科技雲報道原創。
從安全的視角看,網絡空間充斥著病毒、黑客、漏洞。在過去,企業習慣用“老三樣”——防火牆、IDS、殺毒軟件來搞定安全。
如果將網絡空間比喻成一個大廈,那麽防火牆相當于門鎖,用于隔離內外網或不同安全域;IDS相當于監視系統,當有問題發生時及時産生警報;殺毒軟件相當于巡視和保證大廈安全的安保人員,能夠根據經驗發現問題並采取措施。
然而,在新的網絡安全形勢下,“老三樣”早已力不從心。
勒索軟件攻擊是近幾年來安全領域的頭號威脅,每一年都發展得更爲猖獗。
網絡安全公司派拓網絡發布的《2024年勒索軟件回顧:Unit 42泄密網站分析》顯示,勒索軟件泄密網站報告的受害者增加了49%,受害者至少覆蓋全球120個國家。
對于一些新型且具備免殺功能的勒索病毒,殺毒軟件壓壓根就無法檢測出勒索攻擊,更不可能阻止勒索攻擊,也無法破解加密的密鑰。
網絡釣魚攻擊也在快速升級,從傳統的郵件轉向了日常使用的微信。當企業員工或個人用戶在微信中被騙掃碼跳轉頁面或加入群,就會被黑客直接釣魚控制終端,進而傳播木馬。
這些木馬只存在手機內存裏,網絡流量經過的也是手機網絡而非企業內部網絡,因此企業部署的防火牆、IDS、電腦裏安裝的殺毒軟件,根本就察覺不到這些網絡風險的存在。
不僅如此,網絡攻擊者仍在不斷改進和創新攻擊技術,如APT攻擊、供應鏈攻擊等高級攻擊手段層出不窮,傳統安全防禦手段全面失效。
面對日益升級的網絡安全態勢,越來越多的安全專家提出了“縱深防禦”、“主動防禦”、“全方位監測預警”、“聯動應急響應”等新的安全理念。
在這些理念的背後,到底有哪些關鍵技術,企業又該如何將其應用到安全實戰中?
構建新一代的基礎安全防護體系
近年來,全球出現了多起“核彈級”的網絡攻擊事件,目標瞄准金融、能源、交通、工業等服務于生産生活的關鍵基礎行業;與此同時,醫療、教育、政府、制造等行業因其特殊性,也是網絡攻擊重點“光顧”的對象。
從網絡攻防的角度看,黑客想要針對某一個組織找突破口是非常容易的。相反,一個資産動辄成千上萬的組織機構想要把每一個關口都把守住,是一個幾乎不可能完成的任務。
但這並不代表防守方只能“躺平”。在新的安全理念支撐下,越來越多的組織機構開始重新“打地基”,構建新一代的基礎安全防護體系。
例如國家水利部,近年來就明確提出了“合規有層次縱深防禦、全方位感知的監測預警、分類施策的關基防護、迅速聯動應急響應”的技術架構體系。
國家水利部信息中心原主任 蔡陽
據國家水利部信息中心原主任蔡陽介紹,在網絡基礎安全防禦方面,水利部從三個方面開展了建設:
一是合規有層次基礎安全防禦,以等保2.0爲基礎,實現物理環境、通訊網絡、區域邊界、計算環境多層次的防護;
二是建設集約統一的安全基礎服務,提高行業整體網絡安全的基線,如:統一身份認證、統一密碼服務、統一情報服務、應用安全基線管理、共享交換等服務;
三是強化關基重點防護,針對不同類型業務采取不同的防禦措施,如:網絡類是加強探測流量加強邊界的防護;應用類是業務深度融合算法模型;數據類是基于全生命周期的防護;工控類是構建安全可信的環境等。
同爲大型基礎設施領域的中交集團,承擔了很多國家大型戰略性工程如:港珠澳大橋、南海填島等,2020年被美國納入實體清單,這些年一直受到境外政治黑客的持續攻擊。
作爲一個擁有17萬員工、11萬台終端、6000台主機、1000余個信息系統,分布在全球的大型複雜組織,中交集團將安全防護建設作爲重中之重。
中交集團科學技術與數字化部總經理助理兼網絡安全處處長 劉學忠
據中交集團科學技術與數字化部總經理助理兼網絡安全處處長劉學忠介紹,中交集團的基礎安全防護搭建了六道防線:
一是雲防護平台;二是互聯網出口,對統建出口進行重兵把手;三是廣域網邊界,爲了避免一點突破全網漫遊,由全集團統建並且統一管控全集團380多個廣域網邊界防火牆;四是總部&各單位內網安全域建設;五是全集團由統一安全防護平台進行防護;六是人的安全意識。
事實上,安全基礎防護的搭建只是第一步。
在近日一場安全會議中,中交集團劉學忠處長反思道:“全集團的網絡安全體系是否能夠真正滿足常態化安全防護的需求?是否能夠滿足特定場景下大規模高威脅敵對攻擊?是不是能夠對全集團網絡安全狀況真正做到可知可控?”
