撰稿 | 藍河
編輯 | 圖圖
“安在講堂”是由安在新媒體在千聊平臺直播間全新開設的“網絡安全公益講座”系列欄目,廣邀業內一線專家和安全大咖作為嘉賓,聚焦行業關注、響應從業者呼聲,一同探索網絡安全行業“危機下的規劃與變化”。
2020年2月19日晚,央視網網絡安全部副總監黃樂做客“安在講堂”直播間,以“疫情與安全中臺,央視網安全中臺建設思路”為主題進行了分享,與聽眾們一起,共同為安全中臺的行業實踐貢獻了寶貴的經驗和見解。
長按上方二維碼看回播
(注:本期文章所有內容皆可在千聊“安在講堂”直播間回看,公益講座,全部免費。)
嘉賓介紹
黃樂:央視網 網絡安全部 副總監
十年網絡架構設計經驗,五年安全體系建設及管理經驗,清流派企業安全沙龍創始人,兩個安全公眾號主理人。
在央視網主要負責網絡安全架構的設計和建設。主要包括攻防對抗技術研究、安全檢測及防禦體系建設、安全播出管理平臺建設、漏洞治理平臺研發、威脅感知平臺研發、應急響應系統研發等工作。同時,提出了“重檢測,輕防禦”的安全架構設計理念,並通過“快速及格、逐步迭代”的思路快速落地了央視網安全播出管理平臺,並衍生了安全中臺的建設。
清流派企業安全沙龍是安全行業甲方閉門沙龍,每月邀請各企業安全部門負責人從多個方面探討企業安全建設及管理的思路和經驗。
央視網黃樂:疫情與安全中臺,央視網安全中臺建設思路
(以下內容由黃樂分享,安在進行整理)
一、疫情當前,安全工作面臨的問題有哪些?
疫情“黑天鵝”給我們帶來了很多的變化:不能出去玩,不能和朋友聚會,不能上班。雖然疫情給我們的生活帶來了很多的困難,但是作為安全從業者,我認為面對變化和挑戰一直都是我們的本職工作。
無論是攻防、應急、管理、溝通、運營還是內控,這些日常工作其實都不簡單,所以疫情無非只是擺在我們面前的另外一個困難而已。克服困難是我們的職責,所以我們要端正態度,這是一切的基礎。
我們所面臨的問題,我認為主要包括工作狀態、溝通效率、內部權限、項目推進、項目取消、交流、測試以及我們安全工作者的飯碗。
雲上班的工作狀態,是我認為企業面臨的最大的問題也是所有問題的根源。以目前的IT發展現狀來看,很多工作都是可以通過遠程協作辦公的方式來處理的,因此,調整好工作狀態才是最為重要的事情。
作為團隊負責人,我們不僅要調整好自己的工作狀態,更要一點點推進整個團隊工作的進程,進程的推進也會幫助其他同事工作狀態的回升、
線上的溝通方式,一定程度上會帶來溝通效率的降低。因此做為團隊負責人,我們需要幫助同事們儘快習慣這樣的溝通方式;同時在對上溝通環節,我們要更加緊密頻繁地去同步、彙報工作,讓領導在看不見你情況下也能知道你所做的事情。
對於安全團隊,我們要重點關注因訪問內部權限而開啟的臨時通道,每一次通道的開啟都會產生新的安全隱患,因此確保臨時通道的安全性是當前安全工作的重要一環。
面對部分項目推進速度降低甚至取消的情況,我們需要及時制定新的項目推進計劃或是快速找到可替代的解決方案。切記不要抱怨,因為越是危機當前,越是展現作為一個安全工作者應急處理能力的好機會。
雖然在“安在講堂”第一期節目裡,嘉賓們對於危機當前網絡安全行業的發展還是保持樂觀的態度,但我要友善提醒,對於我們安全工作者個人來說,飯碗問題還是要取決於當前供職企業的運營情況,要有適當的危機感。
總的來說,疫情的發展給我們帶來的最根本問題還是在於雲上辦公。其實在平常的工作環境中,安全工作的涉及範圍也是非常廣的,不管是溝通、協調還是流程等,都會佔用大量時間。因此,一個能夠將日常系統、對外協調流程以及安全能力全部整合到一起的系統,就非常符合當前的需求。
二、央視網安全中臺建設思路
安全中臺到底是什麼?從我們的思路來看,首先要有標準的輸入輸出,將所有的數據和流程都統一的中臺中,便於數據的整合和梳理;二是從服務質量、數據格式、工作流程所有相關工作和流程都建立標準化,使整個企業上下所有人都可以通過統一的安全入口調用安全能力。
