撰稿 | 蓝河
编辑 | 图图
“安在讲堂”是由安在新媒体在千聊平台直播间全新开设的“网络安全公益讲座”系列栏目,广邀业内一线专家和安全大咖作为嘉宾,聚焦行业关注、响应从业者呼声,一同探索网络安全行业“危机下的规划与变化”。
2020年2月19日晚,央视网网络安全部副总监黄乐做客“安在讲堂”直播间,以“疫情与安全中台,央视网安全中台建设思路”为主题进行了分享,与听众们一起,共同为安全中台的行业实践贡献了宝贵的经验和见解。
长按上方二维码看回播
(注:本期文章所有内容皆可在千聊“安在讲堂”直播间回看,公益讲座,全部免费。)
嘉宾介绍
黄乐:央视网 网络安全部 副总监
十年网络架构设计经验,五年安全体系建设及管理经验,清流派企业安全沙龙创始人,两个安全公众号主理人。
在央视网主要负责网络安全架构的设计和建设。主要包括攻防对抗技术研究、安全检测及防御体系建设、安全播出管理平台建设、漏洞治理平台研发、威胁感知平台研发、应急响应系统研发等工作。同时,提出了“重检测,轻防御”的安全架构设计理念,并通过“快速及格、逐步迭代”的思路快速落地了央视网安全播出管理平台,并衍生了安全中台的建设。
清流派企业安全沙龙是安全行业甲方闭门沙龙,每月邀请各企业安全部门负责人从多个方面探讨企业安全建设及管理的思路和经验。
央视网黄乐:疫情与安全中台,央视网安全中台建设思路
(以下内容由黄乐分享,安在进行整理)
一、疫情当前,安全工作面临的问题有哪些?
疫情“黑天鹅”给我们带来了很多的变化:不能出去玩,不能和朋友聚会,不能上班。虽然疫情给我们的生活带来了很多的困难,但是作为安全从业者,我认为面对变化和挑战一直都是我们的本职工作。
无论是攻防、应急、管理、沟通、运营还是内控,这些日常工作其实都不简单,所以疫情无非只是摆在我们面前的另外一个困难而已。克服困难是我们的职责,所以我们要端正态度,这是一切的基础。
我们所面临的问题,我认为主要包括工作状态、沟通效率、内部权限、项目推进、项目取消、交流、测试以及我们安全工作者的饭碗。
云上班的工作状态,是我认为企业面临的最大的问题也是所有问题的根源。以目前的IT发展现状来看,很多工作都是可以通过远程协作办公的方式来处理的,因此,调整好工作状态才是最为重要的事情。
作为团队负责人,我们不仅要调整好自己的工作状态,更要一点点推进整个团队工作的进程,进程的推进也会帮助其他同事工作状态的回升、
线上的沟通方式,一定程度上会带来沟通效率的降低。因此做为团队负责人,我们需要帮助同事们尽快习惯这样的沟通方式;同时在对上沟通环节,我们要更加紧密频繁地去同步、汇报工作,让领导在看不见你情况下也能知道你所做的事情。
对于安全团队,我们要重点关注因访问内部权限而开启的临时通道,每一次通道的开启都会产生新的安全隐患,因此确保临时通道的安全性是当前安全工作的重要一环。
面对部分项目推进速度降低甚至取消的情况,我们需要及时制定新的项目推进计划或是快速找到可替代的解决方案。切记不要抱怨,因为越是危机当前,越是展现作为一个安全工作者应急处理能力的好机会。
虽然在“安在讲堂”第一期节目里,嘉宾们对于危机当前网络安全行业的发展还是保持乐观的态度,但我要友善提醒,对于我们安全工作者个人来说,饭碗问题还是要取决于当前供职企业的运营情况,要有适当的危机感。
总的来说,疫情的发展给我们带来的最根本问题还是在于云上办公。其实在平常的工作环境中,安全工作的涉及范围也是非常广的,不管是沟通、协调还是流程等,都会占用大量时间。因此,一个能够将日常系统、对外协调流程以及安全能力全部整合到一起的系统,就非常符合当前的需求。
二、央视网安全中台建设思路
安全中台到底是什么?从我们的思路来看,首先要有标准的输入输出,将所有的数据和流程都统一的中台中,便于数据的整合和梳理;二是从服务质量、数据格式、工作流程所有相关工作和流程都建立标准化,使整个企业上下所有人都可以通过统一的安全入口调用安全能力。
