深信服始终走在技术探索的前沿。
顺应技术的发展潮流,深信服完成三阶段安全运营建设,最终实现有效实战对抗的安全运营方案的逐步升级:
1. 采集资产信息和设备日志,构建立体防御能力
防御、检测、响应,是任何安全体系架构的核心,因此安全工作的第一步,是完成立体防御架构的搭建。
当时,我们有几十个海内外分支机构,数十万部署在各地数据中心、网络的服务器和终端资产,需要在互联网出口与办公网、研发网边界等部署大量安全设备。
我们先将34个数据中心,以及网络出口、服务器网段、核心资产,梳理出完整的攻击路径,并进行风险评估。
得益于网络防御技术日趋成熟,我们通过部署下一代防火墙AF、IPS等50多台各类安全设备,强化边界防护体系。
这时,我们考虑能否有一个平台,通过汇总展示所有防护设备的安全告警和事件,以提升工作效率。
我们收集了现网中所有防火墙、IPS等各类安全设备和服务器、交换机等网络设备的日志,通过SIEM技术满足基础威胁管理与合规需求。
然而,基于“二手数据”采集的SIEM技术,只是数据的简单糅合而缺乏关联分析,无法有效提升检测能力。
在实际工作中,噪音大、告警多,威胁难检出、难溯源、难响应的问题,依然没有得到有效解决。
2. 组件+服务,安全可感知,事件可闭环
随着网络复杂性愈演愈烈、网络弱点越来越多,利用边界防护设备阻止黑客进入内网的难度加强。“攻防不对等”的鸿沟日益拉大。
2018年,网络攻击的数量呈指数级增长,我们看到太多国际知名企业,乃至重大国际性活动都遭受黑客攻击。
我们深刻剖了这些事件暴露出的层层问题:
无法应对不断升级的攻击手段
APT攻击频发,事后检测成本增高。基于黑白名单、签名和规则特征的安全威胁发现手段,已不能应对不断发展的网络威胁和IT环境。
无法定位威胁根因
一旦发生安全事件时,我们常常因为缺乏终端数据关联分析,而无法定位到根因。
无法保障攻防对抗持续性
安全运营人员无法全天候值守,同时面对大量安全事件和告警分析工作,其精力完全难以招架。
为解决以上三个问题,我们分三个步骤建立起“SIP+端点防护+MSS”的方案:
STEP 1:强化威胁主动检测
我们开始着手从过去单一设备、单一方法、仅关注防御的安全体系,升级为基于全局视角,强化威胁检测、调查等能力,以应对不断变化的威胁。
以流量检测响应技术为核心,我们研发出安全感知管理平台SIP,并在集团节点部署了16台探针、6台SIP集群,将IP及资产关系进行导入,达到初步安全感知。
STEP 2:建立终端侧防护
面对全集团50+分支,日益增加的BYOD办公设备,建立终端安全体系迫在眉睫。
借助零信任方案的落地推广(点击跳转:深信服零信任的0号样板点),我们在集团1.5万个终端部署终端安全管理系统EDR、3个MGR管理端。
后续通过零信任与EDR的对接,我们做到人机对应,实现安全事件溯源快速精准定位到人。
STEP 3:服务闭环安全事件
为了解决攻防对抗连续性和人员精力的问题,安全托管服务MSS应运而生。我们将EDR、SIP接入MSS,以7*24小时持续在线服务,提供专家级能力支撑。
基于过往安全建设的持续投入,深信服安全运营体系能力不断加强,至此能有效满足常态化安全运营场景的各类需求。
18221259202