ISC2018已经成网络安全行业欢聚的盛会,今年的吸引了国内外众多安全主管部门、安全厂商、企业安全运营管理人员、安全从业人员等。从技术的角度,更多的人希望能够了解和学习最新的安全技术或方法;从管理的角度,如何让企业网络安全工作从“背锅侠”逐渐让大家能够看到安全存在的价值,是很多网络安全工作者的理想目标。

众所周知,在当前绝对多数企业中,网络安全尚处于后端支撑部门,很难有出头机会,日常若无安全事件发生,会慢慢失去存在感,若有事件发生,往往成为事件处理的背锅侠。如何让大家能够看到安全存在的价值,我想ISC 的一些特点可以借鉴。ISC吸引观众的除了高大上的东西之外,我想,首先是可视化的冲击,各种炫酷大屏把普通的安全工作展现出来,另一方面,又有具体的技术热点,这些技术热点往往直击最新或敏感业务场景,如ATM机吐钞等。

所以由此可简单总结出两条思路:

1、如何让普通、基础的安全工作可视化,让自己看得更清楚、让企业看得懂;

2、应该无所畏惧的靠近业务,摒弃业务复杂、责任缠身的心理,越难的问题往往价值越高,换个角度而言,业务终究是企业生存发展的根本,即使自认后端支撑,也应清醒认识到前端支撑的终极对象。

有了上述两个思路,我们可以从企业高层管理者的角度来审视当前企业安全工作的达标度,如管理者希望了解企业当前每天攻击量大概多少?都是一些什么样的攻击行为?这些攻击行为对我们的业务有什么样的影响?这些攻击行为从入侵的过程角度已经到了哪一个阶段?是否可以划分为高、中、低风险类别?我们的安全防护体系是如何针对不同风险级别采取了什么样的措施?一连串理所当然的审问往往让专业安全管理人员无所侍从,但对于企业高层来讲,这确实是希望能够获得的答案,也应该是企业网络安全部门能够回答的问题。

如何面对以上非专业风格的问题?

我们可以首先进一步适当转化并自我拷问一下:我们是否可以识别网络边界的各种网络流量行为,对于这些行为中异常行为的识别能够达到多高的准确度,这些攻击行为具体针对的是哪些业务?事件的预警信息能够在多长时间内通知到安全管理人员,每天或每个小时产生的预警信息量是否多到根本无法有效排除和研判,对于每一条告警信息我们是否能够从入侵的角度去还原和聚合呈现攻击阶段?

以上问题对于当前绝大多数的企业网络安全工作来说应该都是非常困难的,但任何一个环节出现不顺,都有可能导致整个网络安全运营工作效果大打折扣,我们的IPS/FW/WAF等由于各种原因缺乏更高的准确度,我们的安全运营人员往往由于欠缺攻防知识看不懂日志信息,我们每天的攻击预警信息大到N个G,各种各样的问题让我们没有底气和能力去呈现有效的数据给企业看,也无法和业务进行具体关联。

虚实结合,快速解决问题

虚主要对应前面所提到的呈现问题,从治理的角度制定需要呈现的安全目标,并尽可能量化这些目标,如安全威胁防护效率、漏洞修复率甚至包括业务安全稳定运行时效,让企业高层经常看得到并看得懂这些目标数据。

实则体现在平台的改进、人员能力提升、流程制度优化,在传统商用安全系统的基础上进行定制化研发,或在有条件的情况下进行自主研发,是改善当前防护问题的一大有效手段,同时安全运营技术走向研发已成为主流、先进趋势,万物皆可互联,一切皆可编程,用代码作为创新、解决问题的有效工具,更为切实的表达安全管理方法和策略。

虚实结合则为治理和管理的良性循环,治理目标促进了管理过程的完善,管理过程的优化和完善可以进一步反向提升改进治理目标。具体来讲,前面所述企业高层希望解决的问题则可以转化为安全治理的目标,而管理过程则落实在网络安全部门的日常安全工作中。

综上所述,个人认为当前企业网络安全工作中存在的一些典型问题,可以归结到治理和管理的脱节,而技术、平台、人的问题则为衍生性问题,这也应该是后续企业网络安全部门进一步思考解决的问题和工作方向之一。

(本文作者:360企业安全技术专家 王兴明)

 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。