8年技术迭代,深信服安全运营建设的探索之路
时间:2023-04-21 18:07 来源:网络整理 作者:墨客科技 点击:次
安全运营建设就像走迷宫。 这个迷宫似乎没有终点,挑战完第一个阶段的任务,就会点亮下一阶段的迷宫地图。有些人选择不断走进下一个迷宫地图,在一次次挑战中突破能力边界。 探索迷宫的过程中我们会不断碰壁,但如果原地踏步,越来越多的“危险”将从入口涌进,将我们吞噬。 多年以后,面对愈发复杂的网络攻击,大多数人将会回想起站在迷宫门口,选择走进去的那个遥远的决定。 回过头来看,或许应该思考的是:我们为什么要走进来?安全运营建设的「初心」是什么? 今天,深信服想回顾8年安全运营建设的探索之路,希望与你找到共鸣、找回「初心」。 01 探索之路 亦是技术的迭代发展之路 这是一段不断创新,又不断纠错改进的旅程。 从最开始整合安全设备告警的SIEM模式,到中期提升检测能力的NDR模式,再到当前以还原完整攻击故事线、提升实战化威胁对抗能力的XDR模式,深信服始终走在技术探索的前沿。
顺应技术的发展潮流,深信服完成三阶段安全运营建设,最终实现有效实战对抗的安全运营方案的逐步升级: 1. 采集资产信息和设备日志,构建立体防御能力 防御、检测、响应,是任何安全体系架构的核心,因此安全工作的第一步,是完成立体防御架构的搭建。 当时,我们有几十个海内外分支机构,数十万部署在各地数据中心、网络的服务器和终端资产,需要在互联网出口与办公网、研发网边界等部署大量安全设备。 我们先将34个数据中心,以及网络出口、服务器网段、核心资产,梳理出完整的攻击路径,并进行风险评估。 得益于网络防御技术日趋成熟,我们通过部署下一代防火墙AF、IPS等50多台各类安全设备,强化边界防护体系。 这时,我们考虑能否有一个平台,通过汇总展示所有防护设备的安全告警和事件,以提升工作效率。 我们收集了现网中所有防火墙、IPS等各类安全设备和服务器、交换机等网络设备的日志,通过SIEM技术满足基础威胁管理与合规需求。 然而,基于“二手数据”采集的SIEM技术,只是数据的简单糅合而缺乏关联分析,无法有效提升检测能力。 在实际工作中,噪音大、告警多,威胁难检出、难溯源、难响应的问题,依然没有得到有效解决。 2. 组件+服务,安全可感知,事件可闭环 随着网络复杂性愈演愈烈、网络弱点越来越多,利用边界防护设备阻止黑客进入内网的难度加强。“攻防不对等”的鸿沟日益拉大。 2018年,网络攻击的数量呈指数级增长,我们看到太多国际知名企业,乃至重大国际性活动都遭受黑客攻击。 我们深刻剖了这些事件暴露出的层层问题: 无法应对不断升级的攻击手段 APT攻击频发,事后检测成本增高。基于黑白名单、签名和规则特征的安全威胁发现手段,已不能应对不断发展的网络威胁和IT环境。 无法定位威胁根因 一旦发生安全事件时,我们常常因为缺乏终端数据关联分析,而无法定位到根因。 无法保障攻防对抗持续性 安全运营人员无法全天候值守,同时面对大量安全事件和告警分析工作,其精力完全难以招架。 为解决以上三个问题,我们分三个步骤建立起“SIP+端点防护+MSS”的方案: STEP 1:强化威胁主动检测 我们开始着手从过去单一设备、单一方法、仅关注防御的安全体系,升级为基于全局视角,强化威胁检测、调查等能力,以应对不断变化的威胁。 以流量检测响应技术为核心,我们研发出安全感知管理平台SIP,并在集团节点部署了16台探针、6台SIP集群,将IP及资产关系进行导入,达到初步安全感知。 STEP 2:建立终端侧防护 面对全集团50+分支,日益增加的BYOD办公设备,建立终端安全体系迫在眉睫。 借助零信任方案的落地推广(点击跳转:深信服零信任的0号样板点),我们在集团1.5万个终端部署终端安全管理系统EDR、3个MGR管理端。 后续通过零信任与EDR的对接,我们做到人机对应,实现安全事件溯源快速精准定位到人。 STEP 3:服务闭环安全事件 (责任编辑:admin) |
- 上一篇:专访《太吾绘卷》茄子:直面压力,创造世界
- 下一篇:缴获的日本指挥刀