1 網(wǎng)絡(luò)安全數(shù)字化轉(zhuǎn)型也勢在必行
傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)方式下,企業(yè)的各種網(wǎng)絡(luò)安全系統(tǒng)大多是獨立采購或獨立建設(shè)的,不同品牌不同類型的產(chǎn)品或系統(tǒng),無法做到設(shè)備之間的協(xié)同聯(lián)動縱深防御,導(dǎo)致企業(yè)內(nèi)部形成很多安全孤島?;ヂ?lián)網(wǎng)、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展帶來很多新的業(yè)務(wù)模式,例如云防護系統(tǒng)、移動安全防護系統(tǒng)、物聯(lián)網(wǎng)安全平臺等,新的模式需要新的安全系統(tǒng)去做支撐,這進一步加劇了網(wǎng)絡(luò)安全孤島的問題。分散的各個安全孤島存儲了大量安全數(shù)據(jù),發(fā)生安全事件需要通過多個系統(tǒng)數(shù)據(jù)去做分析研判,沒有統(tǒng)一分析攻擊效率極低,導(dǎo)致這些安全數(shù)據(jù)無法分析或者只能采用簡單規(guī)則進行分析。在合規(guī)監(jiān)管力度不斷加大,網(wǎng)絡(luò)中常常部署大量監(jiān)測類安全系統(tǒng),對流量和日志等數(shù)據(jù)重復(fù)采集,造成大量IT資產(chǎn)重復(fù)投資和運維成本倍增。讓企業(yè)管理者來說,網(wǎng)絡(luò)安全工作是看不見也看不懂的,導(dǎo)致無法很好對企業(yè)的網(wǎng)絡(luò)安全決策,跟不上應(yīng)對日益嚴峻的網(wǎng)絡(luò)安全新形勢。
因此需要一套機制整合分散的各個安全孤島的數(shù)據(jù),快速構(gòu)建網(wǎng)絡(luò)安全能力,為企業(yè)網(wǎng)絡(luò)安全決策、常態(tài)化安全運營和網(wǎng)絡(luò)安全應(yīng)急保障提供支撐,這就是網(wǎng)絡(luò)安全數(shù)據(jù)中臺。
網(wǎng)絡(luò)安全數(shù)據(jù)中臺(以下簡稱“安全中臺”)是一套可持續(xù)“讓安全數(shù)據(jù)用起來”的機制,是一種網(wǎng)絡(luò)安全建設(shè)新的模式,實現(xiàn)網(wǎng)絡(luò)安全工作可見、可用和可運營,既能提升安全管理、決策水平、又能支撐網(wǎng)絡(luò)安全運營。
2 “安全中臺”五大組成
“安全中臺”構(gòu)建思路是通過大數(shù)據(jù)技術(shù),將多元分散異構(gòu)的安全數(shù)據(jù)通過采集匯聚、整合加工、智能分析、可視化和價值變現(xiàn)五個組成部分,讓企業(yè)高層、信息化部門、網(wǎng)絡(luò)安全運營部門和業(yè)務(wù)部門可以方便使用安全數(shù)據(jù)。
采集匯聚
企業(yè)往往部署大量的IT資產(chǎn)和安全設(shè)備,”安全中臺”需要對這些多元異構(gòu)數(shù)據(jù)進行統(tǒng)一采集和整合,需要采集數(shù)據(jù)可分為資產(chǎn)類、漏洞類、威脅情報類、日志類、告警類和流量類等,針對不同廠商采用通過KAFKA、API和syslog等多種方式。
整合加工
采集的數(shù)據(jù)就樹木,經(jīng)過加工成木材才能方便使用。同樣安全數(shù)據(jù)在分析前需要進行預(yù)加工處理,需要對數(shù)據(jù)解析、數(shù)據(jù)歸一化、數(shù)據(jù)過濾、數(shù)據(jù)補全、數(shù)據(jù)清洗等操作。為保障數(shù)據(jù)的完整性、可用性,從而實現(xiàn)數(shù)據(jù)的資產(chǎn)化,還需要如下操作。