以入侵检测为例,在非工作时间可以通过确定性很高的规则随时封堵恶意攻击行为,这可以让企业安全能力得到极大的提升,对于企业安全体系建设十分重要。
最后,如果可以简化交互,将人和人之间的交互放到系统流程中,那么就可以降低远程工作做带来的影响。
总的来说,我所理解的安全中台是一个可以将前台业务和后台具体安全能力,人与人、人与产品之间连接的桥梁。通过整合各类攻防、流程、日常工作数据,实现安全能力的不断提升。通过安全中台,企业可以更加流畅地开展安全工作,更稳妥调用各类安全能力,使企业安全工作更加有趣、高效。
央视网安全中的总体架构包含基础层、数据层、策略层、处置层以及可视层。
数据层的核心思路有两个,一是通过场景找数据,二是尽可能使用现有的基础设施。我们在和安全厂商沟通的时候,通常都是先了解数据再看可分析的情况,也就是通过数据找场景。这在甲乙双方角度来说,本没有什么问题,但是站在甲方自建安全中台的视角上,我认为这可能会出现思路上的盲点。
所以央视网现在遵循的思路是通过场景找数据,也就是先从策略层知道我们需要分析的策略,再根据我们所需要分析的策略回头找数据,这样就可以有效避免忙点。
央视网目前拥有自己的数据中台、运维平台,我们不会重复建设这类平台,那么我们就需要充分利用这些基础设施,通过接口或同步数据库来获取这些平台里的数据。
总的来说,把数据分析所需要的数据项全部拿出来,在内部对接几乎全部可以对接到的数据源,就是我们在数据层所做的事情,根据每个企业的实际情况可以灵活设计。
央视网目前安全中台的建设融入了威胁感知模块,因此在策略层,我们做的是比较重的。整体上来说,策略层的建设思路有4点:参数可控、规则可迭代、经验反哺以及安全能力螺旋上升。
首先是参数可控,对于所有的商业产品,我们要有所有的参数都是可控的。而对于部分商业产品,我们需要一些细致的规则可以灵活定制,根据企业不同的需求也可以在算法中进行调整,这就是规则可迭代。
因为安全工作需要不停地面对变化,再好的系统如果丧失了进步能力也会被慢慢淘汰,因此我们认为安全工程师的经验要能够不断翻不到安全分析模块之中,做到经验反哺。最后则是在保证检出率和覆盖率的基础上,确保安全问题不会在同一个地方重复发生,安全能力需要“日拱一足”式的进步,也就需要具有螺旋上升的机制。
除此之外,例如分析策略的筛选、自主策略的开发流程、数据的闭环以及参数的设置等,我们也会在策略层予以实现。
处置层包含了我们在日常工作中对于所有安全事件的处理,主要有三种重要的处置流程。一是从研判到处置的流程,针对威胁事件的研判和处理方法,我们需要制定标准流程化。二是应急机制,我们开发了一套应急管理系统,可以通过录入应急预案,一键执行应急操作,并配合人工审计。
最后通过与安全产品之间的联动,对各类安全事件联合封堵。目前市场面威胁分析产品很多,但大部分不具有联动能力或只能与子品牌产品联动。联动对于我们来说非常重要,并且要尽可能实现自动化。
自动化的联动至少会带来三个好处:一是大幅度缩短封堵的时间,压缩入侵者活动时间;二是降低人工封堵所带来的误操作风险,保障系统稳定性;三是自动化的联动,可以弥补我们非工作时间的空缺,帮助我们完成基础性的安全工作。
过去我们提到企业信息安全展示大屏,通常会联想到地图炮,但实际上随着态势感知类产品耳朵增多,这类内容的展示效果也有所降低。
所以在设计展示层的时候,我们遵循了高层、中层和基层三个维度。对于高层,我认为力求让领导看懂,快速获得他们想要了解的信息,切勿炫技;对于中层各部门领导,他们往往需求高效率,数据真实,所以一定不能造假;对于基层,由于基层工程师具有极强的操作能力,所以我们要尽可能给他们提供可定制的界面,简洁干净。
我们再来看看工作台,因为工作台是提供给所有安全工作人员的交互界面,我们希望所有的工作都能够在工作台完成,所以工作台是安全中台非常核心的部分,工作台的设计思路也显得尤为重要。
