声明:本文为PCSA安全智库&安全研究院原创,请引用者尊重版权,说明原创相关信息。
前言
安全工作已经进入深水区
十余年的等级保护合规建设和近些年网络实战攻防演练已经解决了很多安全工作中的问题,剩下的都是较为难啃的硬骨头,需要采用新技术、新策略、新方法、新投入,新机制逐步打磨和解决。但对于很多大中型数字化组织来说,由于长期人力不足、能力不足、智力不足、机制不顺的问题导致的共性顽疾依旧存在,大多数安全工作者也很清楚长期顽疾的存在,往往由于领导重视程度、资源投入、机制体制、部门协同、产业能力、多方共识未达成等多种原因,通常处于停滞和被动状态。所以,数字化组织中安全现状的实际情况就是老的问题长期存在,新的需求也在增加,规划目标和监管不断提出更高要求,大多的CIO和CSO只能根据现有资源进行局部改进,把问题妥协在下一个年度或者未来规划中。
越来越多的安全工作者不再被浮夸的新概念和精致的PPT所打动,沿着问题导向、需求导向、目标导向寻找答案和解决之道,从单一的技术思维走向安全业务化、从碎片化局部走向信息共享一体化协同、从粗放人工走向数据化、自动化、智能化、智慧化。根据重大课题的调研成果和第三方产业研究机构的公开资料分析和总结,可以看到涉及国家关键信息基础设施的13个行业领域、数字政府&智慧城市、中央企业&地方国资企业、部分互联网及大型民营企业等网络安全工作已经到了深水区。
直面长期安全共性问题与顽疾
近年来网络空间攻防对抗已经呈实战化、常态化,一方面网络安全攻击者采用的攻击方法、技术工具越来越隐蔽和多样化,攻击频率也越来越高,未来只会愈演愈烈,另一方面网络安全防御者的被保护对象和范围也越来越庞大和泛在化、暴露面也越来越广,防御战线越来越长、防御纵深越来越深,长期体系化对抗和系统性风险让网络安全防御者不得不思考新要下定决心解决多年顽疾,不然无论实施什么新的防御和处置策略都是下工治已病。根据PCSA安全智库经验&研究院多年的一线调研和追踪,95%以上大中型数字化组织存在的长期共性问题和顽疾是相同的,总结如下:
01
业务资产底账不清
调研结果表明,99%以上的安全工作者说不清楚被保护对象业务与资产的边界、范围、业务系统总共有多少,互联网业务有多少,内部业务有多少互联网暴露面业务和资产有多少,暴露组件有多少,暴露IP有多少,暴露端口有多少,VPN账号有多少,数据库有多少,有哪些是国产的,哪些是国外的,操作系统有多少,版本信息是什么,主机有多少,物理机有多少,虚拟机有多少,特权账号有多少,部署在DMZ区、生产区、测试区、备份区、开发区分别有多少,分布在哪些物理机房,业务责任主体,运维责任主体、安全责任主体是否已经确认,业务资产动态上线与下线业务流程是否固化有效。一系列的问题,往往得到的答案是安全部门不管理资产却要保护资产,运维部门只登记资产的部分维度,财务部门也只登记部分维度,所以,严重缺失安全视角的业务和资产管理手段、工具和平台,成千上万的混乱业务和资产管理在攻击者眼中就是隐蔽潜伏的好地方,而在安全防御者眼中犹如泥潭,有好的方法和策略由于基础不行也无法实施。因此,做好业务和资产动态分析识别是所有安全工作的前提。
02
安全风险动态不明
