文章来源自公众号:知其安科技
过去几年,我们先后拜访了几百家企业,数千位客户,客户们可能处在不同区域、不同行业、不同规模、不同职位,但都有一个共同的痛点:如何将最佳实践结合公司实际情况进行落地。
这里面有2个关键词,和3大挑战。
关键词一是最佳实践。于甲方而言,很多工作已经有同行在探索并取得了较好的成果,属于行业共性问题。但如何获取到最佳实践?此为挑战之一。对于大部分甲方而言,没有足够的渠道能获取到本行业最佳实践的细节信息,对于跨行业的实践就更难获取。
关键词二是实际情况。“家家有本难念的经”,再好的最佳实践,也很难拿来就用。企业往往面临着安全团队人力有限的挑战,此为其二。
不同时间周期,企业对于实践的要求也不一样,比如季度规划、一年规划、三年规划的侧重点自然不一样,时间的挑战为其三。
不同级别的领导,对于“最佳实践”要解决的问题范围也不一样。
在分管领导这一层,看重“面”上的思路,要有清晰的网络安全规划,要与业务和IT数字化转型工作相适应,要对齐行业标杆。对于每一个规划模块,也要有对应的体系框架,在公司内部形成Roadmap,达成共识。此外,要统筹总部和分支机构,做好宣传教育、日常演练工作。
在安全主管这一层,看重“线”和“点”上的落地。网络安全、基础设施安全、应用安全、开发安全、数据安全等都是一条条的线,具体到应用安全这条“线”,如何用好IAST/DAST/SAST,对发现的问题做好闭环管理,就是一个个具体的点。
为了帮助企业客户从点、线、面各层级解决“将最佳实践结合公司实际情况进行落地”,仅仅依靠产品,已经很难满足安全运营时代的需求。
为此,知其安基于创始人团队很多成员来自甲方,具有丰富的甲方实践经历这一背景,结合知其安在安全运营领域丰富的项目实施经验积累,推出三类八项安全运营服务。
计算机本身是分层的,从网络层、系统层、应用层,到身份层、数据层、业务层。过去二十多年我们做安全的思路是:
“在不同层上通过单点防御,构建纵深防御”
比如,在网络层部署防火墙,实现内外网隔离;在系统层部署防病毒、HIDS,实现恶意代码防护;在应用层部署 WAF、漏扫解决应用漏洞问题;在数据层部署各类 DLP解决数据泄露防护问题,等等。
怎么将购买的安全工具的效果发挥出来? 产生的安全日志如何进行过滤,找到真正需要处理的高风险告警? 根据告警和安全事件,怎么优化现有的安全策略,降低安全设备的使用成本? 现有的网络安全架构怎样调整能够支撑网络安全新目标的实现?
这些需求和问题属于安全运营的范畴,而安全运营是解决怎么用好安全产品的问题,是“最佳实践的复制”,是甲方的安全管理和安全体系流程化,最佳实践的传递和固化。需要结合甲方的安全实际情况、安全风险偏好和容忍度,来确定本企业的最佳解决方案,需要有丰富的甲方实践经验才有可能落地一套可行的覆盖架构+工具平台+流程+度量的安全运营体系。
(一)网络安全规划
1.1 安全运营专项规划
内容:组织架构、职责划分、人员数量、工具、流程、数据指标等,对标业界不同行业(银行、证券、能源、运营商、央企、高端制造)、不同规模的最佳实践,协助甲方客户制定安全运营专项规划。
价值:知其安熟悉业界安全运营整体情况、安全运营监管政策,协助甲方制定的安全运营专项规划科学、实战、具可落地性。
1.2 网络安全架构规划
内容:越来越多的安全问题不是添加一个产品、购买一个服务能够解决的,而是涉及到底层的安全架构,甚至是 IT 基础架构的变化。网络安全架构规划,是通过规划网络安全底层架构,如统一身份认证架构、安全检测模式从黑名单转为白名单、安全左移架构等等。
价值:越来越多的公司领导、分管安全的 CIO,需要安全团队从底层网络安全架构上进行规划,从源头和架构上解决安全问题。本专项规划为安全团队提供经实践检验的网络安全架构,满足公司业务和 IT发展所需。
1.3 其它网络安全规划
如网络安全三年规划、开发安全三年规划等。
(二)安全运营服务
2.1 安全验证服务
内容:为企业不同安全防护场景提供安全验证服务,发现企业在面临真实攻击时,网络安全防护的短板和失效点。可以验证和评估的场景包括:边界安全、邮件安全、终端安全、访问控制隔离有效性、HW 专项、覆盖度排查专项等。
价值:先于攻击者、安全事件、数据泄露事件发生前,掌握自己防御体系的短板和失效点。
2.2 勒索防护能力检查和评估服务
近期金融行业勒索攻击事件频发,勒索攻击不是新技术,是各类攻击技术的组合,导致防御面非常大,勒索攻击防护也就成为了体系化对抗和防御。
内容:
我们会模拟勒索攻击的三个阶段:
在感染植入阶段,我们会模拟:边界侧404个高危漏洞攻击;邮件侧,模拟各类勒索病毒邮件攻击;终端和主机侧,模拟各类勒索家族样本和域名请求。
在扩散传播阶段,我们会模拟:勒索软件的横向移动和RDP3389端口爆破等行为;模拟勒索组织的域名请求、下载勒索组织的样本;模拟建立勒索软件持久化与C2的通讯;模拟批处理移除防病毒软件、关闭备份、拷贝数据等。
在加密勒索阶段,我们会模拟勒索软件的各类加密行为。
通过模拟勒索软件三个关键阶段的攻击行为,以及 70 多个常见活跃勒索组织的攻击行为,收集企业防御体系的拦截和告警的结果。
自动化比对分析勒索组织的这些动作和行为,防御体系能够做到多少有效的拦截和告警?