从整个工作流程来看,无论是各类异常数据还是工单类的申请,都需要通过预处理模块交给工作台,再由工作台经过不同流程之后将结果输出。那么对于工作台而言,最关键的部分就是要将输出的数据转化成知识再输入到预处理模块,以帮助预处理模块未来输出更高的质量,从而减轻人的工作量。
按照以往安全数据分析的方式,我们无法得知数据分析师的分析逻辑以及除告警之高所查询的其他数据,也无法得知数据分析的效果如何。即便数据分析结果没问题,但在工程师离职或换班以后,经验也无法得到留存。
而在建设工作台之后,我们可以清晰地看到数据分析师在整个分析过过程中通过哪些数据做出了最终判断,既可以抽查数据分析效果,也可以将其作为经验积累到分析规则之中,更可以作为有标注的训练数据放到算法里进行训练,这样就可以使安全分析工作在有审计的基础上,实现分析能力的螺旋上升。
在安全中台里,人所扮演的角色依然非常重要。毕竟中台是死的,人是活的,所以我们需要不断积累和输入经验;在制定和调整策略上,任何将经验转换成策略,都需要通过人来制定;而对于某些难以写成策略或规则的“意会”事件,还是离不开人为的处理。
总结来说,安全中台是人与人、人与机器之间的桥梁,通过整合各类功放数据和流程数据、日常工作数据,实现安全能力的不断提升。不过,从目前来看,企业安全中台的设计很难有最佳实践,我所分享的也只是央视网安全中台建设的一些思路和经验,不作为最佳实践,希望能给大家一些启发。
三、危机也是机会
这段时间最打动我的一个词叫“苟且红利”——在别人苟且的时候,通过自己的不苟且所能获得的红利。
我认为这次疫情其实是很多人翻身的机会,不仅仅是安全行业。在我身边有很多人都在抓住时机打磨内功,我相信疫情结束以后,一定会涌现出一大批人突飞猛进,让人眼前一亮。
所以,在固化的生活方式被打破的当前,我认为我们可以好好地反思和内省;同时,将这次强制性大范围远程协作试验的机会看作是应急演练,以此来检验我们过去自以为的远程协作机制到底够不够好;最后,好好陪伴家人,珍惜与家人相处的时光。我也相信,经历完这次疫情,一定会让我们更加珍惜生活。
问答环节
1、安全中台的核心功能有哪些?
第一个是工作台模块,这是我们最为看重的,也是我们要放到展示、人机交互层面的模块。第二个是数据,在数据层我们主要设计了整个数据的反馈机制,因为反馈机制可以将数据转化为知识。第三个是处置联动,如果能将固化的策略直接变成联动的动作,将可以使整体安全能力得到很大的提升。
2、怎样在数据层中尽可能多地使用现有的基础设施?有无最佳实践?
从现有认知来看,安全中台很难获得最佳实践,因为每个企业的现状、发展情况、基础设施情况等都不一样。从我们角度来说,凡是能取到的数据,我们尽量通过数据接口去获取临时数据来做分析,只有攻击类、攻防类数据由我们自己保存。还是要根据企业实际情况去具体操作,没有办法抛开一切只看最佳实践。
3、IAM、PKI、日志审计等算不算安全业界提前实现的一部分中台功能?
我认为算。央视网的中台其实是一个整合的系统,把底层的功能整合、包装,灵活调用后台的功能,是中台对下的逻辑。对上有一系列标准化且易用的接口,可以让我们更好地使用安全能力。因此具体哪个模块属于中台哪个不算,没有一定的规则。
4、工作台的预处理是如何判定是否为沉淀知识的?
针对这个问题我们有两个维度。一是人工判定,将已经处置的结果定期做人工复盘,再将人工书写的规则更新到预处理欧快当中。二是将数据分析师在数据分析中使用的数据,得出的结论转化为带有标注的训练数据,这样就可以使安全分析工作在有审计的基础上,实现分析能力的螺旋上升。
5、安全中台是否可以替代日志审计、态势感知、威胁检测等产品?
从我们自身建设经验来看,安全中台并不是替代这些产品,而是在更好地使用这些产品。通过安全中台的串联,我们可以把包括态势感知、威胁检测能在内的各种模块放在安全中台里一起建设,也省去了单独建设这类模块的繁琐。我个人认为,安全中台不替代任何具体功能的产品,解释为集成和管理的平台会更加合理一些。
6、针对安全管理一般会设计哪些考核指标?
