【51CTO.com原創(chuàng)稿件】2020年，國(guó)家從政策層面不斷推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)加速成長(zhǎng)。對(duì)于企業(yè)用戶而言，網(wǎng)絡(luò)安全成為確保業(yè)務(wù)連續(xù)性和商業(yè)變革順利開展的重要基礎(chǔ)。當(dāng)人們紛紛將目光聚焦在零信任、云安全、數(shù)據(jù)保護(hù)這些安全技術(shù)和產(chǎn)品時(shí)，其實(shí)很多人忽略了一點(diǎn)，相比較網(wǎng)絡(luò)安全項(xiàng)目在企業(yè)中的前期設(shè)計(jì)、規(guī)劃、建設(shè)，后期運(yùn)營(yíng)才是決定網(wǎng)絡(luò)安全真正生命力的關(guān)鍵因素。東華軟件網(wǎng)絡(luò)技術(shù)事業(yè)部高級(jí)項(xiàng)目經(jīng)理馬虹斌日前就從企業(yè)運(yùn)維的視角，分享了他對(duì)于企業(yè)網(wǎng)絡(luò)安全建設(shè)的新思考。

[[353590]]

　　三大因素驅(qū)動(dòng)安全高速發(fā)展 安全進(jìn)入“工具賦能”階段

　　近幾年國(guó)家對(duì)網(wǎng)絡(luò)安全的重視有目共睹，網(wǎng)絡(luò)安全在千行百業(yè)中的部署之所以能夠如此迅速普及，馬虹斌認(rèn)為離不開三大“引擎”驅(qū)動(dòng)，即政策引導(dǎo)、科技伴生驅(qū)動(dòng)，以及網(wǎng)絡(luò)安全攻擊事情的頻發(fā)。

　　他解釋道，2019年等級(jí)保護(hù)2.0的實(shí)施讓很多企業(yè)更加重視安全建設(shè)，而大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)辦公這些科技在疫情期間的大量應(yīng)用，也讓企業(yè)意識(shí)到需要給科技加道“安全鎖”才能更好發(fā)揮它們的價(jià)值。此外新聞中動(dòng)輒因安全攻擊導(dǎo)致企業(yè)損失慘重的事件，也讓企業(yè)領(lǐng)導(dǎo)者緊繃安全這道弦不敢松懈，從側(cè)面推動(dòng)了安全產(chǎn)業(yè)的發(fā)展。

　　在馬虹斌看來，安全建設(shè)不是一個(gè)從無(wú)到有的過程，而是一個(gè)不斷提升“工具賦能”的建設(shè)過程。在安全產(chǎn)品堆積建設(shè)中，安全運(yùn)營(yíng)和運(yùn)維能力的建設(shè)迫在眉睫，除利用安全工具構(gòu)建基礎(chǔ)安全架構(gòu)之外，企業(yè)還需要加強(qiáng)安全工具的日常運(yùn)營(yíng)，提升自動(dòng)化響應(yīng)運(yùn)維和安全設(shè)備協(xié)同能力，形成一個(gè)“分析-檢測(cè)-處置-預(yù)防”的閉環(huán)。

　　賦能+協(xié)同 安全工具原來可以這么用?!

　　那么安全工具如何為企業(yè)賦能呢?馬虹斌以流量分析進(jìn)行舉例。眾所周知，流量數(shù)據(jù)一直是安全分析的一個(gè)重要手段，安全分析人員可以對(duì)已經(jīng)發(fā)生的攻擊行為進(jìn)行多角度、全方位、可反復(fù)的回溯檢測(cè)。大多數(shù)人一想到流量分析，往往第一個(gè)想到的就是原始數(shù)據(jù)包，其實(shí)在大型網(wǎng)絡(luò)中除了流量原始數(shù)據(jù)包分析外，DNS解析記錄和關(guān)鍵節(jié)點(diǎn)Flow數(shù)據(jù)也會(huì)對(duì)整體的分析手段進(jìn)行賦能。

