诸子笔会2022 | 王忠惠:补齐业务所需的安全能力
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
补齐业务所需的安全能力
补齐业务所需的安全能力
文 | 王忠惠
王忠惠
上海千寻位置网络有限公司 安全专家
信息安全专业硕士,10年以上网络攻防经历;曾多次规划组织部级前沿网络攻防项目;现带领团队围绕服务、应用和IoT,建设软件安全能力和网络防护能力所需的产品、技术和平台。
从“网络为中心”到“数据为中心”,信息安全防护范式持续转换的背后逻辑不再是简单地注重系统和数据的保密、完整,而是更多关注未来数字网络在重重攻击和内部威胁之下,如何发挥业务数据的领先价值,从而提高业务自身的优势和效率。
为了在数据使用、流通过程中,避免漏洞攻击和数据窃取,安全团队需要部署实施大量安全能力,从而在网络空间与现实安全中,有机会及时发现、制止网络犯罪。黑客入侵和内鬼窃密是不会彻底消失的,安全团队需要将优势能力更多放在可执行、可落地,最终实现到可阻止威胁远离潜在被盗数据的方式方法上面。
下面列举一些容易被安全团队忽略的,但却与业务更好结合的安全能力。
将网络应用和云产品作为安全资产,基于数据和技术分析的方法,对其进行即时和长期的安全监测,以便于发现不合理的功能暴露和未授权访问。CMDB数据对于安全,是一种攻防战略资产,是安全团队比网络黑客最大的优势能力,但安全团队却并不善于对相关数据的使用。
常见的资产暴露面检测主要针对域名、IP、端口、服务和中间件的识别,结合资产探测和指纹识别方面的技术分析能力,发现可被黑客攻击利用的脆弱点。资产信息搜集是黑客在前渗透测试阶段的重要活动,以域名信息采集为例,主要包括Whois信息查询、子域名枚举爆破以及域名备案信息查询等等。
在CMDB视角,安全团队掌握的资产数据更全面准确,不会出现公网域名遗漏的情况,但事实却往往与直觉相反:黑客能够早于安全团队发现表外资产,内鬼能够精准掌握隐藏的功能后门。其中既有CMDB数据缺失的问题,也有安全团队的数据防泄漏岗自身的能力不足。
不过仍旧有几个方面可以补救,安全团队透过CMDB数据,能够关注更多关于泛域名解析、HOSTS主机头内网碰撞、敏感信息识别以及内部服务转发(包括网络端口转发和URL路由转发)的情形,结合网络扫描、访问日志等数据,采用启发式技术,自动补全CMDB范畴内潜在的风险情形。
不是所有的系统功能变化都会通过CMDB更改做出反应,很多变化已经属于在系统配置内容中预留可允许操作的空间之内。要实现主动监测,该部分工作仍旧是相关困难的,安全团队将持续完善对功能变化的感知能力。
明确业务线和安全域的安全职责和安全责任,实现集中化的安全运营工作。为每个业务线配备独立的安全人员,不仅可以清晰化应用安全、数据安全、运维安全、安全合规等安全岗位的分工和协作,也有利于各业务线能够清晰地了解当前业务需要关注的重点安全风险是什么,安全团队也能更好地将安全能力与业务线开展垂直化整合。
专注于移动安全的岗位将能够更好地参与移动应用研发工作,并将安全能力、制度规范转变为现实可行的产品功能和业务服务;专职安全合规的岗位除了满足等保、“二万七”等安全标准建设,通过与法务部门的互动,能够更好明确业务需要遵循的安全实现是哪些,也能适当平衡安全能力与监管要求的差距,建立与业务相适应的产品安全功能的差异化。
围绕业务开展安全工作,不仅仅是目标,而是切实的组织行动。企业组织结构应该要深入内嵌到安全团队的人员结构和岗位分工之中。与业务谈意识,与研发谈技术,与法务谈合规,此类等等,用客户视角去理解和实施安全,比用安全视角理解业务,会有更好地功能补位效果。当然,将安全职能打散也会存在稍许不足,因此,安全团队需要更集中化的安全运营部门打通业务线和安全域。
安全运营不仅包括日常安全产品的告警处置和安全事件的应急响应,也包括以威胁为中心的狩猎、溯源、分析和复盘,甚至安全策略、安全合规相关的工作内容。安全运营将通过水平化整合安全能力,实现相对全面具体的能力补齐工作。也将会更好地通过数据、指标、响应水平衡量安全工作好坏,以及潜在的不足。
安全团队需要关注数据的准确性,数据一旦被创建就应当就标记、保存和分级分类。安全团队在识别业务数据过程中,不应该亲自下场标识数据,而要推动业务部门,与业务部门共同完成数据的标记工作,最终建立一套验证数据准确性的流程和工作。
一定要以数据使用、流通为目的,最小化共享、使用数据,提供数据标注之后的数据保护能力,实现以数据为中心的洞察力。让使用者知道数据是受保护的,不会被非授权的使用和操作。
而应用安全需要是在应用程序中,持续不中断地开发、添加和测试安全功能的过程,以防止安全漏洞抵御未经授权的访问和修改等威胁。其形式无论是SDL还是DevSecOps,根本目的是防止应用内功能漏洞的攻击或利用以及各类信息数据的失窃或泄露,前者消除后置修复的沉痛代价,后者提高安全过程的执行协作效率。
安全团队需要专注于将真正的竞赛转移到他们真正拥有优势的家中,而不是着眼于阻止黑客入侵。赢得胜利是要阻止黑客远离被盗数据,而不是阻止他们离开。
安全团队无法防范看不见的事物。在当今日益复杂的现代IT网络世界中,可见性是安全团队需要解决的日益严峻的挑战,以阻止网络攻击。关键是尽可能简化问题并从多个角度解决问题。就像气象员不依赖单个数据点来预测风暴一样,安全团队也需要通过多个数据流来查看其网络,以制定明智的决策来保护组织。
尽管加密是保持动态数据保密的重要方法,注意加密流量也变得越来越重要。安全团队需要保持对整个网络中所有流量的数据包级可见性,即使已加密也是如此,以便他们可以发现不良行为者。当前最有效的补足能力的方式,就是建立以AI为基础的加密流量检测和识别,及早发现通过加密来隐藏交付、命令、控制活动以及数据泄露的恶意网络行为。
未来大数据人工智能技术也将是补齐业务所需的安全能力的一种途径。
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在