评估勒索防护能力的真实情况,来发现勒索防护措施的短板和失效点。
价值:针对勒索攻击防护措施存在失效,难以快速发现技术防护薄弱点,以及难以快速检查和评估分子机构和海外机构勒索防护能力等问题,我们已经给30多家银行和集团做过勒索软件的防护能力的验证,提供勒索防护自查报告。我们也配合很多银行总行,对各分行,特别是海外分行、下属子公司进行勒索防护能力的检查和评估服务,协助甲方落实监管机构(金监局、人民银行、证监会)防范勒索攻击下发的各类文件要求。简言之:
协助甲方客户:主动掌握企业防范勒索攻击存在的短板和失效点,快速检查和评估分子机构和海外机构勒索防护能力,实现勒索防护能力的实战化、量化评估。
知其安
2.3 安全策略优化服务
购买和使用同样安全产品的甲方,在安全防护效果上会有很大的差别。
比如边界安全防护上,同样的一组验证用例,拦截效果最高的是一家股份制银行,达到 98.7%,而有另外一家使用了同样安全产品的用户,拦截率不足 20%,安全效果巨大差异的原因是:安全策略不同。安全产品像开飞机一样,需要安全人员具备飞行员驾驶飞机一样,具备高度专业能力才能使用。安全策略设置和优化是安全产品发挥效果的关键点。
内容:对不同防护场景进行有效性验证,找到各个场景防护能力的短板或失效点,根据短板和失效点内容输出《安全策略优化方案》,协助甲方优化WAF、HIDS、EDR、DLP 等安全策略,策略优化后进行复验 ,提升安全防护效果。
价值:提升安全防护效果,降低安全设备使用成本。
(三)安全运营大赛
3.1 安全运营大赛承办
以安全有效性验证作为演练平台,选择不同场景及用例,针对各下属单位的安全运营能力展开实网验证,检验各下属单位在复杂网络环境下的安全防御能力和应急响应速度,协助各参演单位开展策略比对和分析。通过演练平台的结果进行评分,创造竞争气氛,提高安全运营实战能力。
3.2 沙盘推演大赛承办
攻防双方根据设定好的攻防目标,开展桌面推演。攻防双方将各自陈述攻击和防守方案,并进行攻守自由辩论,最终由裁判根据攻防双方的方案完备性、科学性,应急处置、备份恢复、业务影响等方面打分,决出胜负。 比如设定推演科目:通过构建体系化攻击谋略导致上海某金融系统瘫痪。攻防双方围绕“武器构建、防御突破、检测规避、致命伤害”的四大核心展开,重点针对“CNAPS&SWIFT&CIPS”三大核心交易系统进行精准突破,有效保证后续攻击导致xx金融交易瘫痪效果。
(一)懂安全,更懂甲方实际需求
| 服务专家 | 角色 | 擅长领域 | 过往履历 |
| 谭晓生 | 首席科学家 首席专家 |
| 360 |
| 李吉慧 | 首席顾问 首席专家 |
| 民生银行 中国信息安全测评中心 |
| 聂君 | 产品经理 实施专家 |
| 招商银行 安信证券 京东集团 |
| 郭威 | 质量经理 实施专家 |
| 深交所 腾讯 |
| 邱守昆 | 实施专家 |
| 启明星辰 默安 |
| 罗海龙 | 实施专家 |
| 奇安信 亚信安全 趋势科技 |
谭晓生,知其安首席科学家,安全服务团队首席服务专家
个人简介:北京赛博英杰科技有限公司创始人、董事长,高级工程师,正奇学苑网络安全创业营创始人,前360集团技术总裁、首席安全官,2020年获工业和信息化部网络安全产业发展中心首批网络安全创新创业导师称号,2018年获中国互联网发展基金会网络安全优秀人才称号,中国计算机学会(CCF)理事、CCF YOCSEF秘书长,2012年获中关村高端领军人才称号,教育部安全科学与工程类专业教指委委员。曾作为公安部网络安全专家参加从93安保开始的若干次重大活动安保活动。
聂君,知其安合伙人,安全服务团队产品经理、实施专家
