欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一个10年陈酿的安全管理员:终端安全运营的实践和思考

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿
首先,明确需求再做规划,我方团队经过多轮次的调研和论证,提出三大类需求:一是要管理的资产要素,包括使用人、IP、MAC、位置、软件信息等;二是使用什么手段进行监测,拟采用的手段包括主机审计、网络准入控制和心跳包监测等,这样可以确保对资产的实时收集和监测,保证全生命周期资产管理的有效性;三是需要什么样的日志反馈作为管理依据,一般而言就是终端安全运营的日常指标,包含补丁下发情况、防病毒查收情况、桌面策略接受情况等。经过这几个需求的梳理,我方团队发现虽然终端资产管理涉及面非常庞杂,但是仍然有一条主线可以遵循,即:牢牢抓住全生命周期的动态安全信息资产。
其次,尽量设计出减少不同职能类型的人员交叉参与的管理流程,广泛依赖信息化、自动化工具完成信息获取。在我方运营团队前期调研过程中,发现各分支机构内部的资产验收、发放、回收、处置等流程差异较大,很难设计出一套完美兼容的流程化管理规范。此外,考虑到人员本身的能力偏差因素,即便开放一套可以共同维护的资产管理平台,也面临着一定程度的隐性错误成本。因此,我方团队最终决定通过加大技术手段的投入,减少人为参与,提升资产管理的有效性和准确性,具体措施是在网络准入层面首先针对机器的基础安全防护能力进行评估,未安装基础安全防护系统的计算机被自动断网;其次通过主机审计实现对主机名和计算机描述的自动采集和字符串校验,确保计算机规范命名且真实有效,不符合规范的被自动断网;最后是精细化运营管理要求,针对计算机的防护软件版本、补丁分发情况、病毒库升级情况进行校验,不合规的计算机均被自动隔离,在完成相关修补后再自动准入。经过以上三步递进式的运营管理,最终形成在网的全量终端资产管理库,且大幅降低了人力投入,显著提升了资产收集和管理效率,有效拓展了针对资产在使用过程中的实时监测能力,自动化的拉齐了终端的基础防御水平。
以上工作,涉及网内12万计算机终端,耗时2个月完成。
为我所用的展示和响应平台是安全运营水平的价值体现
在这个标题中,特意回避了时下比较流行的一个概念:态势感知。引用赵彦老师在《互联网企业安全高级指南》中的原话,“现在的安全行业里除了显得有些务虚的安全理论之外,要么就是一边倒的攻防,要么就是过于超前、浮在表面没有落地方案的新概念,这些声音对企业安全实操都缺乏积极的意义。”作为大神的仰慕者,简直不能同意更多……在这个会做ppt就能造车的年代,思考如何快速发声、抓住眼球、吸引资本,远比漫长的数轮次产品实践打磨,逐步完善进而形成口碑有吸引力。但是,既然身处这个行业,就免不了被各种信息碎片轰炸、洗脑,自然而然的形成了没有态势感知就不能安全运营的理念。
接下来,请您思考一下,在处理终端安全事件时,基本步骤是什么?套用攻击杀伤链和反杀伤链模型,简单阐述如下:
基于情报和规则的发现->对攻击的时间和空间定位->持续的追踪->寻找有效的防御武器->定点清除威胁->评估结果。
事实上,绝大多数安全运营团队在安全基础设施相对完备的基础上,在乙方技术支持和第三方安全服务团队的帮助下,已经将这条路径趟过不止一次了,典型案例就是“WannaCry”病毒爆发过程中,一般甲方运营团队的工作流程都是:收到国家有关部门的通知后拉响内部警报,结合自身安全防护系统的日志情况摸排战损,广泛投递网络隔离、端口禁封、专杀工具、官方补丁等不同维度的防御工具,按照2小时/次(甚至更短)的要求完成第一天工作日的战果汇总,最后领导宣布事态可控,匆匆结束近60个小时的加班后回家睡觉。在整个事件处置过程中,威胁情报获取,内部威胁摸排,应急手段的推广,事件信息的汇总,这就是态势感知这种思维和处置方式在应急事件中发挥作用的体现。本文并不强调平台或产品的名称,态势感知也好,SOC也罢,SRC也可以,只要是能够有效服务于甲方的安全运营工作,并且在应急事件处置中发挥积极作用,那便是有效的。
作为甲方终端安全运营团队,应对纷繁复杂的终端安全运营工作,需要这样一个平台,用来收集内部和外部的情报信息,分析网内的威胁情况,打通各安全系统之间的竖井,自动化的精准下发各类安全防御指令或工具。这个平台,是整个团队的价值体现:首先通过平台建设能够标准化的输出团队宝贵的应急处置经验,固化内部的应急处置流程,形成知识传递;其次为了建设能用、好用的平台,势必要求甲方安全运营团队整合现有安全基础资源,制定标准化的开发接口规范,将已有的安全基础资源封装成一个统一的武器库,试想对海量终端的威胁发现、一键修补和战果评估能够在一个平台上自动化实现,能够减少咱们多少个小时的加班^_^;最后,定制化开发平台的展示、预警功能,可以帮助运营团队细致梳理安全管理的目标和现状,找短板、补差距,真正做到运营夯实管理,管理促进运营。
还有一点建议,不管平台是否建成,首先要仔细梳理过往的运营事件,找到一条适合自己、切实可行的应急处置路径,再尝试从SOC做起,逐步增加漏洞发现、威胁情报收集等功能,同步规划现有安全产品的整合问题,最终的展示细节一定要充分吸取项目主要干系人的意见,因为这是项目成败评价的关键。以上路径,适合于初步具备安全运营能力,但是受限于人员和资源压力,难以同时并发开展工作的小伙伴们。
第三部分展望篇:辩证看待终端安全运营人力资源瓶颈的问题
由于这部分内容和每一个安全运营团队所处的业务环境、企业战略规划甚至是企业规模都息息相关,因此放在展望篇进行探讨,不求大而全,尽量把几个关键因素阐述清楚。
先抛出问题,有没有安全运营团队是不缺人的?可以随机采访任何一个安全团队负责人,相信答案一定是统一且坚定的——缺!同样的问题换一个方式问,团队还需要多少人?估计这个答案就五花八门了,但是基本上比照现有规模翻倍的需求占比应该不低于80%。我和大多数同学一样,常常被这个问题所困扰,总感觉有干不完的事,加不完的班,可是工作量并不会因为前一个任务的完成而降低,就像堆栈一样,没进来仅仅是因为进不来……另一方面,我方团队负责人常常在北门例行碰头会中突发奇想的找到各种新鲜、有趣的运营理念,并要求在工作实践中检验,此举显著增加了团队成员的工作量……经过几次思维碰(互)撞(喷),大家基本上达成一致,安全运营的人力资源投放理论上不可能匹配安全管理的要求。举例来说,一个10人团队管理100台终端,一个10人团队管理10万台终端,工作量是否相差很大?答案是显而易见的。但是,有没有办法在客观、有效、确有必要的前提下,让前者的工作量努力追赶后者?答案也是确定的。因为,安全只是一个相对的概念,没有绝对的安全才是客观事实。安全运营的目标,取决于管理层给团队负责人下达的安全任务书中对安全工作的考核标准。

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载