質(zhì)量監(jiān)測:通過建立不同維度的數(shù)據(jù)質(zhì)量指標(biāo),來描述整體數(shù)據(jù)治理質(zhì)量程度,對數(shù)據(jù)全生命周期質(zhì)量監(jiān)控結(jié)果進行展示。
血緣分析:是指搞清楚數(shù)據(jù)的來龍去脈,就是我們這個數(shù)據(jù)是從那來的,經(jīng)過了哪些過程和階段,通過血緣分析實現(xiàn)數(shù)據(jù)融合處理的可追溯。大數(shù)據(jù)
安全分析
隨著攻擊手段多樣化和智能化,單個的安全設(shè)備已經(jīng)很難發(fā)現(xiàn)的復(fù)雜安全問題,需要安全數(shù)據(jù)結(jié)合起來分析才能發(fā)現(xiàn)那些潛在的威脅。大數(shù)據(jù)技術(shù)以及高難度識別、機器學(xué)習(xí)等人工智能技術(shù)的快速發(fā)展,推動了網(wǎng)絡(luò)安全技術(shù)的不斷升級。
采用機器學(xué)習(xí)、人工智能技術(shù)和威脅情報進行安全數(shù)據(jù)的挖掘和預(yù)測,通過安全建模和高級威脅分析,能夠快速、準(zhǔn)確的取證調(diào)查和威脅追溯,持續(xù)監(jiān)測與分析,部分場景的自動化提升安全運營效率。
可視化
為了讓安全數(shù)據(jù)用起來,“安全中臺”需要提供便捷快速的數(shù)據(jù)服務(wù)能力,支持場景化快速輸出。
基于合規(guī)監(jiān)管:具有等級保護、風(fēng)險評估、密碼評估、數(shù)據(jù)安全和個人信息保護等合規(guī)態(tài)勢分析。
基于攻防實戰(zhàn):具有攻擊態(tài)勢、資產(chǎn)態(tài)勢、漏洞態(tài)勢、威脅態(tài)勢、橫向威脅、安全事件等多維度建模分析結(jié)果。
基于業(yè)務(wù)保障:具有業(yè)務(wù)系統(tǒng)安全監(jiān)測狀態(tài)、用戶行為畫像、業(yè)務(wù)資產(chǎn)檔案、人員安全考核、業(yè)務(wù)數(shù)據(jù)泄露和業(yè)務(wù)場景分析態(tài)勢分析。
價值變現(xiàn)
云計算、大數(shù)據(jù)和人工智能等新技術(shù)的快速發(fā)展和網(wǎng)絡(luò)安全應(yīng)用場景不斷融合,通過“安全中臺”,可以海量收集企業(yè)歷史安全數(shù)據(jù),利用這些數(shù)據(jù)可以發(fā)現(xiàn)高級復(fù)雜的安全威脅,也可以快速感知網(wǎng)絡(luò)安全威脅并作出反應(yīng),實現(xiàn)安全工作自動化和智能化。同時為上層安全應(yīng)用系統(tǒng)提供數(shù)據(jù)資產(chǎn)共享,避免重復(fù)數(shù)據(jù)收集存儲。通過安全數(shù)據(jù)分析客觀全面反應(yīng)現(xiàn)有安全問題,科學(xué)評價安全建設(shè)成效,公正評價相關(guān)部門和人員安全工作情況。
企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀不同,對安全能力訴求也不盡相同,網(wǎng)絡(luò)安全數(shù)據(jù)中臺的建設(shè)側(cè)重點也不完全相同。“安全中臺”實施不是一套標(biāo)準(zhǔn)化安全產(chǎn)品,而是一套解決企業(yè)網(wǎng)絡(luò)安全管理難題的新方案。站在企業(yè)角度,“安全中臺”為安全運營和上層安全應(yīng)用做支撐,能幫助企業(yè)沉淀網(wǎng)絡(luò)安全知識,提升安全管理效率,最終完成網(wǎng)絡(luò)安全能力構(gòu)建。
3 五步法構(gòu)建“安全中臺”
“安全中臺”通過五個步驟完成。
調(diào)研現(xiàn)狀、確定架構(gòu)、構(gòu)建資產(chǎn)、使用數(shù)據(jù)和安全運營。