　　東華軟件參與的數(shù)次攻防演練中，在客戶現(xiàn)場(chǎng)遇到過這樣一個(gè)案例，這家客戶企業(yè)擁有20多個(gè)數(shù)據(jù)中心，原始數(shù)據(jù)流在關(guān)鍵節(jié)點(diǎn)具備采集探針，但是缺乏宏觀的統(tǒng)計(jì)分析，當(dāng)企業(yè)想要統(tǒng)計(jì)一個(gè)月內(nèi)不活躍的IP數(shù)量時(shí)，受限于探針的覆蓋范圍有限和響應(yīng)速度很難快速實(shí)現(xiàn)。但是通過flow采集就可以做到，只要網(wǎng)元設(shè)備支持flow協(xié)議，那么flow數(shù)據(jù)采集可以實(shí)現(xiàn)全網(wǎng)可達(dá)分析。于是在攻防對(duì)抗準(zhǔn)備階段，東華軟件幫助客戶通過flow數(shù)據(jù)收集，快速統(tǒng)計(jì)出了歷史活躍IP，同時(shí)與規(guī)劃IP做差額減法，很快就鎖定了一部分不活躍資產(chǎn)，從而在演練中高效的縮減了攻擊面。

　　不僅如此， flow還可以作為在安全攻擊事件發(fā)生時(shí)固化證據(jù)的一個(gè)有效支撐手段。曾經(jīng)有一家企業(yè)中了勒索病毒，當(dāng)東華軟件的安全分析專家檢查主機(jī)日志時(shí)，發(fā)現(xiàn)日志已經(jīng)被修改，很難界定確認(rèn)具體爆發(fā)時(shí)間，但是從flow數(shù)據(jù)中就發(fā)現(xiàn)了3389端口的突發(fā)流量時(shí)間節(jié)點(diǎn)和首發(fā)IP，從而快速的確認(rèn)了勒索病毒影響范圍，再通過范圍內(nèi)的原始流量探針回溯，很快做出了響應(yīng)處理，提高了整個(gè)檢測(cè)的效率。這就是一個(gè)很好的“工具賦能和安全協(xié)同”的例子。

　　企業(yè)安全怪圈如何破?

　　既然安全工具能夠?yàn)槠髽I(yè)賦能，那么是否已經(jīng)部署了安全工具和平臺(tái)的企業(yè)就可以高枕無(wú)憂呢?事實(shí)上，并非如此。

　　馬虹斌指出，雖然企業(yè)動(dòng)輒安裝了很多安全工具，但是真正實(shí)現(xiàn)“工具賦能”并非易事。他表示，由于很多安全工具彼此孤立，即使存在統(tǒng)一管理工具，但是各個(gè)異構(gòu)信息系統(tǒng)無(wú)法真正達(dá)成安全事件的共享和歸并，管理平臺(tái)每天告警事件上千上萬(wàn)條，但真正能處理的安全事件不到7%。此外企業(yè)建設(shè)安全團(tuán)隊(duì)難度較大，安全人員匱乏，尤其是考慮到投資回報(bào)率之后，很少有企業(yè)會(huì)堅(jiān)持投入安全平臺(tái)的持續(xù)運(yùn)營(yíng)服務(wù)建設(shè)。

　　事實(shí)上，正如馬虹斌所言，不少企業(yè)的安全建設(shè)似乎進(jìn)入一個(gè)怪圈——安全投資回報(bào)率很難衡量，導(dǎo)致企業(yè)安全投入就會(huì)遲疑，而安全人員投入不到位就只能依托安全工具，而安全工具的孤立又導(dǎo)致安全水平的不穩(wěn)定……