个人简介:曾任京东集团信息安全部高级总监、安信证券信息技术部安全总监(一级部门副总经理级)、招商银行总行信息技术部安全处长,是招商银行和安信证券网络安全建设主要负责人。技术公众号“君哥的体历”,安全专业人员订阅3万+,贡献了200多篇原创技术文章。2009 年开始专注在安全运营领域,2016 年公众号文章首次提出“安全有效性验证”概念,领先国外 7 年,被誉为“安全运营四杰”。牵头制定了两项金融行业安全标准。出版个人专著《企业安全建设指南:金融行业安全架构与技术实践》。目前担任多家大型金融机构特聘专家顾问,具备丰富的监管沟通经验。
郭威,知其安合伙人,安全服务团队质量经理、实施专家
个人简介:知其安科技公司CTO。曾任腾讯安全技术运营总监,深圳证券交易所网络安全主管,被誉为“证券行业护网第一人”。具备长期的甲方安全建设经验。金融网络安全实验室专家库成员、深圳市网络安全人才专家库成员、深圳市金融科技委员会委员。个人公众号“SecOps急行军”,聚焦安全与运维,订阅人数过万人。
邱守昆,知其安高级总监,安全服务团队实施专家
个人简介:14年工作经验,其中3年数通经验,11年网络安全工作经验。曾任北京启明星辰信息安全技术有限公司技术总监、杭州默安科技有限公司北京业务支撑中心技术负责人&&欺骗防御业务架构师。具有PMP、CISP、CISSP、CISM等多项专业认证,在安全运营、安全有效性验证等领域具备丰富经验。现任北京知其安科高级总监。
罗海龙,知其安副总裁,安全服务团队实施专家
个人简介:曾任趋势科技(中国)技术总监/产品总监、亚信安全政府行业技术总监、奇安信副总裁/解决方案中心总经理/西部BU总经理。在网络安全行业从业24年,对网络安全服务、网络安全防护体系、运营体系有较深厚的积累,对金融、运营商、能源行业有深厚的理解,参与了08年奥运会、22年冬奥会的网络安全保障工作;是无代理安全、云安全的发起者和推动者。现任北京知其安副总裁。
知其安从安全有效性验证起步,经过多年的客户实践,积累了丰富的安全运营经验,对安全运营有了充分和深刻理解:
【安全运营是最佳实践复制】做安全一定会走到安全运营这条路上来。由于安全运营是解决怎么用好安全产品的问题,本质是“最佳实践的复制”,由于缺乏最佳实践的复制的标准,导致实际中大量依赖于人的能力和责任心,而这是不可靠的。安全运营最关键的一个指标:安全质量的稳定,所以如何使用自动化工具代替安全运营中 80% 的重复性人力工作,成为提高安全运营能力的关键。通过一系列安全运营工具链(安全验证平台、安全资产管理平台),构建精细化安全运营能力,提升安全运营可靠性,重塑网络安全产品使用方式。
【重塑网络安全产品使用方式】国外有一家新兴网络安全公司叫Reach Security,提出了:重塑网络安全产品使用方式的新概念,认为大部分甲方买了安全产品,实际发挥不到20%的安全产品的能力,所以现在不引入新的安全产品,但是尽最大努力发挥现有安全产品的价值,将原有网络安全产品使用率从20%,提升到40%,甚至60%和更高,是一种更经济更有效率的方式,这种方式就是重塑网络安全产品使用方式。简单来说就是根据企业的【当前风险情况】以及【已经有的安全产品】提出优化建议。
【精细化安全运营】安全设备的配置、使用和常态化运营,成本非常高,特别是对人的要求特别高。安全运营的本质是最佳实践的复制,所以我们给很多银行、券商提供的价值是:除了发现安全失效点以外,帮助甲方提升他的安全防护策略,建立精细化安全运营能力。比如给某股份制银行提升主机安全防护和运营能力;另一个股份制银行提升边界安全防护能力;xx 行和 xx 行提升访问控制隔离策略等。
【防御态势感知】【安全可视化和量化】安全验证帮助甲方可视化和量化安全效果,安全团队不太好讲清楚安全价值和效果,主要是可视化和量化安全效果比较困难。
目前企业安全,经常提到要掌握“攻防态势”,但其实只有攻击的态势,如发现多少攻击,检测到多少告警,这都是攻击态势,并没有防御的态势。防御的态势应该展现企业有多少重要业务和关键路径,这些业务和关键路径的防御措施部署情况:防御措施覆盖度、有效率、拦截能力。。。等。能够防御多大级别攻击,防御有效性实时情况,安全验证可以提供这些缺少的防御态势数据。