● 調(diào)研現(xiàn)狀:詳細調(diào)研企業(yè)目前IT建設(shè)、安全設(shè)備和運維使用等情況,對每個安全設(shè)備存儲那些類安全數(shù)據(jù),存儲數(shù)據(jù)量大小,數(shù)據(jù)字段、數(shù)據(jù)接口和目前沉淀情況。
● 確定架構(gòu):根據(jù)調(diào)研現(xiàn)狀,確定業(yè)務(wù)架構(gòu)、技術(shù)架構(gòu)、應(yīng)用架構(gòu)和數(shù)據(jù)架構(gòu)。業(yè)務(wù)架構(gòu):面向企業(yè)高層、安全管理人員、安全運維人員、安全監(jiān)管人員、安全評價人員,確保中臺能適用企業(yè)內(nèi)部安全管理制度和流程。技術(shù)架構(gòu):對數(shù)據(jù)采集、存儲、計算等環(huán)節(jié)技術(shù)進行選型。應(yīng)用架構(gòu):是指數(shù)據(jù)中臺應(yīng)用架構(gòu),對上層應(yīng)用的支撐。數(shù)據(jù)架構(gòu):是企業(yè)安全系統(tǒng)之間共同語言,在數(shù)據(jù)層面保證安全業(yè)務(wù)和安全技術(shù)的一致性。
● 構(gòu)建資產(chǎn):企業(yè)構(gòu)建符合安全場景需求又滿足數(shù)據(jù)架構(gòu)要求的數(shù)據(jù)資產(chǎn)體系并實施,包括數(shù)據(jù)匯聚、數(shù)據(jù)倉庫建設(shè)、標(biāo)簽體系建設(shè)等。標(biāo)簽體系是對安全對象構(gòu)建數(shù)據(jù)標(biāo)簽,可以通過標(biāo)簽方便支撐上層應(yīng)用。
● 使用數(shù)據(jù):將構(gòu)建的數(shù)字資產(chǎn)通過服務(wù)化方式,應(yīng)用到具體安全應(yīng)用中,同時要考慮數(shù)據(jù)安全問題,那些人可以使用數(shù)據(jù),可以使用什么類型服務(wù),都需要嚴格認證授權(quán),這樣才能發(fā)揮安全數(shù)據(jù)價值。
● 數(shù)據(jù)運營:安全數(shù)據(jù)被應(yīng)用到安全管理系統(tǒng),例如安全管理平臺、態(tài)勢感知等,產(chǎn)生的價值是通過安全運營呈現(xiàn),讓人感知到安全數(shù)據(jù)的價值?!鞍踩信_”建設(shè)運營是一個持續(xù)建設(shè)和優(yōu)化過程,不斷挖掘數(shù)據(jù)在安全場景使用模式。
4 總 結(jié)
什么樣企業(yè)適合上網(wǎng)絡(luò)安全數(shù)據(jù)中臺?這和企業(yè)安全現(xiàn)狀、安全建設(shè)投入、人員能力和投入產(chǎn)出比等息息相關(guān)。如果一個企業(yè)具備一定網(wǎng)絡(luò)安全建設(shè)基礎(chǔ),例如通過等級保護三級測評,部署了態(tài)勢感知、威脅情報、安全管理平臺、UEBA等安全管理系統(tǒng),沉淀了一些安全數(shù)據(jù),業(yè)務(wù)場景復(fù)雜對網(wǎng)絡(luò)安全保障要求較高,要滿足持續(xù)應(yīng)對攻防實戰(zhàn)需求,滿足以上特征企業(yè)可以考慮。企業(yè)對安全數(shù)據(jù)應(yīng)用能力成熟度越高,說明安全數(shù)據(jù)對安全管理的支撐能力越強,讓數(shù)據(jù)驅(qū)動網(wǎng)絡(luò)安全決策和管理,而不是僅憑安全管理人員的經(jīng)驗,這才是網(wǎng)絡(luò)安全數(shù)據(jù)平臺建設(shè)最終目標(biāo),真正的讓安全大數(shù)據(jù)用起來,開啟網(wǎng)絡(luò)安全建設(shè)下一站。
原創(chuàng)丨空空
出品丨北京一等一技術(shù)咨詢有限公司
來源:等級保護測評