　　東華軟件安全運(yùn)維經(jīng)驗(yàn)談

　　這樣的困局如何破呢?東華軟件在過去服務(wù)客戶的經(jīng)驗(yàn)中總結(jié)了自己的一些經(jīng)驗(yàn)：

　　首先安全建設(shè)不能脫離與運(yùn)維團(tuán)隊(duì)的溝通，單一的堆砌安全產(chǎn)品沒有意義，要把產(chǎn)品或工具融入到日常運(yùn)維工作中。馬虹斌表示IT運(yùn)維人員掌握著日常運(yùn)維操作，非常清楚知道安全痛點(diǎn)在哪里，最容易將安全目標(biāo)和業(yè)務(wù)對(duì)象做好對(duì)應(yīng)關(guān)系，因此安全最好不要獨(dú)立在運(yùn)維之外開展。

　　其次選擇有實(shí)力的服務(wù)提供商。要確認(rèn)廠商的后期服務(wù)支持，以及他的固有生態(tài)，避免平臺(tái)綁架和交付困難。當(dāng)然有能力的客戶在平臺(tái)側(cè)建議自研和培養(yǎng)自己的安全團(tuán)隊(duì)人才。

　　馬虹斌介紹到，東華軟件長(zhǎng)期駐扎在用戶現(xiàn)場(chǎng)從事主機(jī)和網(wǎng)絡(luò)運(yùn)維工作，有大量專業(yè)的運(yùn)維團(tuán)隊(duì)去服務(wù)用戶，協(xié)同工作效率非常高。同時(shí)又恰恰因?yàn)榧缮痰慕巧?，可以從客戶角度去?guī)劃和協(xié)調(diào)多個(gè)安全廠商進(jìn)行“協(xié)同”發(fā)力，此外依托于東華本身的運(yùn)維產(chǎn)品，可以有效解決在安全建設(shè)過程中的流程復(fù)雜和閉環(huán)困難等問題，深得客戶信賴。像上文中提到的flow分析案例，就是通過東華流量分析產(chǎn)品解決的，這款產(chǎn)品早已廣泛應(yīng)用于金融、運(yùn)營(yíng)商、能源等大型行業(yè)客戶。

　　最后要緊跟安全發(fā)展趨勢(shì)，順勢(shì)而為。馬虹斌認(rèn)為，未來軟件自主化，硬件平臺(tái)國(guó)產(chǎn)化的輸入，進(jìn)而適應(yīng)更多的“信創(chuàng)”市場(chǎng)需求。同時(shí)2020年疫情帶來了大規(guī)模移動(dòng)辦公、遠(yuǎn)程辦公的需求， 數(shù)字化及混合云應(yīng)用場(chǎng)景的變化，也帶來了新的業(yè)務(wù)機(jī)會(huì)，安全服務(wù)將會(huì)呈現(xiàn)SaaS化趨勢(shì)，安全服務(wù)托管及代運(yùn)營(yíng)等遠(yuǎn)程安全服務(wù)已經(jīng)大規(guī)模應(yīng)用。

　　最后談及安全產(chǎn)業(yè)未來發(fā)展時(shí)，馬虹斌強(qiáng)調(diào)，網(wǎng)絡(luò)安全領(lǐng)域永遠(yuǎn)不會(huì)有唯一的解決方案，沒有一家廠商可以搞定所有的安全問題，也不會(huì)有萬(wàn)能鑰匙。這種碎片化的狀態(tài)，是問題也是機(jī)遇。在企業(yè)網(wǎng)絡(luò)安全建設(shè)領(lǐng)域，東華軟件未來將持續(xù)構(gòu)建安全體系生態(tài)，關(guān)注新時(shí)代網(wǎng)絡(luò)安全人才培養(yǎng)，打造網(wǎng)絡(luò)安全建設(shè)及運(yùn)營(yíng)一體化服務(wù)能力，為企業(yè)信息安全保駕護(hù)航。

　　想了解馬虹斌專家更多精彩內(nèi)容，點(diǎn)擊進(jìn)入：

　　http://www.scjtxx.cn/act/jiangxin/dhwz11

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】