云时代安全运营服务的变革与发展
日期:2022年06月21日 阅:89
访谈嘉宾:曹嘉
分析师:徐晓丽
网络安全建设对一般企业而言,是专业门槛比较高又必须要考虑的问题。对具备一定规模的企业,常见的安全建设模式,是越堆越多的各种不同类型的安全设备,加上若干长期驻场的来自安全厂商的安全运维人员。随着远程办公、办公网、数据中心和多云成为目前企业的主要IT环境,传统安全建设模式,投入大、成本高、效果低、难维护成为痛点问题。
云计算不仅改变了企业传统的业务模式,也带来了传统安全运营模式的全新改变。云化时代,高速的信息传播,使得安全运营的敏捷性成为必需。而云化技术又为实现敏捷的安全运营成为可能。因此,有观点认为,安全的未来靠运营,运营的未来在云上!
今年5月,绿盟科技正式发布云化战略——T-ONE CLOUD,旨在以云的思路重构安全运营体系,为用户提供弹性敏捷的安全闭环保障能力。本期访谈特别邀请到绿盟科技集团副总裁曹嘉,共同探讨云时代企业安全运营服务的变革与发展。
曹嘉 绿盟科技集团副总裁
16年安全行业从业经历,具备丰富的安全咨询、项目管理及解决方案创新经验。多年来深耕网络安全领域,率领团队长期从事安全服务业务,负责绿盟科技红队/蓝队管理、咨询设计、网络安全培训与教育、应急响应、安全开发等专业服务团队。
安全牛:我们看到绿盟科技提出了“云运营再造新安全”的理念,这个理念的提出背景是什么?与传统安全建设模式有什么区别?
曹嘉:“云运营再造新安全”指的是云安全战略。我们对未来安全运营上云和本地化的问题上做了很长时间的分析和讨论,目前的业务场景上主要指托管检测和响应MDR(Managed Detection and Response),MDR立足在本地以及远程进行威胁分析和响应,即DR类服务,如果将安全运营的主要方向定义为对D和R的效率提升,则也可以说云化安全将会改变的首先就是DR类服务的效率和效果。与传统安全模式的区别主要包括:
首先,云安全战略一方面要保护客户在云上的资产,另一方面要通过云的方式闭环客户的安全需求来提供更好的服务。技术上,需要基于云化的SaaS服务来建立面向全行业的大中台,面向客户提供监测预警分析、响应的服务,为用户闭环所有的安全问题。
其次,传统模式下运营商、金融、政府是最大的安全买家,但他们更多会将运营责任放在自己身上。而云运营战略主要是布局前瞻性的市场及未来客户的发展需求。云连接促进了新兴制造业、连锁集团跨地域的快速发展,企业运营一方面会演变成云上云下混合的模式,企业很难找到一个统一的视角去看自己在混合云环境下的安全能力和安全风险;另一方面,对于不停在各地进行节点扩张的企业来说,首先要解决合规准入问题,而每增加一个新的连锁店就要重复进行系统建设,其建设、运营成本会成倍增长;此外,新兴和小微企业初期都要考量自己的投入产出比,不可能上来就建个运营中心或SOC。云安全战略定位主要是匹配这些跨地域快速扩张的企业、广域连接的新兴行业及小微企业的安全运营需求。
安全牛:企业用户在应对网络威胁时,仍然经常面临“看不见,分不清,处置不及时”的情况,目前企业的安全运营能力与外部攻击的对抗水平是否匹配?该如何应对?
