ISC2018觀察:讓網路安全從“背鍋俠”成為業務驅動力
ISC 2018 已經成 為 網路 安全行業歡聚的盛會,今年的 大 會 吸引了國內外眾多安全主管部門、安全廠商、企業安全運營管理人員、安全從業人員等。從技術的角度,更多的人希望能夠了解和學習最新的安全技術或方法;從管理的角度,如何讓企業網路安全工作從“背 鍋俠” 逐漸 讓大家能夠看到安全存在的價值, 是很多網路安全工作者的理想目標。
眾所周知,在當前絕對多數企業中,網路安全尚處於後端支撐部門,很難有出頭機會,日常若無安全事件發生,會慢慢失去存在感,若有事件發生,往往成為事件處理的背鍋俠。如何讓大家能夠看到安全存在的價值,我想ISC 的一些特點可以借鑑。ISC吸引觀眾的除了高大上的東西之外,我想,首先是視覺化的衝擊,各種炫酷大屏把普通的安全工作展現出來,另一方面,又有具體的技術熱點,這些技術熱點往往直擊最新或敏感業務場景,如ATM機吐鈔等。
所以由此可簡單總結出兩條思路:
1、如何讓普通、基礎的安全工作視覺化,讓自己看得更清楚、讓企業看得懂;
2、應該無所畏懼的靠近業務,摒棄業務複雜、責任纏身的心理,越難的問題往往價值越高,換個角度而言,業務終究是企業生存發展的根本,即使自認後端支撐,也應清醒認識到前端支撐的終極物件。
有了上述兩個思路,我們可以從企業高層管理者的角度來審視當前企業安全工作的達標度,如管理者希望瞭解企業當前每天攻擊量大概多少?都是一些什麼樣的攻擊行為?這些攻擊行為對我們的業務有什麼樣的影響?這些攻擊行為從入侵的過程角度已經到了哪一個階段?是否可以劃分為高、中、低風險類別?我們的安全防護體系是如何針對不同風險級別採取了什麼樣的措施?一連串理所當然的審問往往讓專業安全管理人員無所侍從,但對於企業高層來講,這確實是希望能夠獲得的答案,也應該是企業網路安全部門能夠回答的問題。
如何面對以上非專業風格的問題?
我們可以首先進一步適當轉化並自我拷問一下:我們是否可以識別網路邊界的各種網路流量行為,對於這些行為中異常行為的識別能夠達到多高的準確度,這些攻擊行為具體針對的是哪些業務?事件的預警資訊能夠在多長時間內通知到安全管理人員,每天或每個小時產生的預警資訊量是否多到根本無法有效排除和研判,對於每一條告警資訊我們是否能夠從入侵的角度去還原和聚合呈現攻擊階段?
以上問題對於當前絕大多數的企業網路安全工作來說應該都是非常困難的,但任何一個環節出現不順,都有可能導致整個網路安全運營工作效果大打折扣,我們的IPS/FW/WAF等由於各種原因缺乏更高的準確度,我們的安全運營人員往往由於欠缺攻防知識看不懂日誌資訊,我們每天的攻擊預警資訊大到N個G,各種各樣的問題讓我們沒有底氣和能力去呈現有效的資料給企業看,也無法和業務進行具體關聯。
虛實結合,快速解決問題
虛主要對應前面所提到的呈現問題,從治理的角度制定需要呈現的安全目標,並儘可能量化這些目標,如安全威脅防護效率、漏洞修復率甚至包括業務安全穩定執行時效,讓企業高層經常看得到並看得懂這些目標資料。
實則體現在平臺的改進、人員能力提升、流程制度優化,在傳統商用安全系統的基礎上進行定製化研發,或在有條件的情況下進行自主研發,是改善當前防護問題的一大有效手段,同時安全運營技術走向研發已成為主流、先進趨勢,萬物皆可互聯,一切皆可程式設計,用程式碼作為創新、解決問題的有效工具,更為切實的表達安全管理方法和策略。
虛實結合則為治理和管理的良性迴圈,治理目標促進了管理過程的完善,管理過程的優化和完善可以進一步反向提升改進治理目標。具體來講,前面所述企業高層希望解決的問題則可以轉化為安全治理的目標,而管理過程則落實在網路安全部門的日常安全工作中。
綜上所述,個人認為當前企業網路安全工作中存在的一些典型問題,可以歸結到治理和管理的脫節,而技術、平臺、人的問題則為衍生性問題,這也應該是後續企業網路安全部門進一步思考解決的問題和工作方向之一。
(本 文作者: 360企業 安全技術 專家 王 興明)
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。