同时,安全验证,有了基础的验证元数据,可以将这些验证结果作为安全规划的输入,以及未来三年规划要做哪些,要投入哪些技术领域的依据。
【衡量安全控制措施的有效性并证明其合理性已成为企业的一项关键绩效指标】2020 年4 月,Mandiant(首个披露中国APT的公司,后被FireEye收购)出了一份报告《SECURITY EFFECTIVENESS REPORT 2020》,报告中提出,衡量安全控制措施的有效性并证明其合理性已成为企业的一项关键绩效指标,正在成为企业安全的一种趋势性需求。安全有效性验证可以量化安全措施的实际有效性,建议实施自动化进行持续安全验证。
以上是知其安在规划和落地安全运营实践中总结的一些观点,我们致力于将这些最佳实践复制给广大客户,协助客户提高安全防护能力和安全运营效率。
针对600+客户的测试部署实践,150+商业签约客户大规模部署应用,知其安攻克了复杂网络环境、大规模部署、自动化闭环等众多技术难题,对金融、运营商、能源、高端制造、互联网公司的业务和应用场景非常熟悉,积累了大量安全运营落地实践经验,具备了为各类业务、不同规模、不同成熟度企业,提供安全运营服务的能力。
知其安,懂运营,更懂行业最佳实践。
知其安参与众多的行业技术研究、标准撰写等工作,对标准和要求理解深刻,积累了丰富的合规治理经验:
《关键信息基础设施安全风险量化分析技术研究》,某部委关基课题
《基于攻击模拟技术的安全防护有效性验证体系建设》,荣获中国人民银行金融科技发展奖
证监会2023年10月发布《证券期货业信息安全运营管理指南》。知其安全程参与指南的起草、修订等工作
牵头行业标准-信通院-《网络安全产品能力评价体系 第10部分 企业网络安全措施验证平台评价方法》
参与国标《关键信息基础设施安全主动防御实施指南》编写
成功案例
(一)某大型全国股份制银行网络安全架构规划
该行在监管机构指导下,经过多年快速发展,已经建立了比较完整的网络安全工作管理制度、流程、技术和运营、组织架构和职责分工、人员和考核机制。但仍然存在一些需要不断完善的地方:缺协同,用了很多技术和产品,但还需要整合起来,能力碎片化、割裂,需要统筹起来。安全与业务融合度还需要进一步提升,不仅要降风险,也要促业务发展。安全基础需要进一步夯实,特别是在安全资产管理、数据安全、安全运营等方面还需不断完善提升。
与此同时,发现很多安全问题,过去头痛医头脚痛医脚,缺什么补什么的安全规划和解决思路,越来越难以解决剩下的安全风险和问题,安全建设进入到深水区,很多问题表面看是管理问题,其实是技术问题,最后发现是架构问题。
比如零信任是很好的安全思路,落地零信任时发现,需要 IT 基础设施之一的统一身份认证,有的系统在用本地账户认证体系,有的用IT 提供的 SSO 统一身份认证,如何统一 E 端、B 端,甚至 C 端账户,成为零信任落地好坏的前置要素。这就涉及到底层的安全架构,甚至 IT架构和业务架构问题了。
再比如,过去我们做安全,绝大多数是“黑名单”模式,我们定义一个黑特征,如果监测到这种黑特征出现就产生一笔告警(实际中具体表现是很多笔安全日志),让安全人员去调查和处置,结果要么是误报,要么确实是攻击。比如访问记录中,发现某个终端请求访问一个被威胁情报标记为恶意地址的域名,那就告警:该终端疑似感染恶意软件已经失陷。黑名单模式的弊端和明显:误报率太高。这也是安全建了这么多设备,投了这么多人,还是会不断出事,HW 被打穿,感染勒索病毒、数据被窃取等原因之一,根源是无法穷举所有恶意行为并消灭之。
安全原则从“黑名单”转成“白名单”,最大的问题是白名单对IT 基础有比较高的要求,管理成本比较高,而大多数银行,在转向白名单过程中,最大的问题是历史上的技术债务。很多老旧系统不支持改造,内网底层跑了很多不同协议,这些历史上的技术债务限制了安全转为白名单,只能在新建的 IT 基础设施中有限使用白名单原则。这也是安全架构要解决的问题之一。