國家水利部信息中心原主任蔡陽也在會議中表示,“建設是一方面,運營對我們來說難度更大,也更重要”。
這一切都指向基礎防護之上的安全運營能力建設——安全常態化、實戰化的關鍵所在。
打造實戰化安全運營的核心能力
當網絡安全防護體系建設不再是簡單的堆砌設備,而是注重實戰化的安全運營能力,運營管理機制和安全技術就成爲雙輪驅動,共同推動組織機構安全實戰化能力的提升。
例如,中交集團就在一體化網絡安全防護平台之上,圍繞“資産管理、漏洞管理、威脅事件管理”打通業務流程,以解決系統相互之間相互獨立、數據無法共享、業務流程割裂的問題,從而形成協同效應。
從整體看,不僅實現了安全防護過程可見和規範化、大幅提升工作效率和質量,通過業務流程完善和風險評估能力提升,也推動安全運營成熟度持續提升。
在國家水利部,則是以算法模型爲驅動,構建一體化水利衛星感知決策指揮系統來支撐安全運營;同時,以威脅情報爲核心,來提升實戰化的攻防能力。
其中,一體化威脅感知決策指揮系統,以大數據爲核心,構建了動態化資産管理、立體化監測采集、業務化融合建模、智能化分析決策、標准化事件處置等子系統。
據國家水利部信息中心原主任蔡陽介紹,過去一天會産生數億條數據、成千上萬條安全告警,人工根本沒辦法進行處置。
現在通過這套系統,正常安全告警只有35條左右,人工幹預處置的效果非常明顯。
同時,通過網絡安全威脅情報的收集、生産、查詢、共享等環節,構建起水利網絡安全聯防聯控機制,通過攻防演練等方式進行實踐和檢驗,持續提升實戰化的能力。
蔡陽談到,威脅情報的建設主要包括兩方面:一是建立水利網絡安全情報中心,二是構建行業聯防聯控機制的建設。這裏面不僅需要私有化情報生産,也需要多渠道彙集情報,以及情報信息的聯動、共享、溯源等。
例如,與上級部門網信辦安全指揮平台、釣魚郵件共享平台、公安部對接獲取情報,與微步在線等網絡安全廠商合作商業威脅情報,來提升行業威脅檢測能力,對惡意攻擊、安全事件提供反查溯源分析支撐,以更好地掌握內外部安全態勢。
不難發現,在中交集團、國家水利部等大型組織機構中,威脅情報都是構建主動安全防禦體系、提升安全運營能力的關鍵。
微步在線技術合夥人樊興華指出,近兩年0day及高危漏洞、勒索攻擊爆發,企業安全運營重心從“威脅”向“風險”演進,而情報能力是實現高效風險發現及消除的關鍵。
不僅如此,AI大模型技術的爆發,也進一步推動著安全運營能力的升級。
目前,國家水利部正在積極探索大模型安全GPT。通過在本地部署威脅檢測GPT和安全運營GPT,在雲端通過千萬級數據樣本訓練,並與水利網絡安全決策感知威脅感知平台打通,來提升安全威脅的檢測和分析能力。
作爲威脅情報領導廠商的微步在線,近日也在大會上進一步演示了微步“情報智腦XGPT”。
自今年1月通過生成式人工智能備案以來,XGPT已實現多次能力叠代與升級,能實時關聯100+數據源與8大分析引擎,精准知識問答與威脅分析,加快事件分析與處置,並全面開放至微步X安全情報社區,成爲企業安全運營的得力助手。
微步在線創始人兼CEO 薛鋒
正如微步在線創始人兼CEO薛鋒所說,在網絡空間裏,“發現”是安全的核心能力,而非一味防護。
以大數據、人工智能爲基礎,威脅情報和安全大模型構成了網絡安全新的生産力,傳統“老三樣”正逐步向NDR、下一代網關和EDR演進,構成新基礎安全。
結語
新的時代,需要新的作戰方法。
隨著網絡攻擊手段的不斷演進和複雜化,傳統安全防禦手段早已失效,平戰結合的安全運營體系能力建設成爲多個行業當前安全建設的核心思路。
總的來說,安全運營需要結合組織機構各種實際的應用場景和已有的安全能力,對接廠商的專業安全能力,再通過管理和流程真正讓其發揮作用,才能變得更加高效、可度量。
【關于科技雲報道】
專注于原創的企業級內容行家——科技雲報道。成立于2015年,是前沿企業級IT領域Top10媒體。獲工信部權威認可,可信雲、全球雲計算大會官方指定傳播媒體之一。深入原創報道雲計算、大數據、人工智能、區塊鏈等領域。