从考核指标来说,有两个大类,第一个是威胁,第二个是脆弱性。威胁基本上就是检出率、覆盖率、已经发生过的问题,如果之前没检测到那么再发生一定要检测到,这是外部威胁的考核指标。脆弱性是我们早期开发了漏洞管理平台,这对漏洞管理的一些列的指标,我们只是把各种漏洞修复的时间做了规定,也就是从时间的角度去评判脆弱性的指标。
7、展示层中对高层主要展现哪些指标?
没有一定的规则,需要主动与高层进行沟通。从安全角度来说,展示某一阶段我们最想要工作中改善的环节,就可以调动大家在这个环节改善的积极性,也会推进改善的进度。这是一个见仁见智的事情,但核心一定是要让高层看得懂,引起重视。
8、数据运营中最关注什么数据?需要哪些角色?包含哪些操作、建模和规则?
以我们自身为例,数据运营最关注的是外部威胁数据。角色上我们设置了数据分析员,专门负责数据分析,以及将分析结果转化为知识的数据管理员这两种。说到操作,我们在工作台中主要想将数据进行整合,希望在数据分析时可以将所有的数据在工作台中直接找到调用。规则的建立是一个长期的过程,一方面我们与商业公司合作,直接买规则使用;有一些个别规则我们也会自己书写制定,不断运营迭代。总的来说,还是要根据企业实际需求来考虑。
9、安全中台如何分阶段实施?阶段目标如何设置?项目成果怎样控制?
我认为安全中台主要以后台为基础,这就要求我们后台首先要具有一定的规模。以央视网为例,我们的安全中台是由漏洞、治理系统延伸而来的,因此脆弱性相关的问题就是我们优先解决的阶段。以漏洞延伸,就是很对威胁的检测,我们的当前的重点就在这里。
所以,阶段目标如何设置其实就是看我们在某一个时间段里最关心的问题是什么。而成果又一定是根据目标来设计的,比如漏洞多久能改完,修复漏洞的效率能提高多少,发现的威胁能提高多少等。项目成果的控制其实就是管理方面的问题,如果是项目,就走项目管理机制;如果在内部,就实行一些激励机制让大家努力朝着更好的方向去前进。
10、中台立项,投资规模如何预估?
投资规模要看中台怎么做。如果是分阶段的话,我们要根据目标来预估,包括需要的硬件、软件、人员,开发等,我认为这当中并没有特别通用的用户方法。但是从我们自己角度来说,每一个阶段如果明确的话,就是把所有的工作细化,自然投资就出来了。
11、如果已经用了厂商的大数据类相关产品,如何演进到安全中台?是否需要推倒重建?
首先,推到重建肯定是不用的。我们在与很多安全厂商的交流中得知,如果要做安全中台,需要厂商有丰富的接口与中台对接。目前来看,数据对接层面,很多大数据厂商还是符合要求的。但是从规则迭代来看,由于很多大数据平台无法对甲方完全开放,这会不利于我们的算法跑在他们产品上。不过即便不开放,我们也可以把态势感知当做是整个威胁分析或者建模中一个模块,也可以在安全中台上根据自己的需求建立新的模块与态势感知匹配。
12、目前的整个中台设计,需要全流量、全包存储吗?
我们南北向的流量是全流量存储,也叫全流量分析。根据实际存储情况,我们会清理最老的数据,保存时间一般为2周;流量分析只保存很短的时间,基本上实时就够用了。
13、对于安全的各种不确定性,如何在安全中台里处理成标准?
中台所谓的标准其实流程上的标准化,不是所有的分析逻辑和操作标准化。所以我们自建安全中台的原因,就是希望可以根据实际情况灵活调整我们的流程、策略。因此我认为标准化是要把我们流程工作的机制标准,当然我们标准化的机制本身就是用来应对不确定性的。
总结
感谢黄乐的精心准备,为本期“安在讲堂”带来了如此精彩且专业的分享。后续,安在将继续精心打造“安在讲堂”系列节目,诚邀网络安全大咖进行分享,给各位听众带来更多、更专业的直播内容。倘若因此能引发行业听众的思考,推动网络安全进一步交流和发展,安在不胜荣幸。
再次声明,本期文章所有内容皆可在千聊“安在讲堂”直播间回看,公益讲座,全部免费。
最后,向仍然奋战在疫情一线的医护、军队、志愿者等勇士们致敬!