創新安全服務模式,深信服給組織配了個“持續在線專家團”
近段時間,歐洲疫情再度強烈反彈,新冠確診病例突破了5000 萬,法國甚至已經進入第四輪疫情,反觀國內卻是把疫情控制的死死的。兩者最大的差別是,國內真正將新冠病毒的風險管控落到了實處,真正做到了事前隔絕,事中快速處置,事后復盤沉淀經驗。
有意思的是,這波操作放在網絡威脅的處置上也是極為合適,這是因為持續的風險管控也是網絡安全建設者的根本目標。
當下,數字化轉型使得組織暴露在網絡世界中的風險進一步增加,全球網絡安全整體形勢進一步惡化,如何持續有效管控網絡安全風險已成為各個組織亟待解決的問題。
對于這個問題,或許我們可以從新冠病毒風險管控中得到一些不一樣的答案:即打疫苗(預防),人人戴口罩(防護),人人有健康碼(實時監測),出現感染者立刻進行隔離,摸排可能接觸到的人員,并進行徹底的消毒和監測(快速主動響應),避免病毒再次傳播。
網絡安全也是如此,面對快速升級的勒索病毒,近乎實戰的攻防演練帶來的各種風險,組織同樣需要快速擴展自己的網絡安全風險持續管控能力,需要提前做好預防和保護,需要24小時不間歇的監測機制,以及更專業的,對事件快速處置和善后的技術支撐。傳統基于人力資源服務化的安全服務模式已經無法滿足用戶對持續發現問題、快速閉環問題的訴求,一種創新的安全服務模式由此而生。
近日,工業和信息化部起草、發布的《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》(以下簡稱《意見稿》)也再次明確了一點。
《意見稿》提出“產業供給強化行動”,并指出要“創新安全服務模式”:加強安全組織技術產品的云化能力,推動云化安全產品應用;鼓勵綜合實力強的安全組織發展彈性、靈活的云模式網絡安全服務;發展地區級、城市級、行業級安全運營服務,提高運營自動化、流程化、工具化水平;支持開展威脅管理、檢測響應等安全托管和咨詢服務等。
事實上,多年來深信服也一直是這樣做的,此前推出的安全運營服務(MSS)完美契合了《意見稿》所提出的“創新安全服務模式”。作為組織網絡安全建設的強力補充,深信服MSS將以人機共智的模式助力組織做好持續的網絡安全風險管控工作,如同疫情防控一般,將風險降低到可以接受的最小化范圍內。
MSS正在成為組織持續保障安全效果的必要措施
MSS是指安全廠商通過統一的云端安全運營平臺為客戶提供一系列安全服務,以滿足組織對安全專家、技術和流程外包的需要。
當下,網絡安全正面臨前所未有的壓力:勒索軟件攻擊水平全面升級,大規模針對性網絡行動大幅增加,重大安全漏洞缺陷不斷涌現,超大規模數據泄露甚至趨于常態化......