多年实战监测结果表明,弱口令、钓鱼邮件&社工、漏洞(应用层、系统层、支撑组件、安全设备)等是90%以上数字化组织主要风险,弱口令的问题是所有安全工作者最头疼的问题之一,一个业务系统涉及到可能出现弱口令的远程访问设备、应用系统、数据库、主机系统、安全设备以及堡垒机,管理维护使用这些应用、系统和设备所涉及的人员多种多样,有本组织各部门的,也有第三方建设、开发运行维护方,有些组织生产区管理的还行,测试区问题颇多,统一用户和权限的系统多种多样(VPN、零信任、IAM、AD域、堡垒机等),安全工作人员往往需要协同业务、数据、基础设施等多个部门才有可能汇聚起统一实时监测数据,大部分都是被攻击者提权后产生破坏才后知后觉。漏洞的问题主要有两类,一类是准确和融合的问题,另一类是业务系统修补承担后果的问题,历史漏洞和每天产生的系统漏洞多如牛毛,每个漏洞都是一个理论风险,不同的漏洞工具提供商有着不同的定义,爆出来的漏洞信息准确率和多方漏洞进行融合就成为一大难题,十几年如一日的老大难问题,由于业务资产放置范围不同,同样漏洞,风险完全不一样,互联网区的业务和内网区业务就是完全的不一样的策略,所以即使可以进行漏洞融合,没有好的资产信息叠加,专家经验叠加,消除漏洞基本是天方夜谈,所以大屏幕上永远都是上万的未修复漏洞,高中低永远都是部分参考意义,业务部门一句修漏洞造成的业务瘫痪安全部门是否承担的起,应用开发商就可以按照原来的逻辑肆意妄为的继续着原来的故事,安全部门想想只能扛起枪加强外围的防御。还有其他风险,例如系统补丁、主机加固策略和网络安全控制策略执行力、异常行为监测,对业务层、支撑层、数据层、系统层、主机层、网络层、物理层等不同层级、不同维度的风险监测力度不够,风险隐患发现不及时,处置不及时是普遍问题。
03
安全能力识别&应用效能不高
经过十多年的安全建设,很多数字化组织已经购买了大量的安全能力和设备。少则数十台,多则上百台,包含安全监测、风险评估、安全分析、安全防御等多种类别,涉及到很多供应商,在现实工作中,花了大笔经费的安全设备在实战中起到的效果体现差强人意,仔细剖析后大体分为安全设备基础管理问题,能力识别和数据应用问题,买了多少设备不知道,上架加电空转不加策略,安全策略多年不优化如同虚设,厂家宣传的能力和实际效果差距巨大,合规验证还行,实战对抗堪忧,没有对外数据接口,有接口吐出来的数据质量与实际不符,脏数据比例远远超过可信数据,分散碎片化的设备管理,虚假的能力宣传,海量的原始数据已经成为安全工作者重点要解决的问题。
04
安全日常管理闭环不了
重保演练等实战化阶段发现的问题大都能够及时协同处理,在平时大部分数字化组织很难做到常态化和体系化,业务与IT、IT与安全是纵向为主,例如:横向的业务与资产全生命周期闭环管理基本做不到,弱口令、漏洞、钓鱼邮件、安全事件的及时处置就很难做到,通常都是监测发现后,几天才能找到问题所在,再分析处置已经过去好久,表现出来的就是安全工作业务流程不清晰,不融合,不落地,不平行,不前置,所以,非实战重保的日常工作中闭环管理很难。网络安全工作不是孤立的,贯穿上下左右,实际的活动是一个多方协同、共同运营的过程,不仅涉及到安全部门、IT基础设施部门,还涉及到数据部门、业务部门,开发商、运维商、服务商等供应链环节、日常安全工作经常出现责任不清、反馈不及时、无法跟踪的情况。如何做到从发现问题、分析定位问题、协同处置问题的闭环,做到资产闭环、风险闭环、安全事件闭环,形成持续的、线上化的安全运营闭环是管理协同挑战。
05
安全基础数据治理不顺
数字化组织一般超过500台主机资产,50个业务系统,建立安全管理中心,建设安全业务支撑平台就有必要了,因为不可能再靠人力来解决,也很难增加岗位来满足数字化的持续扩容和发展,需要用信息化手段来提高效率和效能,事实上大多的SOC、SIME、SA都失败了,两大原因,一是不符合业务实际,二是基础数据治理缺失。可信数据是所有安全业务平台的灵魂,安全业务的基础数据来源很多,组织的、基础安全架构的、资产的、风险的、网络层、主机层、支撑层、应用层等,来源是多方面的,有手工填报的,其他业务系统的,安全设备的,有用的数据和大量的错误数据、冗余数据和脏数据不经过数据治理就进入安全业务平台,是SA,SIME,SOC失败的最大原因,没有人会相信安全业务平台能够带来有用的信息和价值,如何治理基础数据已经成为安全工作中的潜在问题。