以入侵檢測為例,在非工作時間可以通過確定性很高的規則隨時封堵惡意攻擊行為,這可以讓企業安全能力得到極大的提升,對於企業安全體系建設十分重要。
最後,如果可以簡化交互,將人和人之間的交互放到系統流程中,那麼就可以降低遠程工作做帶來的影響。
總的來說,我所理解的安全中臺是一個可以將前臺業務和後臺具體安全能力,人與人、人與產品之間連接的橋樑。通過整合各類攻防、流程、日常工作數據,實現安全能力的不斷提升。通過安全中臺,企業可以更加流暢地開展安全工作,更穩妥調用各類安全能力,使企業安全工作更加有趣、高效。
央視網安全中的總體架構包含基礎層、數據層、策略層、處置層以及可視層。
數據層的核心思路有兩個,一是通過場景找數據,二是儘可能使用現有的基礎設施。我們在和安全廠商溝通的時候,通常都是先了解數據再看可分析的情況,也就是通過數據找場景。這在甲乙雙方角度來說,本沒有什麼問題,但是站在甲方自建安全中臺的視角上,我認為這可能會出現思路上的盲點。
所以央視網現在遵循的思路是通過場景找數據,也就是先從策略層知道我們需要分析的策略,再根據我們所需要分析的策略回頭找數據,這樣就可以有效避免忙點。
央視網目前擁有自己的數據中臺、運維平臺,我們不會重複建設這類平臺,那麼我們就需要充分利用這些基礎設施,通過接口或同步數據庫來獲取這些平臺裡的數據。
總的來說,把數據分析所需要的數據項全部拿出來,在內部對接幾乎全部可以對接到的數據源,就是我們在數據層所做的事情,根據每個企業的實際情況可以靈活設計。
央視網目前安全中臺的建設融入了威脅感知模塊,因此在策略層,我們做的是比較重的。整體上來說,策略層的建設思路有4點:參數可控、規則可迭代、經驗反哺以及安全能力螺旋上升。
首先是參數可控,對於所有的商業產品,我們要有所有的參數都是可控的。而對於部分商業產品,我們需要一些細緻的規則可以靈活定製,根據企業不同的需求也可以在算法中進行調整,這就是規則可迭代。
因為安全工作需要不停地面對變化,再好的系統如果喪失了進步能力也會被慢慢淘汰,因此我們認為安全工程師的經驗要能夠不斷翻不到安全分析模塊之中,做到經驗反哺。最後則是在保證檢出率和覆蓋率的基礎上,確保安全問題不會在同一個地方重複發生,安全能力需要“日拱一足”式的進步,也就需要具有螺旋上升的機制。
除此之外,例如分析策略的篩選、自主策略的開發流程、數據的閉環以及參數的設置等,我們也會在策略層予以實現。
處置層包含了我們在日常工作中對於所有安全事件的處理,主要有三種重要的處置流程。一是從研判到處置的流程,針對威脅事件的研判和處理方法,我們需要制定標準流程化。二是應急機制,我們開發了一套應急管理系統,可以通過錄入應急預案,一鍵執行應急操作,並配合人工審計。
最後通過與安全產品之間的聯動,對各類安全事件聯合封堵。目前市場面威脅分析產品很多,但大部分不具有聯動能力或只能與子品牌產品聯動。聯動對於我們來說非常重要,並且要儘可能實現自動化。
自動化的聯動至少會帶來三個好處:一是大幅度縮短封堵的時間,壓縮入侵者活動時間;二是降低人工封堵所帶來的誤操作風險,保障系統穩定性;三是自動化的聯動,可以彌補我們非工作時間的空缺,幫助我們完成基礎性的安全工作。
過去我們提到企業信息安全展示大屏,通常會聯想到地圖炮,但實際上隨著態勢感知類產品耳朵增多,這類內容的展示效果也有所降低。
所以在設計展示層的時候,我們遵循了高層、中層和基層三個維度。對於高層,我認為力求讓領導看懂,快速獲得他們想要了解的信息,切勿炫技;對於中層各部門領導,他們往往需求高效率,數據真實,所以一定不能造假;對於基層,由於基層工程師具有極強的操作能力,所以我們要儘可能給他們提供可定製的界面,簡潔乾淨。
我們再來看看工作臺,因為工作臺是提供給所有安全工作人員的交互界面,我們希望所有的工作都能夠在工作臺完成,所以工作臺是安全中臺非常核心的部分,工作臺的設計思路也顯得尤為重要。