面對日益嚴峻的安全威脅,組織缺乏安全自查的能力,以致各類安全事件此起彼伏。IDC在《面向未來 有效保護,護航數字化轉型》白皮書中直接指出,組織完全依賴自身的能力進行網絡安全管理已經分乏術。
因此,請外援(MSS)就成為大多數組織的選擇,讓專業的人去做專業的事情。
近年來,安全形勢日益嚴峻,隨著安全技術的發展,MSS受到了越來越多組織的肯定,甚至已成為組織安全體系的一部分。據IDC調查數據顯示,2018年,全球MSS的市場規模達到 211 億美金,且近年來一直保持著10%以上的速度增長。
另一方面,安全產業成熟度的提升也是MSS保持高速增長的驅動力。
隨著產業成熟度的持續提升,政企用戶的安全重心,將逐漸從采購安全產品以滿足合規要求,轉移到采購安全服務以提升安全能力。
對于大多數頭部組織來說,經過多年的安全建設后,安全設備所帶來的提升有限,因此,專業安全服務廠商提供的安全運營服務就成了組織安全體系很好的補充。不論是SOC平臺還是安全服務廠商高階的安全技術專家,都是組織目前所缺乏的。
從長遠來看,與其花費大量的人力、資源自己建設高端的安全運營能力,倒不如通過云化的形式,用安全廠商的高階安全能力來應對復雜威脅和管控風險,這樣反而可以實現網絡安全工作的降本增效。
由此來看,組織對于專業的安全運營服務的采購需求將進一步增加。
正因為如此,2018年深信服重磅發布了“人機共智”安全運營服務(MSS),引起了業內人士的強烈反響。短短幾年的時間,深信服MSS服務用戶已經超過1000家,覆蓋政府、央企、教育、醫療等多個行業。
所謂“人機共智”,“人”是指安全專家,為了有效應對威脅,深信服MSS設置了T1、T2、T3三級專家團隊;“機”則是指深信服自研的AI安全運營平臺、基于威脅情報打造的脆弱性管理平臺、標準化服務監控平臺。
一直以來,黑客的攻擊往往不分時間,針對需要持續保障的業務服務場景,傳統人工服務主要依賴于服務人員的能力和精力,往往難以7*24H不間斷服務,導致無法實時應對隨時發生的安全威脅,例如新漏洞不斷曝光、黑客持續性攻擊等。
而人機共智的創新模式,通過 “人”“機”兩者相互配合,反而更能發揮出彼此的優勢,為用戶提供更能保障安全效果的持續性標準化安全服務,最終實現7*24H 可持續安全運營。
至于深信服MSS具體是怎么樣的,咱們一起扒一扒。
深信服MSS之事前管理和監測
近年來,網絡攻擊趨于復雜化和多樣化,給組織造成的威脅日益嚴重,甚至有可能是不可承受的,不可逆的后果。在這樣的情況下,傳統“頭痛醫頭、腳痛醫腳”的措施已經無法滿足新型互聯網的安全需求,成熟的網絡安全防護體系必定更加重視“事前的梳理與監測”。
也正因為如此,深信服MSS在事前可謂做足了準備。
一是資產管理
當下組織資產數字化趨勢明顯,能否有效梳理清楚組織的資產是網絡安全的前提。深信服MSS可部署相應組件,設置相關資產發現策略,可定期進行資產探測,主動發現組織資產,形成臺賬并錄入組件,并且會持續進行探測,查看新增的資產,保障資產信息細化到設備指紋級別。一旦發現資產變更或可用性問題,云端安全專家會立刻通知用戶確認并更新資產。
二是漏洞管理
漏洞管理的重要性不言而喻,能否做好漏洞管理是衡量組織安全的重要指標之一,同時也是組織必須要履行的義務。
2021年7月12日,工信部、網信辦和公安部聯合印發了《網絡產品安全漏洞管理規定》,并將于2021年9月1日開始實施,并對組織漏洞管理提出了新的要求。
深信服MSS的做法是從漏洞管理的全生命周期入手,對列入安全漏洞評估及管理服務范圍的 IT 資產進行漏洞識別,并綜合威脅情報、資產等級、危害性等進行漏洞排序,然后提供可行的漏洞處置指導方案,并通過安全運營平臺跟蹤漏洞修復閉環,最后通過關鍵績效和風險指標展示安全風險控制情況。如此環環相扣,不斷修復組織資產中產生的漏洞。
此外,深信服MSS還會持續監測最新的漏洞,結合自研漏洞數據,以及CNVD、CNNVD等第三方漏洞情報,對這些漏洞與組織資產信息庫進行關聯驗證,一旦發現最新漏洞即進行預警、排查和給出處置建議,并建立起最新漏洞狀態追蹤機制。
三是威脅管理
