大型企業的安全升級路:上設備,合規后,這可能是最需要關注的
有人說:“建立一個安全的企業網絡要幾年甚至十幾年,但破壞它卻只需要幾分鐘。” 這句話不僅真實還原了“沒有絕對安全”的事實,也說出了很多企業,尤其是大型企業的安全路徑進階:上完設備,做好合規后,依舊要面臨安全事件的考驗。
這其中原因很多,可能是攻擊戰術與工具的升級,不同設備未能最佳組合,無法發揮最好的效果,也可能是“人”這個漏洞一直存在,最終都以被攻擊成功的方式一次次出現。而企業真正想要從安全建設、安全運營,繼續成功升級,下一站最需要關注的能力可能是應急響應。
平時:不出事
安全人就像武俠劇里隱居的江湖高手,平時大隱隱于市,在安全事件爆發時,便要挺身仗劍而出。對于擁有不同基礎設備,建立起基本安全防護框架的大企業而言,雖然安全團隊在風平浪靜時也沒閑著,認真看日志,進行異常監控與檢測,但想要在危急時刻力挽狂瀾,還有更多事情要做:
建立安全防護框架,通過不同指標,保證安全運營,提升運營效率
企業利用流量、終端、邊界、訪問控制等不同工具,對整個網絡不同維度進行運營,同時還要確保不同工具的覆蓋率,不同指標的正常率,保證工具的有效性,并結合企業現有安全人員配置,提升整體安全運營效率與效果。
主動發現威脅,拓寬企業攻擊面覆蓋
從《網絡安全法》、《關鍵信息基礎設施安全保護條例》、《個人信息保護法》、《數據安全法》實施,到每年的HW行動開展,當下國內企業的安全現狀已從合規走向實戰,對企業的要求越來越高。主動發現自身威脅,也成為了企業的必備技能。建議企業采取包括主機、流量、掃描、人工等多種方式的內部資產清點,定期做好漏洞管理及0day漏洞檢測,通過外部資產發現手段,進行安全資產管理,盡量覆蓋企業所有暴露風險。同時,時刻保持對最新攻防技術的關注,也是安全團隊避免威脅的必備功課。
關注“人”的安全,避免內部威脅
企業要真正做好安全運營,還需時刻關注“內部人員”這個重要角色。通過不斷完善安全制度,定期多次進行內部攻防演練、釣魚演練,以“實戰演練+培訓”的方式,讓內部人員真正意識到安全的重要性。
關于用好安全工具提升安全運營效率,這里分享某新型制造企業的一個案例。該企業員工數萬人,非常重視網絡安全,因此采購了很多安全產品,但唯獨對于高級威脅檢測及整體安全運營效率期待較高。于是在上了流量檢測與響應設備(微步在線威脅感知平臺TDP)后,該企業發現數千個對外開放的API,并基于TDP告警的準確性與真實性,安排安全人員實現了點對點閉環響應,快速提升了運營效率。
圖 | 微步在線解決方案
事中:充分的應急手段
網絡沒有絕對安全。企業的問題或漏洞,總會不可避免地被發現或被攻擊者主動利用。所以突發安全事件,對很多企業來說都是一場直播,考驗的是企業自身的安全投入、應對經驗以及專業能力。
針對突發事件,企業除了前期熟悉掌握相關國家及行業標準,如GB/T 24363-2009《信息安全應急響應計劃規范》、GB/Z 20985-2007《信息安全事件管理指南》、GB/Z 20986-2007《信息安全事件分類分級指南》等,還可參考準備(PreParation)、檢測(Detection)、抑制(Containment)、根除(Eradication)、恢復 (Recovery)、跟蹤(Follow-up)的六步PDCERF應急響應模型,保證應急流程的順暢性。
在實際安全運營過程中,很多企業存在人員安全專業度不夠、安全與業務剝離,即便是大型企業安全人員也可能因缺乏經驗,使得應急響應能力不足。這時,通過乙方安全廠商提供應急響應服務也是一種非常有效的方式。
同樣,以某新型制造企業為例。該企業采購了大量安全產品,但總無法有效防御針對內部員工的各種高級威脅。就在三個月前,該企業財務部某員工收到一封“領導”發送的郵件,由于郵件主題與該員工工作高度相關,于是其打開郵件,在閱讀郵件后直接下載附件,并點擊運行。與此同時,木馬病毒也立即啟動,并將重要的商業信息進行回傳。幸運的是,惡意行為被及時檢測到,并進行了告警,該企業的安全人員也及時阻斷并溯源分析。
不過,相比之前遇到的安全事件,這次的難度大了很多,該企業于是找到微步在線。接到應急響應需求后,微步在線安全分析師團隊,經過溯源取證,快速定位到具體失陷主機,并第一時間提供了處置報告、溯源分析報告等不同節點專業報告,保證了該企業的主動響應能力,實現了事件進展的運營閉環,幫助一家大型企業在安全設備充足的前提下,實現了安全運營效率的提升。
除非資源非常充足,企業高層非常重視安全,一般很少有企業會投入太多人財物資源自研安全系統或搭建大規模安全團隊,此時靠譜的乙方就非常重要。對于甲方企業,尤其是大型甲方而言,需要做到對乙方的良好管理,清楚不同乙方對接人員的技術能力與態度。在發生安全事件后,快速聯絡最可靠的乙方輸出應急響應能力,必要時企業甚至可直接選擇MDR應急響應服務。畢竟,能夠用錢解決的問題,都不是問題。
事后:調優與升級
每一次應急事件,都是對企業安全能力的一次體檢。通過突然發生的安全事件,企業能夠收獲的經驗和教訓也會比平時多很多,例如:
- 發生安全事件真正的原因是什么,漏洞具體在哪里,為此該部分接下來就需要整改與加強。針對事件根本原因的分析與確認,是發現現有安全控制手段缺陷的極佳機會,后續可進行更大規模的網絡加固,或是調整安全策略,最終落實到具體人員及時間,并驗證其有效性;
- 經過此次安全事件,除針對事件本身向高層提供相關完整報告,還需就安全目標與管理層達成一致,并與合規保密等部門協同,將事件的經驗與教訓,落地為細化的安全制度,將安全責任到具體個人,引起全員重視。
我們無法保證永遠的安全,但能夠利用安全工具、威脅情報與專業人員不斷總結,然后避免被動安全攻擊出情況的出現。隨著安全態勢的復雜化,安全團隊的安全策略中,除了安全建設、安全運營,也需要為應急響應留有一席之地。而一個優秀的安全團隊,必然也應該有不俗的應急響應戰績。