從整個工作流程來看,無論是各類異常數據還是工單類的申請,都需要通過預處理模塊交給工作臺,再由工作臺經過不同流程之後將結果輸出。那麼對於工作臺而言,最關鍵的部分就是要將輸出的數據轉化成知識再輸入到預處理模塊,以幫助預處理模塊未來輸出更高的質量,從而減輕人的工作量。
按照以往安全數據分析的方式,我們無法得知數據分析師的分析邏輯以及除告警之高所查詢的其他數據,也無法得知數據分析的效果如何。即便數據分析結果沒問題,但在工程師離職或換班以後,經驗也無法得到留存。
而在建設工作臺之後,我們可以清晰地看到數據分析師在整個分析過過程中通過哪些數據做出了最終判斷,既可以抽查數據分析效果,也可以將其作為經驗積累到分析規則之中,更可以作為有標註的訓練數據放到算法裡進行訓練,這樣就可以使安全分析工作在有審計的基礎上,實現分析能力的螺旋上升。
在安全中臺裡,人所扮演的角色依然非常重要。畢竟中臺是死的,人是活的,所以我們需要不斷積累和輸入經驗;在制定和調整策略上,任何將經驗轉換成策略,都需要通過人來制定;而對於某些難以寫成策略或規則的“意會”事件,還是離不開人為的處理。
總結來說,安全中臺是人與人、人與機器之間的橋樑,通過整合各類功放數據和流程數據、日常工作數據,實現安全能力的不斷提升。不過,從目前來看,企業安全中臺的設計很難有最佳實踐,我所分享的也只是央視網安全中臺建設的一些思路和經驗,不作為最佳實踐,希望能給大家一些啟發。
三、危機也是機會
這段時間最打動我的一個詞叫“苟且紅利”——在別人苟且的時候,通過自己的不苟且所能獲得的紅利。
我認為這次疫情其實是很多人翻身的機會,不僅僅是安全行業。在我身邊有很多人都在抓住時機打磨內功,我相信疫情結束以後,一定會湧現出一大批人突飛猛進,讓人眼前一亮。
所以,在固化的生活方式被打破的當前,我認為我們可以好好地反思和內省;同時,將這次強制性大範圍遠程協作試驗的機會看作是應急演練,以此來檢驗我們過去自以為的遠程協作機制到底夠不夠好;最後,好好陪伴家人,珍惜與家人相處的時光。我也相信,經歷完這次疫情,一定會讓我們更加珍惜生活。
問答環節
1、安全中臺的核心功能有哪些?
第一個是工作臺模塊,這是我們最為看重的,也是我們要放到展示、人機交互層面的模塊。第二個是數據,在數據層我們主要設計了整個數據的反饋機制,因為反饋機制可以將數據轉化為知識。第三個是處置聯動,如果能將固化的策略直接變成聯動的動作,將可以使整體安全能力得到很大的提升。
2、怎樣在數據層中儘可能多地使用現有的基礎設施?有無最佳實踐?
從現有認知來看,安全中臺很難獲得最佳實踐,因為每個企業的現狀、發展情況、基礎設施情況等都不一樣。從我們角度來說,凡是能取到的數據,我們儘量通過數據接口去獲取臨時數據來做分析,只有攻擊類、攻防類數據由我們自己保存。還是要根據企業實際情況去具體操作,沒有辦法拋開一切只看最佳實踐。
3、IAM、PKI、日誌審計等算不算安全業界提前實現的一部分中臺功能?
我認為算。央視網的中臺其實是一個整合的系統,把底層的功能整合、包裝,靈活調用後臺的功能,是中臺對下的邏輯。對上有一系列標準化且易用的接口,可以讓我們更好地使用安全能力。因此具體哪個模塊屬於中臺哪個不算,沒有一定的規則。
4、工作臺的預處理是如何判定是否為沉澱知識的?
針對這個問題我們有兩個維度。一是人工判定,將已經處置的結果定期做人工覆盤,再將人工書寫的規則更新到預處理歐快當中。二是將數據分析師在數據分析中使用的數據,得出的結論轉化為帶有標註的訓練數據,這樣就可以使安全分析工作在有審計的基礎上,實現分析能力的螺旋上升。
5、安全中臺是否可以替代日誌審計、態勢感知、威脅檢測等產品?
從我們自身建設經驗來看,安全中臺並不是替代這些產品,而是在更好地使用這些產品。通過安全中臺的串聯,我們可以把包括態勢感知、威脅檢測能在內的各種模塊放在安全中臺裡一起建設,也省去了單獨建設這類模塊的繁瑣。我個人認為,安全中臺不替代任何具體功能的產品,解釋為集成和管理的平臺會更加合理一些。
6、針對安全管理一般會設計哪些考核指標?