在威脅管理方面,深信服基于安全用例(Use case)和操作規范(Play book)為用戶提供7*24H威脅監測及處置。不同安全應用場景(Use Case)和對應的檢測模型可實時關聯分析海量的安全日志,提煉其中重要的安全信息,高階安全專家進行研判是否為真實的威脅,制定后續的處置計劃,同時還將周期性分析威脅管理措施有效性,并提供未來安全建設的規劃建議,逐步強化組織自身的安全能力。
四是做好事前應急預案
好的組織安全體系必定會有相應的事前應急預案,深信服MSS將為組織針對性制定好事前應急預案,并定期組織演練,強化組織對于安全事件的應急響應。
深信服MSS之事中快速處置
所有的事前準備工作都是為了將網絡威脅扼殺在搖籃之中,但網絡攻擊似乎總是無法避免。此時,對安全事件的應急響應就決定了組織損失的多少。遺憾的是,隨著網絡攻擊趨于自動化、智能化,留給組織應急響應的黃金時間已經越來越短了。
因此,深信服MSS尤其注重快速應急響應,且已經取得了不錯的成果。據目前用戶的使用情況來看,絕大部分問題可在5分鐘以內快速應答,對于高危可利用漏洞、高級威脅和安全事件,做到100%的閉環處置,且時間大多在1小時以內。
深信服MSS之所以能夠做到如此快速響應,既和上文提到的事前監測、預警分不開(據說準確率高達99%),也和經過長期實踐沉淀下來的處置流程有著莫大的關系。
假設某個組織出現了網絡安全事件。
借助安全組件、云端安全運營中心7*24H的持續監測,深信服MSS能夠可以第一時間發現威脅,不管是在白天還是在黑夜。
而當威脅發現后,云端安全運營平臺將自動生成工單并實時通知到 T1 團隊。T1 團隊對事件進行確認,并按照標準化流程將工單給到 T2 團隊。T2 團隊開展安全事件的研判和響應工作,T3 團隊作為 T2 團隊的后端資源,為 T2 團隊提供強大的技術支援,確保每種類型的安全事件都有專業知識的安全專家來解決。最后,T2 團隊會生成事件的處置建議并同步給 T1 團隊(線上和線下),由 T1 團隊(線上和線下)協助用戶進行下 一步處置工作。
在這個過程中,我們不難發現,組織最缺乏的高級安全專家資源被深信服MSS給解決了。在事件處置過程中,深信服各個層級的安全專家們將全方位和組織進行共享,以遠程在線+線下的方式處置組織面臨的安全威脅,從而實現《意見稿》中所倡導的,以云化的形式提升組織安全能力的目標。
深信服MSS之事后復盤和持續運營
完成事件閉環處置之后,整個過程就結束了嗎?當然不是,事后的復盤同樣重要。
針對已經處置的安全事件,T2安全專家團隊會主動挖掘該事件,尋找事件發生的深層次原因,并向用戶提交匯總、分析報告,再次明確事件發生的前因后果,以及事件處置的詳細過程。
倘若組織遭遇的是重大事件,T3專家會對事件進行復盤,總結經驗教訓,更新應急預案,并檢視平臺檢測能力,優化檢測模型與規則(Use Case)。同時指導T2專家分析、總結出事件最佳的處置方案,更新組織安全知識庫,制定出對應的加固整改計劃。
直到這里,事件處置才告一段落,而事后復盤的目的,則是為了將深信服事件處置的經驗固化下來,進一步提升組織的安全能力。
除此之外,深信服MSS還有安全運營可視化服務,定期向組織進行安全運營匯報,以及安全評估,滲透測試等多項服務,在常規的安全體系的基礎上,建立了一個更高安全性的防控方案。
結語
目前,深信服安全運營服務MSS以幫助用戶進行“持續的網絡安全風險管控”為目標,圍繞資產、脆弱性、威脅、事件四個要素,以“人機共智”模式為核心,全面整合技術、專家和流程,與用戶一同構建7*24 小時、主動、閉環的安全運營體系。
而以“人機共智”模式為核心深信服MSS就像是當下的新冠病毒防控體系,上有健康碼、行程軌跡(AI安全運營等平臺)實時監測,下有時刻準備的專業醫護人員(深信服三級專家團),再加上各類高級設備,必將最大化強化組織安全防護體系。
最關鍵的是,它不需要組織投入大量的人力、物力去真正建設,真正實現了按需使用,隨時隨用的目的,并且將組織寶貴的IT人員從繁瑣的工作中解放出來,將更多的精力聚焦在更有價值的工作上。
而這些,不也正是《意見稿》所提出的安全能力云化和安全服務云模式的真實體現嗎?
