诸子笔会 | 于闽东:杂谈安全自动化
自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。
杂谈安全自动化
文 | 于闽东
于闽东
蓝光地产
IT总监
曾任华住酒店集团资深架构师、世茂集团高级经理、土豆网IT规划负责人等职务。现任蓝光集团IT总监、安全负责人,具有二十年IT从业经验,具备大型地产公司及大型互联网公司的工作经历;
一直从事架构类、信息安全管理等领域,获得IDC排名、微软联合实验室等多项行业奖项,在基础架构、系统架构、信息安全领域有一定认知;对ISO20000、ISO27001、ISO27701、网络安全法、等保等法律法规有深刻理解。
信息系统在日常工作活动中,扮演着越来越重要的角色,这些系统在网络业务领域和业务支撑领域,也面临越来越多的安全风险和挑战,为了应对这种挑战,需要更加有效的提高事件处理效率。
安全自动化是指运用新型技术,在减少人工操作的前提下执行任务作业,来完成安全流程、应用和基础架构的方向,是自动化的重要组成部分。
自动化代替手工操作意味着成熟、高效、低成本,对安全而言,还意味着时间窗口、以至于最终的“成败”。而最终目的,还是为了保障数据安全。
其主要包括以下几个阶段:
1、通过脚本和工具等将手工操作逐步自动化,例如服务器打补丁、安全设备巡检等;
2、通过制定一系列能够协同配合的安全策略,对计算机系统、网络和数据进行保护,避免受攻击、损坏或未经授权的访问进行;
3、比如防病毒、防火墙、终端安全、准入控制、补丁管理等。
1、在普及工具和自动化基础上,可以根据安全措施的成效,针对性的调整,实现基于数据和安全情报的、及时的安全决策;
2、能够根据之前的数据积累建设模型,并设置和校正参数,来逐步实现决策、反馈、行动等的部分自动化;
3、比如:双因素、流控、防DDOS、SOC/SOAR、安全可视化。
1、安全“自动化”系统可以观察系统行为,学习并建立“安全”的目标和基线;
2、根据事先设定的安全风险取向,主动判断和呈现风险,给出建设性的行动提议;
3、加快流程和扩展环境,构建持续集成、持续交付和持续部署(CI/CD)工作流;
4、例如:业务疯狂、防欺诈、态势感知、多中心/多活。
从目前来看,我们大致处于“初级阶段”,并在向“中级阶段”努力的过程中。因为安全实践同时受限于成本和风险取向。
随着基础架构与网络的规模和复杂性不断增加,手动管理安全和合规工作变得越来越困难。手动操作可能导致问题检测和修复减慢、资源配置错误和策略应用不一致,从而使系统易受合规性和攻击的困扰。自动化可以简化日常运维,并在一开始就将安全防护集成到流程、应用和基础架构中。因此单体安全操作效率的提升、成本的下降,就可以使在固定的成本下,实施更多的安全控制措施,从而降低安全风险,让量变的积累将带来质变。
2013年,安全自动化和流程调度在云计算环境中的关键基石作用已经引起业内人的注意。尤其是对数据中心而言,为了达到释放云计算潜力、降低成本、增强IT敏捷性的目的,企业需要一种能快速部署相关网络安全服务的方法,使安全服务与动态的虚拟计算层同步,且要在虚拟化、网络和安全元素中具有完全的自动化和编制特性。
而目前,安全自动化和流程调度走向了前台,关于安全最棘手问题是,如何正确理解和量化风险。一次性处理可能很简单,因为许多漏洞可以修补,并且已经对应的流程和工具。而困难的是,有太多的未知漏洞,没有太多时间来确保系统安全,而人工处理过程很繁琐,因此需要实现安全自动化。
这就是我们需要思考的自动化问题,以加速现代SOC运作的检测和响应。
自动化不能只是运行过程,而必须包括三个重点:
1、能力整合:整合并利用整个防护体系中当前和未来的安全能力;。
2、自动化水平提高:提高整个防御体系的自动化程度进而优化人力成本;提高整个安全防护体系对威胁的响应速度,即发现可疑行为,并快速将防护和响应策略分发到相应的防护设备。
3、增强共享功能:通过增强共享功能,来降低攻击者的灵活性。代表性技术是威胁情报,即通过组织之间的情报共享,来减少组织机构发现和检测到威胁的时间(即只要有一个组织机构发现了新的威胁,并共享威胁信息,其它机构就可以预防该威胁),进而达到事前预警、事中检测、事后溯源的多种目的。
为了更好的完成安全自动化,从以下几方面进行分析:
1、了解对最重要的事情:把安全工具集成到自动化流程中,以这种方式集成安全性通常被称为DevSecOps。DevSecOps是组织扩展DevOps的一些实践和过程的一种方式,以继续快速开发和缩短发布周期,同时解决安全问题。而且这样做不会造成更多的开销和延迟。
2、由易到难,先做最完成最容易成功的目标:通过一些相对较小的改进而获得更大的成功,并确保服务基本安全;
3、注重安全的企业文化:安全是每个人都在考虑的事情,而不只是安全团队的事情,仅靠工具是不够的。需要有一个过程,并以一致的方式使用工具;
4、自动扫描的全过程管理;
5、安全运维不分家: 监视生产业务并根据需要刷新它们的过程需要可靠的自动化技术,这是安全自动化过程中不可缺失的。安全的很多工作和运维部都存在交叉,密不可分,通过安全管理运营平台,可以将运维相关的产品直接开放给运维人员使用,让运维可以更直接的了解到运维相关的安全状态。
总之安全主要解决时间问题(速度)和空间问题(规模),归根结底是要在时间和空间这两个维度上,提高自动化防御的有效性。
所以安全自动化是一项需要“顶天立地”的技术,因为它立足未来、跨越时空、站位高远,必须“顶天”;而如果只有理念、无法落地,则永远只是一个口号、无法解决现实问题,所以必须“立地”。
随着自动化能力的不断提升,安全自动化需要各方的协作和努力,多个团队都需要承担责任,只有不断的去芜存菁,推陈出新,必须考虑多种因素才能获得最佳效果。
推荐阅读
诸子笔会 | 7月征文主题《安全自动化》
诸子笔会 | 6月征文合集《安全数字化》
张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布
齐心抗疫 与你同在