从实战化角度看攻防过程的内生安全
2019-09-02 17:51:16 Author: www.aqniu.com(查看原文) 阅读量:184 收藏

从实战化角度看攻防过程的内生安全

星期一, 九月 2, 2019

2019北京网络安全大会(BCS2019)上,奇安信集团董事长齐向东提出了“内生安全:以聚合应万变”的安全防护思路。信息化系统和安全系统的聚合,产生自适应安全能力;业务数据和安全数据的聚合,产生自主安全能力;IT人才和安全人才的聚合,产生自成长的安全能力。

孙子兵法有言:昔之善战者,先为不可胜,以待敌之可胜。网络安全讲一百遍不如打一遍。实战化的攻防演习为企业积极构建网络安全防御体系,可以帮助企业不断的巩固“不可战胜”的地位。

面对“有组织”的攻击,企业需要内生安全

在“组织”的内部,分工都很明确。以红队(实战攻防演习中攻击的一方)为例:通常会以3人为一个战斗小组,1人为组长。组长通常是红队中综合能力最强的人,需要较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长,具备边界突破、横向移动(利用一台受控设备攻击其他相邻设备)、情报收集或武器制作等某一方面或几个方面的专长。

在“组织化”的攻击面前,没有打不透的“墙”。因此,需要企业建立一种基于“内生”的机制,只有掌握有针对性、精细化的数据,才能精准发现攻击行为从而进行溯源分析和响应处置。

实战化的威胁检测是内生安全的重要基础

面对实战化的网络攻击,需要以内生数据为基础,需要精准发现入侵威胁攻击,以蓝队(实战攻防演习中防守的一方)为例:蓝队通常会在日常安全运维工作的基础上,以实战思维进一步加强安全防护措施、提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度,提升防守能力。

因此,在实战化网络攻击过程中,首先需要进行精准化的威胁检测,并基于精准事件和异常行为线索进行溯源分析和响应处置。其次,通过全流量日志、文件、DNS、邮件、终端等“内生”数据,结合威胁情报、双向规则检测、沙箱和场景化检测产生精准的攻击告警。最后,在整个的威胁检测过程中,基于全流量行为分析的关键攻防技术对抗、实战化下的情报数据运营能力建设以及通过威胁运营平台打通数据、工具流程和人的威胁运营能力建设,能够很好的“聚合”从而建设属于自己的安全能力。

数据的聚合应变是内生安全的有效手段

以奇安信天眼新一代威胁感知系统为核心,建立一套以“威胁运营”为视角的全新的运营体系,可以有效的将企业“内生”数据和安全人才结合起来,让安全运转起来。

建立天眼威胁运营中心,可以将用户本地“内生”数据进行收集。通过分析流量里的业务信息、行为信息、IT资产信息等内生数据进行大数据聚合,通过人工智能的方法不断地实现威胁检测的“自生长”,再结合安全专家进行精准研判,能够建设企业内部应对外部威胁的“自适应”能力。

奇安信天眼新一代威胁感知系统作为威胁运营的检测引擎,可基于奇安信自有的多维度海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推送定制的专属威胁情报。同时结合部署在客户本地的大数据平台,进行本地流量深度分析。威胁运营平台则将全网的流量日志进行采集,结合专家级的安全分析人员,对安全事件进行深度研判,帮助用户发现、确定网络存在的已知威胁与未知威胁,并通过边界NDR/终端EDR的联动方式,实时有效的从边界及终端层面阻断威胁。同时,高级威胁运营平台还能将分析人员、分析过程、分析结果、处置过程等高度可视化,让运维人员看得见、看得懂、用得起来。

安全人才的储备是内生安全的发展根基

以某个大型实网攻防演习为例,需要汇聚组织方、攻击方和防守方三支队伍,才能完成对系统安全性和运维保障有效性的检验。在这样的演习中,防守队的组成,并不仅仅由目标系统运营单位独立承担,而是由系统运营单位、攻防专家、安全厂商、软件开发商、网络运维队伍、云提供商等多方人才聚合组成的防守队伍。

所以,企业与组织在建设自身安全体系时,不能只想到技术体系的IT人才建设,安全人才的投资建设也非常关键。在规划阶段,提前进行安全人才储备,将IT人才和安全人才聚合起来,是后续安全发展的根基。

作者:奇安信集团副总裁、天眼产品线负责人 张卓


文章来源: https://www.aqniu.com/tools-tech/54616.html
如有侵权请联系:admin#unsafe.sh