從考核指標來說,有兩個大類,第一個是威脅,第二個是脆弱性。威脅基本上就是檢出率、覆蓋率、已經發生過的問題,如果之前沒檢測到那麼再發生一定要檢測到,這是外部威脅的考核指標。脆弱性是我們早期開發了漏洞管理平臺,這對漏洞管理的一些列的指標,我們只是把各種漏洞修復的時間做了規定,也就是從時間的角度去評判脆弱性的指標。
7、展示層中對高層主要展現哪些指標?
沒有一定的規則,需要主動與高層進行溝通。從安全角度來說,展示某一階段我們最想要工作中改善的環節,就可以調動大家在這個環節改善的積極性,也會推進改善的進度。這是一個見仁見智的事情,但核心一定是要讓高層看得懂,引起重視。
8、數據運營中最關注什麼數據?需要哪些角色?包含哪些操作、建模和規則?
以我們自身為例,數據運營最關注的是外部威脅數據。角色上我們設置了數據分析員,專門負責數據分析,以及將分析結果轉化為知識的數據管理員這兩種。說到操作,我們在工作臺中主要想將數據進行整合,希望在數據分析時可以將所有的數據在工作臺中直接找到調用。規則的建立是一個長期的過程,一方面我們與商業公司合作,直接買規則使用;有一些個別規則我們也會自己書寫制定,不斷運營迭代。總的來說,還是要根據企業實際需求來考慮。
9、安全中臺如何分階段實施?階段目標如何設置?項目成果怎樣控制?
我認為安全中臺主要以後臺為基礎,這就要求我們後臺首先要具有一定的規模。以央視網為例,我們的安全中臺是由漏洞、治理系統延伸而來的,因此脆弱性相關的問題就是我們優先解決的階段。以漏洞延伸,就是很對威脅的檢測,我們的當前的重點就在這裡。
所以,階段目標如何設置其實就是看我們在某一個時間段裡最關心的問題是什麼。而成果又一定是根據目標來設計的,比如漏洞多久能改完,修復漏洞的效率能提高多少,發現的威脅能提高多少等。項目成果的控制其實就是管理方面的問題,如果是項目,就走項目管理機制;如果在內部,就實行一些激勵機制讓大家努力朝著更好的方向去前進。
10、中臺立項,投資規模如何預估?
投資規模要看中臺怎麼做。如果是分階段的話,我們要根據目標來預估,包括需要的硬件、軟件、人員,開發等,我認為這當中並沒有特別通用的用戶方法。但是從我們自己角度來說,每一個階段如果明確的話,就是把所有的工作細化,自然投資就出來了。
11、如果已經用了廠商的大數據類相關產品,如何演進到安全中臺?是否需要推倒重建?
首先,推到重建肯定是不用的。我們在與很多安全廠商的交流中得知,如果要做安全中臺,需要廠商有豐富的接口與中臺對接。目前來看,數據對接層面,很多大數據廠商還是符合要求的。但是從規則迭代來看,由於很多大數據平臺無法對甲方完全開放,這會不利於我們的算法跑在他們產品上。不過即便不開放,我們也可以把態勢感知當做是整個威脅分析或者建模中一個模塊,也可以在安全中臺上根據自己的需求建立新的模塊與態勢感知匹配。
12、目前的整個中臺設計,需要全流量、全包存儲嗎?
我們南北向的流量是全流量存儲,也叫全流量分析。根據實際存儲情況,我們會清理最老的數據,保存時間一般為2周;流量分析只保存很短的時間,基本上實時就夠用了。
13、對於安全的各種不確定性,如何在安全中臺裡處理成標準?
中臺所謂的標準其實流程上的標準化,不是所有的分析邏輯和操作標準化。所以我們自建安全中臺的原因,就是希望可以根據實際情況靈活調整我們的流程、策略。因此我認為標準化是要把我們流程工作的機制標準,當然我們標準化的機制本身就是用來應對不確定性的。
總結
感謝黃樂的精心準備,為本期“安在講堂”帶來了如此精彩且專業的分享。後續,安在將繼續精心打造“安在講堂”系列節目,誠邀網絡安全大咖進行分享,給各位聽眾帶來更多、更專業的直播內容。倘若因此能引發行業聽眾的思考,推動網絡安全進一步交流和發展,安在不勝榮幸。
再次聲明,本期文章所有內容皆可在千聊“安在講堂”直播間回看,公益講座,全部免費。
最後,向仍然奮戰在疫情一線的醫護、軍隊、志願者等勇士們致敬!