曹嘉:在攻守两端,防守永远难于攻击,攻防双方长期不对等。
从本质上说,永远都会有新的漏洞、新的威胁出现,安全是一个对抗性的行业,攻击在先的趋势长期不可逆。在这个对抗的过程当中,任何一个漏洞的出现,我们认为它都是全新的,每个漏洞利用都有不同,要动态的看待每个漏洞和影响。
其次,安全运营的复杂度高。企业安全建设中涉及的安全厂商、产品、服务非常多样,系统异构、接口方式,以及厂家对漏洞、威胁的定义规则都不相同,安全资产缺少统筹管理,甚至很多资产都不在客户管理的视图中,仅对某一个系统打补丁做升级是防不住的。
再次,检测和响应效率不足,安全的未来应该注重在效率上,即提高检测时间(TTD)和响应时间(TTR)。任何一个企业都可能被单点突破,遭受攻击,企业失陷后恢复的时间越短,表示安全运营越完备。传统运营方案的检测能力受限,只有检测能力和响应能力更好,安全运营才能越转越快。这要求从产品到平台,从硬件到软件,从人到流程都必须做的很好,有一个环节慢,检测的和响应的都不会快。能不能够把TTD和TTR提得更高,是任何一个企业安全管理者都要解决的问题。
最后,系统自动化处置程度还比较低,基于人进行处置很难使响应效率得到有效提升,安全需要在尽可能准确和尽可能全面的检测和响应之间折中取一个平衡点。
安全牛:云计算技术给安全运营工作带来的主要帮助有哪些,是否会成为主流或刚需的安全运营模式?
曹嘉:云计算技术给安全运营所带来的第一个显示易见的帮助是集约化。云安全运营通过建立一个覆盖全国的中台系统或者工单系统实现能力和项目管理的拉通,能够解决分布站点的等保合规诉求,降低企业合规建设的成本;帮助用户实现云上云下统一视图,使用户的安全投入和产出比有更好的呈现;同时,在企业业务扩展时安全能力可以弹性地扩容,非常方便。
其次,自动化的工具平台和云化的SaaS服务使评估和测试变得更加轻量化,覆盖度会更高。常见的可利用的漏洞在自动化的工具平台上都能覆盖,针对不同的需求场景测试可分为不同类型,如高强度的对抗型测试、标准的安全功能测试、轻量级测试。特别是轻量级测试价格也会更低,能帮助客户提升测试的覆盖度,给用户的测试结果都是可以被有效利用的、用户最需要关注和解决的问题。
除集约化和轻量化外,云安全运营的最大优势是面向客户提供监测预警分析、响应服务,能帮助企业减少安全事件检测到响应的工作链条,闭环所有的安全问题,提高检测和响应效率。安全事件解决需要从现象到证据链到分析,再从分析转化到产品,整个过程需要规则工程师、研发工程师等不同环节的安全人员按一定流程分工协同工作。具有专业运营经验的云服务平台,对告警的分析处理比在客户端的判断要快很多,处置的工具方法也会比客户本地多很多,可以很快判断告警是否是真正的风险,帮助用户提高了检测的效率。同时,热补丁技术在云安全运营中得到了更好的应用,缓解新型攻击应对的压力,这也是云安全运营带给企业的红利。
随着企业上云,集约化政务云的大规模建设,政务系统大数据局的出现,用户在云上产生的数据是不是安全,也是安全运营未来要解决的一个问题。从合规导向来看,国家在安全运营方面也匹配了相应的政策,去年中国信息安全测评中心颁发了安全运营的资质,这是安全行业最热门的资质之一,拥有这个资质就证明企业有解决挖矿、勒索病毒、等级保护问题的能力,这也是市场的刚需,可以带来更广阔的安全运营服务市场。
安全牛:采用云安全运营模式后,企业的数据资产是否也会从企业数据中心迁移到云端,扩大企业的风险暴露面?在检测或出现安全事件后,云运营商又如何更好的帮助用户解决安全风险?
