北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议,历届北向峰会的行业趋势探索以及战略性指导意义,使其成为安全行业别具一格的风向标。
面向2021,北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块,深入研讨了安全行业战略发展之路。嘶吼作为会议承办方,全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容,嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》,文集将以连载的方式在“嘶吼专业版”独家发布,向大家分期呈现,每日更新,敬请关注!
06期 山海论坛
甲方企业安全建设破局
甲方难!不对称对抗的现状与实践
在很多场合我都听过,安全的本质是对抗,既然是对抗就有攻守双方,但是具体到每个甲方,我们的力量都是比较薄弱的。京东安全目前员工规模是几百人,但整个网络黑产比我们多一百倍。每个甲方都面临这样不对称的对抗困难。因此很多年来,所有的甲方和安全人都在倡导联合共建安全。现在也有情报和各种能力上的合作,但是到今天为止仍被吐槽说甲方做得不好,我们看到了什么现象呢?
一直在寻求联合共建安全、纵深防御,但现实问题仍层出不穷
甲方一直在寻求联合共建,因为自己全部做并不现实,其中纵深防御是最重要的方法之一。今天看到从数据的产生、应用产品的产生一直到产品的运营迭代,整个过程中都有安全布点,比如主机上有十几个Agent各司其职、包括微隔离、HDIS(负责入侵检测)、打补丁等。安全本来是为了做安全的,如果这样下去的话最大的挑战是:第一不知道怎么运营,第二这么多的安全产品在一起,如何平衡?本来要为业务服务的,现在好像在阻碍业务。我们希望在主机、服务器把这些Agent统一起来,以一定标准的数据格式输入到“大脑”里面去,来提高精准度,为运营争取更多的时间。
第一,服务器上的所有Agent统一运营,发挥各自的特长、有序的为安全服务。
第二,是不是只有服务器上才有这个问题?其实不是,云办公,PC电脑也面临相同的问题,所以需要从服务器到所有的终端设备上都统一起来。经过这段时间的实践和思考我们发现,不只有终端,在各种各样的产品和服务叠加下,整个网络现在面临的问题也是如此,
第三,无论是采购还是自己建设的,都有自己数据输出的屏,都会产生告警要进行防御,但这些数据真的没有关联吗?每天海量计的告警数据,能够处理得过来吗?以前说数据不够,所以要数据驱动;现在是数据太多,有没有可能把这些数据变成真正的数据驱动,才是解这个题的关键。
第四,如果假设,我们能够把各种各样的安全事件的先兆融合起来,我们会发现,每一个安全事件在发生之前已经对运营人员有所提示了,但是很多运营人员并没能把握住这个机会,典型的表现是人员A看一块屏、人员B看一堆数据,但是没有联络,真正的联络是把数据融合起来,做到真正的“安全大脑”。
甲方的尝试——企业安全操作系统
“企业安全操作系统(ESOS)”负责的事情是把所有数据融合起来,做到真正的数据驱动。作为甲方,面对这样的架构,我的感受是终于实现了产品皆安全。现在每天有几千个产品迭代上线,以前站在甲方视角看到开发了一个产品,通常会问,在各种各样数据产生并进入的情况下,怎么保障其安全,而真正的原生概念应该是获得了一个产品,这个产品默认就是安全的。
⌜IT的数字化程度,对于IT允许有百分之几的误差,但安全是木桶,有一点缺口就会从那里泄漏⌟
这是数字化水平不高的问题,底座就是数字化部署。
“企业安全操作系统(ESOS)”四大特点:原生、开放、数据驱动和统一运营
几乎每家公司都是公有云和私有云结合的混合云,完全的公有云据我所知没有做到100%的。在此基础上要有适配性,基于标准真正的形成数据融合和数据驱动。除要统一运营外,基于这个架构的实践有三个方面:一是特点——原生,所有的甲方希望原生基础即安全。二是数据驱动,别让人工每天去处理、运营这些数据,需求通过数据驱动节省人工的时间并提高效率。三是开放,任何一个产品靠自己建设有可能,但绝不是最理想的方式。应该发挥各自长处,我们最大的长处在于混合云上的网络隔离,但是前面讲的任何产品都不是这么简单的,比如常常提到的主机安全,这么一个产品一个供应商几百人开发几年才能够做到标品对外销售,我们不可能有这样的精力,需要开放与大家合作。
两年来取得的成绩与城市云案例分享
在我们内部,这套系统已实践了近2年时间,一方面表现在漏洞数量上,尽管2年间京东的业务量暴增了约70%,但安全工单量下降了80%,这说明应用的漏洞在大幅减少;另一方面表现在审批量上,为了安全我们设置了各类人工审批,现在审批量也下降了80%,审批量的减少证明了现在在安全原生的情况下,真正做到了“安全服务业务”。
最近一年多除了治理我们自己的风险以外还发现新的赋能方式,案例介绍——“京东科技城市云”,把数据安全植入到城市里面,从权限角度深刻精细化的控制数字安全,过程中给客户比较完美的体验,就是感觉不到安全的存在,因为给的东西本身就是安全的。
构建共生、共建、共赢的生态圈层
未来,我们将持续打磨企业安全操作系统(ESOS) ,并希望借助安全业界的生态能力,共建以 ESOS为基础“平台生态”,同时将这套系统的能力开放出来,赋能给生态伙伴和客户。这样不仅可以通过我们庞大的业务生态,为安全业界的伙伴提供更多的机会,也能够整合优势资源与技术,为业务生态提供更好的安全服务,从而实现与各方共建共赢的生态安全。
——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布
《北向文集》由北向峰会与嘶吼安全产业研究院联合发布。如若转载,请注明原文地址