欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一个10年陈酿的安全管理员:终端安全运营的实践和思考

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿

经过几次北门例行碰(扯)头(淡)会的头脑风暴,我们决定做一些经验交流的内容,主要梳理安全运营中的难点和痛点,争取寻找几个容易引起共鸣的子题目,用适合的案例介绍我方团队如何摸索和实践安全运营。
现在国内众多安全会议,各种高大上的概念模型,日新月异的新鲜词汇,真正落地时,就连最基本的终端防护是否能做好都要打上问号。近期台积电病毒事件爆发,直接造成78亿新台币损失,究其原因竟然是一个一年前已经发布的补丁。看似基础运营层面的纰漏恰恰反应出安全团队本身在风险评估和体系落地上的缺位。九层之台,起于垒土,地基打好了,楼才能盖高,否则工具再多也是浪费。
我叫欧阳昕,是一个10年陈酿的安全管理员,趟过坑,扛过雷。从去年开始,团队对单位10多万终端安全防护进行了功能梳理、整合和优化。项目建设和后期的运营工作比例约为3:7。以下将结合项目经验,采用问题场景复盘的模式,探讨政府单位或大型企业内部终端的安全运营实践。
正文
开篇先简单介绍一下终端安全的发展历程。终端安全是信息安全的一个细分领域,出现时间较早,基本上伴随着信息安全概念的出现便随之应运而生。在过去一段很长的时间里,国内的防病毒就等于终端安全,终端安全就等于信息安全。毕竟在信息技术发展的早期,网络攻击和黑客技术还没有像现在一样日新月异,大型分布式应用系统还没有广泛使用并提供社会服务,各类威胁、漏洞还没有引起从业者的广泛重视……以现在的标准衡量,那时候仅仅是刚解决了互联互通的“温饱问题”,基于这种“自然条件”的约束,黑客们的工具和手段比较原始,能做的坏事比较有限,病毒成为最直接有效的“凶器”。后来,随着技术的不断进步,终端安全威胁的边界逐步扩展,终端安全管理的方法论也逐渐成熟,在一个由海量终端组成的大型内部网络中,终端安全一般被定义成以下几个方面的工作:防病毒、补丁分发、桌面管控、网络准入以及行为监测和取证。最后,随着近几年ABC(AI,Big Data,Cloud)技术的迅猛发展,终端安全的受众范围又发生了一定的变化,从单一的计算机终端分化成办公环境的终端领域,服务器终端以及新一代的移动终端等三小类。本文将重点结合实践经验,介绍企业内网中计算机终端的安全运营实践。
探讨分三部分,包括准备篇、实践篇和展望篇。
第一部分准备篇:从运维到运营的角色转变是提升终端安全防护能力的先决条件
各位读者,如果身处这个行业,又从事甲方工作,可以先在脑海中思考几个问题:自己每天的工作内容是什么?是否亲历过影响范围波及网内80%以上终端的安全事件?有没有因为产品功能的问题怼过乙方?会不会觉得手上一直没有合适的工具或工具集去解决复杂的终端安全问题?有没有感觉到工作内容和工作职责的不匹配?
以上问题,折射出一个安全团队从运维到运营职责的转变轨迹。随着问题的陆续爆发,运维的同学会逐渐感觉到挫败和沮丧,因为似乎自己没日没夜的加班也不能消除问题的发生,反而逐渐在不断“跳坑–爬坑”的循环中迷失。我尝试解答这个问题:甲方安全团队,其本质上与一般的IT运维团队是不同的。
首先看看运维工作的定义:一般指对所负责系统的软、硬件资源优化、维护和告警处置,以确保系统提供服务过程中更好的发挥价值。对比一下安全团队的职责,他们的定位首先是系统的使用者,依据企业战略、总体规划、业务需要以及各类合规性文件,制定安全管理目标、发布安全管理要求、规划安全基础设施建设的技术路线,并以管理者和业主的身份,参与系统的建设,接管系统的使用,最终期望借此推动管理要求的落地,促进安全防护水平的提升。
显而易见,安全运营团队与传统IT运维团队的最大区别,是工作角色的差异,团队成员不但要承担系统日常巡检、策略配置和告警处置等运维层面的工作;还要作为业主方,依靠安全系统和技术手段,通盘考虑整体运行态势并作出决策性调整,以实现业务增值和管理效能的提升。概括起来就是从“我要怎么做”进化到“为了做什么我要怎么做”。因此,还在坑里的同学们应该意识到,您的工作职责显然不能仅局限于系统运维了,而是要更加关注所运维系统自身的价值和服务能力。可以说,甲方安全团队在成立之初就已经生成了运营的基因,无从选择,尽早完成思维模式的转变是做好终端安全管理的先决条件。
第二部分实践篇
如果您看到这里,说明至少对运营的概念有一定程度的接受。接下来,可以聊一些具体的案例,看看运营工作的痛点。
老生常谈的全生命周期终端资产管理是重中之重
资产管理是终端安全运营中最重要的基础问题,重要到没有资产管理就谈不上终端安全。试想当一个安全团队被有关方面通报了一台终端出现安全问题并要求快速处置时,一不清楚被通报的终端在哪,二不清楚具体的使用人,三不清楚这台终端的安全防护系统是否健全,四不清楚怎么快速完成修补……此时此刻,会议室里寂静无声,通报方、管理者和安全团队心里不断涌现大写的黑人问号脸……最后议定由安全团队进行扫楼式的搜查,直到找到这台终端为止。
这是一个很有代表性的场景,我们常说安全问题最终可归结为一个风险管理问题,而风险又可以量化成发生的概率乘以影响的后果。在这个场景中,最可怕的不是计算出来风险值有多大,因为多大都可以想办法去修补,真正可怕的是因为资产管理的问题导致风险未识别,最终标记为0。要知道,对大多数甲方终端安全运营团队而言,管不好和不管可是两种性质的问题了,台积电病毒事件就是最好的证明。
全生命周期的资产管理并不是一个新鲜的名词,对一个稍具规模的企业而言是体系建设的必须选项,ISO55000族标准中有相关要求和介绍,在此不做赘述。可以想象,一个具有海量终端资产的内部网络,往往预示着企业由横跨了多个业务、管理、行政条线的部门组成,因此除了制定标准规范外,如何有效打通资产生命周期内上下游的壁垒,形成动态的资产信息发布和收集,是每一个类似企业的安全运营团队所共同面临的挑战。比较常见的案例是“中间不要两头严”,例如通过强制行政效力完成了资产发放和回收过程的记录和信息共享,确保硬件资产价值本身可以被追踪回溯,但是忽略了在使用过程中对该设备使用人、物理位置以及相关软件资产的变更和记录,导致出现问题没有告警、不好定位,影响快速处置的效率。那么,回到最初的问题,怎么做好全生命周期的终端资产管理呢?我认为这是一个太大的问题,无论是理论体系还是技术实践,都不是一本书能够说清楚的,姑且用我方团队的实践经验抛砖引玉:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载