曹嘉:企业的风险暴露面并不会因为安全运营上云而变得扩大。
首先,第三方安全运营商也是在受监管的情况下进行本地或远程的服务;
其次,安全运营并不需要用户的所有数据,而是对疑似的流量做镜像和保存。用户只需要将本地关注的告警给到运营平台,为便于事后追溯和溯源,一般是由客户在本地做好全量数据留存,如果需要原始数据,要到客户本地溯源;
部分关键行业如金融、政府,因数据合规要求会明确数据不能出网,数据不能出省,企业要将数据放在本地。但新兴行业,如制造业、酒店行业,业务模式相对开放,不太涉及敏感业务,国家对其要求也没有关基行业那么高。因此,企业在可控的情况下选择云安全运营模式并不会给企业带来更大的风险。
在检测到网络安全风险时,安全运营商首先要告知用户风险,督促客户进行尽可能有效的修复和闭环安全问题。然而,一旦出现失陷事件,如果是已知的安全问题,就会追究运营商是否尽到了督促修复的义务,如果是未知的风险,除了让用户理解外,运营商也会通过高效的检测和响应能力协助用户进行修复工作以更快的收敛风险。
在解决和处理云上安全事件时,会涉及业务提供方、租户、云供应商等多个环节,相对传统企业的运营更复杂,安全运营商也需要找具有信用背书能力的业务平台协调业务提供方和基础设施建设方一起进行安全改造。
责任界定时安全运营商需要平衡这些关系之间的安全责任,一般会按云计算的分层结构进行划分:基础设施安全由云基础设备提供方去解决;业务逻辑漏洞问题由租户去解决;运营方就要通盘看待这个问题并协同好各方去解决安全问题。这相对传统的安全运营会更加复杂,安全运营商扮演的角色也变得更多。
安全牛:不同类型企业在构建安全运营能力时应该如何选择云安全运营服务,有没有一些推荐的组件?
曹嘉:小微企业多采用政务云或者托管在阿里云、腾讯云的公有云上走集约化的模式,需求以安全合规为主,安全投资不能太重,同时不能对业务有太多阻碍和影响,推荐基于SaaS的轻量化的测试服务。
而央企、医疗、大型制造类企业,一般没有足够的编制管理自己多方面的安全,甚至管理自己采购的多种产品和服务供应商,托管服务会比较适合。其中,轻量点的托管服务有MSS,重一点可以让运营商帮他们建设,甚至出人拉通云上云下的流程。以医疗行业为例,疫情环境下,卫建委要求把数据下沉到每个三甲医院、乡镇卫生所甚至药店,这种场景下,云安全运营商就可以非常方便的通过将探针分布式部署到每一所三甲医院、每一个卫生所和每一个药店,而卫健委只在省一级的数据中心或运营中心构建安全运营平台。
关键信息基础设施类行业,其面临的网络威胁相对以上两类企业更严峻,自身的基础安全建设相对比较完备,多数配有专业的安全团队,更希望有一些专项安全业务与现有的安全能力进行补充,比如,红蓝对抗、供应链安全的咨询和分析、代码安全分析、软件成熟度分析等。
安全牛:您认为未来安全运营还会有哪些创新能力或特点出现,谈一谈您对安全运营服务未来的发展的看法?
曹嘉:全球安全市场的收入是服务大于产品,而中国是产品大于服务,但是在过去十年,服务的比例和专业度在逐年提高,影响这个变化的因素非常多。首先,在我国部分行业IT建设高峰期的时间窗口基本已经过去了,比如金融。投资高峰期过去之后必定会产生对运营的大量需求,这是安全运营必然兴起的第一个原因;其次,国家在政策上对于服务型以及本土安全企业的支持,包括信创、数字化转型、十四五规划、产业供应链规划甚至数据安全、供应链安全等对安全运营的促进都非常明显。未来安全运营在服务甚至在整个安全投资的比重会大幅增长。
随着云安全运营技术的发展,未来风险评估将会出现一些低成本、高可用的技术,评估手段变得更加的自动化、可复制化,能更好的解决安全评估的效率问题。典型的有轻量化的渗透测试、基于BAS对攻击路径进行拉通式的评估、SOAR事件分析等等。除了测试技术,容器、微服务技术的应用改变了客户从开发到运维的流程,安全厂商除了自身在开发中要运用这样的技术以外,还要配合客户发现这方面存在的问题。比如K8S里边的AK/SK泄漏问题、API接口问题等,这些问题必须要成为安全运营商配合客户发展的新方向。
安全牛评
安全建设从无到有,从初步应用到广泛应用,运营起着非常关键性的作用,安全运营是企业安全建设发展到一定阶段的必然需求。但安全运营的关键不完全是技术手段和自动化程度的提高,更重要的是找到安全运营的主要瓶颈和关键节点,才能真正使安全运营有质的提升。目前来讲,安全运营仍然有诸多待解决的问题,是安全探索的一个重要课题。未来对某些企业来讲,物色一个综合的安全运营方,帮他们更好的利用好自己的厂商、资产以及相应的服务商,也将成为企业安全建设的一个重要选项。