诸子笔会 | 杨文斌:以点带线的的安全自动化运营
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
以点带线的的安全自动化运营
文 | 杨文斌
杨文斌
国网电商
安全管理
12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。
自动化最初来源于传统工业,是工业革命变更的衍生品。自动化技术是为了使人从繁重的体力劳动、部分脑力劳动以及恶劣、危险的工作环境中解放出来,提高劳动生产率,增强人类认识世界和改造世界的能力。自动化不局限于产品在某个功能或某个阶段的的生产制造过程,也可以贯穿整个产品的生命周期。
同样,当前网络安全新环境和新形势急速变化,基础架构与网络的规模和复杂性不断增加,导致攻击行为和技术手段不断提高,手动管理安全和应对威胁变得越来越困难。手动操作可能导致问题检测和修复减慢、资源配置错误和策略应用不一致,从而导致各类系统非常容易受合规性和攻击的困扰。安全自动化是安全趋势发展的必然之路,通过技术整合,自动化处理和完成日常的安全运营工作,用最优秀的解决方案和最有效的时间提升企业安全防护能力。安全自动化建设思路没有局限性,可以根据企业自身现状,将安全自动化的思维运用到某个风险点或者流程环节,如果公司已具备系统性安全自动化能力,则可以扩展到流程体系或者纵深的防御体系中。
安全最核心的问题就是漏洞,此处的漏洞是广义的漏洞,包括各种各样的的风险隐患,早期关于漏洞应对方式更加被动,多数是当漏洞被攻击利用时才会去思考如何响应和修复。或者是基于边界防护产品城墙式的加固,属于赌博式封堵,策略命中了就有效,不中就彻底裸露,此方式直接导致策略无限增加,人员投入无止境的耗费。
所以笔者最先引出的问题就是漏洞管理自动化,漏洞管理范畴主要包括资产收集、漏洞分析、漏洞预警、漏洞处置四个方面。
1、资产收集,或者叫资产备案,摸清家底或者了解别人永远是安全建设的第一步,也是企业可以开展安全工作首先应思考的问题,有句老话“磨刀不误砍柴工”说的就是这个意思。对内资产备案自动化可以是通过agent代理方式收集业务资产上下游相关的信息,建立统一性动态资产管控平台,实时监控资产变更,做到“心中有数”。另一方面漏洞库的沉淀也需要自动化的采集梳理手段,外部漏洞情报的获取需要建立适合自身的数据采集机制,内部漏洞的排查需要借助自动化扫描或检测工具,自动发现主客观漏洞。从单纯的信息化资产到漏洞资产都需要了如指掌,主动收缩攻击面。
2、漏洞分析是漏洞管理流程中最核心的部分,在业务资产和漏洞情报都是海量数据的今天,已经无法通过人工方式将资产的受影响范围快速精准的定位出来,需要结合自动化工具,甚至需要融合大数据分析、人工智能等先进技术,才能更自如的应对当下攻击风险。
3、漏洞预警是为了将漏洞分析结果第一时间传达给相关责任人。需要降低层级传达沟通的时间成本,建立自动化的预警通知机制,可以借助短信、微信、邮件等形式定制化将预警结果输出到相关责任人。
4、漏洞处置是整个漏洞修复的最终环节,如何确保漏洞快速有效的修复是管理层和业务团队最关心的问题,需要用最直观的方式将漏洞处置结果完成闭环监测,可以引入自动化实时漏洞预警状态监控方式,避免因人为因素导致的监测不到位。
关于安全除了技控,很大一部分是管控,即通过管理手段来实现,也就是常说的七分靠管。但是安全方面的管理是当下最棘手的问题,安全从企业发展的角度直观体现就是投入及业务冲突,如何更有效的落实安全管理制度和安全事务是安全负责人最迫切的。希望在多方协同下高效推动安全工作实施落地,就需要建立自动化、智能化的管控流程。
应转变原有线下繁长“有纸化”的审批反馈任务流程,建立兼具安全任务发布、领取、反馈、审核等线上化的全流程管控,整个任务流和各任务节点责任人短信绑定,形成自动化的发布响应管控流程。也可以与已有的工单系统进行整合,将安全管控与现有资源融合。
安全管控不是一件容易的事,需要有抓手推进,如果仅是喊口号,基层人员或相干部门不会认真响应。就拿漏洞整改举例,需要依据漏洞整改闭环结果及安全任务落实反馈效果建立考核机制。只有建立线上自动化的管控流程,才能形成长效监管机制,将安全结果由可视化进而量化,让所有安全链条上的人可以直观的发现自己工作不到位的地方,通过完成率、覆盖率、及时率等指标持续进行监管,类似量化指标的输出,各公司应建立形成属于自己的自动化管控流程。
通过自动化技术解决某个安全痛点是企业安全建设急需的运营模式,更多的大型企业需要建立全生命周期或纵深体系的自动化运营安全架构,将所有上下游链条中各个环节的安全问题建立形成自动化解决方案,将流程中的安全工作全部转化到输入输出环节,彻底解放过程中的人工干预,让自动化流程自己发现解决安全问题,建立形成输入——工具——输出的运行模式。
当下最流行的产品安全架构DevSecOps就体现了产品全生命周期安全架构的实现,将安全机制深入到产品实现的各个环节,通过自动化方式实现安全理念从业务视角与开发流程的整合。数据安全也需要建立形成从数据采集到数据销毁全生命周期的安全架构自动化体系,有效保障企业重要数据资产安全。
最后
安全痛点可以解决一个问题,但可以衍生出解决一类或者一系列问题的思路,可以将痛点问题的解决方案通过技术融合的方式完成有机整合,建立形成一条线上全方位的安全解决方案。从点到线不是一蹴而就的事,需要持续加强企业自身的自动化运营能力,长时间的技术沉淀积累。虽然当下有最时髦的自动化安全编排解决方案SOAR,不过就个人而言,适合自己的才是最好的,不是所有的高大上都可以在企业内部落地实践,还是应该从企业自身出发,以解决当前安全痛点为前提,借鉴优秀解决方案思路,不断去摸索出一套适合企业自身的自动化安全运营体系。
推荐阅读
诸子笔会 | 7月征文主题《安全自动化》
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在