06
海量告警降噪不好
各个数字化组织中的安全运营中心汇聚了很多数据,来自不同安全监测设备(网络层、主机层、容器层、应用层),既有传统的NIPS、NIDS,HIDS等,也有实战型的全流量,NDR,EDR,WEB溯源,邮件溯源等探针,日均收集上亿日志信息,数百万告警,实战期间千万告警量常态化,面对来自几十种不同厂家、不同规则、大量无效、重复、低质量的告警,已经成为安全工作者常年面对的问题,由于采用的设备数据格式底层不通,商务不通供应商也很难沟通,安全规则基本也是百花齐放,使用方通常自身没有能力解决这些问题,所以只能实战应急化,无法常态精准有效。态势感知只能感知局部单一设备的,融合数据进行告警降噪是长期未解决的已经成为通用难题,另外一方面,告警数据往往又需要叠加其他方面的数据才能做到精准判定,相辅相成的机制和条件没有,精准降噪基本就是一个期望。
07
安全事件研判不准
安全事件分析研判工作量巨大、分析研判链条长,给安全分析人员带来了不小的压力,大部分数字化组织安全体系在初建阶段,安全监测能力局部松散,安全预警规则简单,安全告警日志数据滞后、粗放且误报率高,整体不成体系,此阶段的安全分析特点,监测分析人员大多是每个人独立监控某类设备,各自为战,基于某点发现的可疑信息,以“分析联动基本靠吼”的手工方式实现信息汇总,严重依赖于某个高级专家的知识经验得出结论,安全分析整体呈现出粗放式、混沌松散、杂乱无序的问题。安全团队编制相对有限,人手不足。安全分析研判中所涉及到的基础数据治理、从海量数据中筛选去重降噪形成可信安全数据等工作目前主要依赖人工完成。
08
安全处置效率低下
一个安全告警从发现、定位、研判、事件确认,到通报相关干系人处置、反馈、最后验证等一系列过程是大多数数字化组织的通用流程,从几分钟到几天都有可能,时间一拖好多问题都拖过几个月也常有,如何提升安全处置效率是安全工作者的思考的主要问题之一,响应时间、处置时间、处置率是三个关键指标,通常影响响应时间KPI的,主要涉及到监测点和监测系统是否全面,告警降噪治理是否已经相对固化,监测组织是否常态,处置时间关键指标主要涉及的是责任主体是否清晰,安全分析能力是否具备,问题定位是否精准,处置率关键指标KPI主要涉及闭环流程是否常态,处置方案是解决本质问题还是临时解决,后续再次发生频率和概率,整个处置业务链涉及三个大环节,八九个小环节,导致安全风险响应处置时间长、效率低。
09
安全分析专家经验无法固化
安全分析研判是安全工作中最具有技术含金量的,行业内具备顶级安全分析APT类研判专家不超过500人,中级安全研判专家不超过2000人,基础初级研判人员也超不过10000人,安全分析人员是属于稀缺人才,中高级往往都是被调来调去去研判,很少固定在具体的场景,安全分析阶段从粗放式到己知规则聚合式,已经解决了大部分问题,未知威胁靠基础安全分析人员基本上做不到,所以需要将不同专业的、行业、产业专家多年经验,不同安全人才、安全服务商擅长的领域不同,提供的“独门秘诀”固化,形成专家系统能够被查询和应用,解决当下局部性、不稳定性,仅依靠个别专家经验的问题。
10
安全人员数量、质量与能力不足