安全进入到深水区甚至无人区,很多问题的解决,需要涉及到安全架构的变革,甚至涉及到 IT 架构和业务流程架构等。
知其安
该行通过半年多的网络安全架构规划,提出了一系列涉及敏捷开发、云原生、主动安全运营、数据安全、零信任、原子能力方面的安全架构规划,目标是建立“能力导向、架构驱动”的新安全体系,以安全架构设计为牵引,以建立可持续运营的安全体系为目标,博采众长,构建基础安全能力:
安全左移,通过开发安全、云原生、零信任等多项主动防御措施,从源头控制安全问题的引入,减少问题发生;
安全右移,通过高效的安全运行及时处置安全风险,人机合智, 通过自动化与智能化解决不断增长的安全日志和告警,问题发生时快速右移到事件生命周期末端;
架构优先,安全主动融合业务和 IT 架构,避免外挂式安全。
通过该网络安全架构规划,为接下来 3-5 年的安全发展统一了方向、奠定了基础,非常具有前瞻性,同时和业务、IT 战略主动融合承接,提高了业务和 IT 满意度。由于在规划时采纳了不同行业,同行业不同规模等业界非常多成熟实践,最大可能保障了架构规划的可落地性。
CTF类比赛:基于“未知攻焉知防”的思想,通过web渗透、逆向、pwn、misc等题型,提升参赛人员的“攻击”能力。获奖者往往是高校、互联网公司。 安全技能类比赛:基于“网络靶场”的思想,通过搭建一套隔离的靶场环境,从安全基线、安全加固、漏洞修复等维度设计缺陷环境,检查安全人员的操作技能。
CTF 偏向攻击视角,pwn、misc等题型和甲方日常工作关联较弱,和甲方以防御为主的定位不太匹配。 安全技能大赛过于弱化了防护设备的价值,强调对一些基础操作的熟练程度,且缺少事中环节,和企业真实的防护情况不匹配。
比赛内容:每家分行分配一台Linux主机,一台Windows主机,按照行内标准镜像模板,预装HIDS、EDR、防病毒等安全防护程序。验证平台发起攻击之后不做清理动作,在比赛机器上保留进程、端口等信息,方便队伍进行人工和设备分析。
评判规则:参赛方根据机器上的指纹和行为,出具处置报告,根据离朱攻击的情况与决赛队伍最终能发现多少攻击,来进行评分。
通过比赛,协助该行发现了分行防御薄弱点,并进行针对性策略优化。这里面没有多么高精尖的攻击技术,也不是发现问题后短期内无法提升的能力。但这确实是甲方面临的真实日常,也恰恰是“安全运营”要解决的问题:让安全防护水平的方差最小,扎实做好基本功。
知其安,知其所以安
知其安,知其所以安,知其安致力于成为新一代安全运营领导者,通过最佳实践的复制,助力客户优化安全策略,用好已有的安全设备,提升防护能力,最大化已有安全投资的效果和价值。目前主力在售的主要是两款工具平台:
| 1、离朱-安全验证平台 | 2、陆吾-内网安全资产管理平台 |
| 率先在国内提出并推广“安全有效性验证”理念,让安全验证成为企业安全运营重要基础平台。 | 基于多源资产数据形成安全资产台账,为客户提供安全资产质量治理、风险治理、运营支撑的综合性平台。 |
知其安通过创新的安全验证平台和强大的技术团队,为众多行业客户提供了高效的安全运营解决方案。公司在金融行业安全验证的市场占有率超过90%,并在网络安全验证领域取得了显著成就。公司已服务一百五十多家金融、央企、智能制造、互联网等行业客户,累计PoC测试用户超过600家。在行业中有较好的应用反馈和用户评价。公司获得了国家高新技术企业、科技型中小企业、2023网信自主创新“尖峰榜”金风帆奖等多项荣誉。已为各大行业如下机构提供工具和服务:
如您对以上安全运营工具和服务感兴趣,通过以下方式联系我们:
1、微信联系:Zhiqiansec-zqa
2、致电联系:400-8507796/010-53607307
3、邮件联系:market@zhiqiansec.com
4、公众号联系:在本公众号后台回复:手机号+某某先生/女士 即可。