数字化转型的推进,让数字化业务与资产的管理范围和数量会越来越大,安全统筹协调、指挥运营、安全监管、安全管理、安全技术、安全运维的队伍要也同步需要不断扩大,但不论是已组建的安全运营团队,还是外部服务商支撑队伍,都不可能成几何倍数无限增长,人员不足如何解决已经成为共性问题,另外安全政策的变化、安全技术的演进,符合岗位要求的人员本身比较稀缺,人员质量问题也是较为突出,安全走向业务化,需要的安全工作人员不仅仅是普通的运维人员,还需要懂政策、懂业务、懂分析的多种人才,能力建设和提升已经成为安全工作必须要解决的问题。
11
数据流动安全监管不利
政策驱动且数据安全立法完成,数据成为生产要素,数据治理和数据安全治理成为聚焦之地,多年的数据安全工作停留在身份认证、访问控制、监控审计、加密脱敏等领域,新背景需要在明红线、守底线下流动共享共用,数据治理与安全治理的目标平衡把握、成熟度评估、风险分析、多方督导、监管审计、持续运营都需要重新思考,数据所有者基本以法人为主体,具体操作者责权不明,经验不足导致分级分类不准、口径不一、底数不清,数据提供者的所有权、持有权、分配权、收益权等权益没有保障能动性不足,数据使用者获取数据的合法方式、安全责任不明使用数据开展加工处理意愿不积极,数据运营者协同业务流程缺失、工具平台不足、安全策略不细、怕出事只能越严越好,数据监管者看不到具体操作,全程流动不可视、状态不可查、权限不可审、操作细节失控、烟筒式现状比比皆是,新背景下数据安全治理涉及多部门,需要在责任明确前提下实现流动,在流动安全监管下使用已经成为核心需要解决的问题。
12
供应链安全及开发管控不全
供应链安全就是干净的空气、水,是本质安全,主要涉及信息通信技术与服务(ICTS类)、软硬件产品与服务、开源技术与开发安全与服务,近些年实战暴露出来的问题,大量的开源代码&组件的漏洞问题涉及到很多国产软件、硬件和安全设备,传统的上线前检测的工作已经不能满足实时性和新的发展,很多数字化组织严重依赖开发商、有开发队伍的没有开发测试区或者重生产区安全,轻测试区等问题已经比较突出,安全左移的理念有了落实的不多,高级别的APT组织的特种木马已经做到主流防御工具免检测,境外敌对势力和黑客组织通过开发工具污染、开源软件仓库投毒等多种方式已经常态化,国内供应商开发人员大量采用开源代码进行软件开发,自身缺失软件成分分析、代码检测、安全检测比比皆是,包含信创领域的操作系统、数据库、中间件等也有很大隐患,一体化管控好供应链安全已经成为大中型严重依赖数字化的组织的重大挑战。
以上总结的十二类共性问题与顽疾,是现阶段以及未来数字化组织必须要面对并且持续解决的,通过分析,问题出现的主要原因是新政策法规要求、重保实战要求和大集约化背景下增加了不少新的安全业务,这些工作单个部门解决不了,需要进行跨部门、跨组织进行统筹协调,例如资产底账不清、安全风险动态不明等问题;需要体系化、常态化指挥运营,例如安全日常管理闭环不了、安全处置效率底下等问题;需要加强云、网、数、用、端及供应链安全监管,例如供应链安全监控不够、开源代码及开发管控不全、数据流动安全监管不利等问题,需要从新定义梳理安全管理工作,例如安全能力识别、应用效能不高;安全基础数据治理不顺,安全人员数量、质量与能力不足,安全资源投入有效等问题;需要提升安全技术领域新方法应用能力,例如安全分析专家经验无法固化:安全事件研判不准,海量告警降噪不好等问题;需要平战结合一体化开展安全运维,涉及以上每个环节的开展落地。
END
本文部分配图为AI生成,如涉内容冲突请联系后台。
声明:本文来自PCSA安全能力者联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
