作者簡(jiǎn)介：黃樂(lè)，北京掌數(shù)信息技術(shù)有限公司聯(lián)合創(chuàng)始人，清流派企業(yè)安全沙龍創(chuàng)始人，公眾號(hào)“企業(yè)安全工作實(shí)錄”主理人，《企業(yè)信息安全建設(shè)之道》作者，曾任央視網(wǎng)網(wǎng)絡(luò)安全部副總監(jiān)。對(duì)企業(yè)安全運(yùn)營(yíng)及管理有多年實(shí)踐經(jīng)驗(yàn)，研究領(lǐng)域涉及安全運(yùn)營(yíng)、安全檢測(cè)及防御、漏洞治理、內(nèi)容安全、應(yīng)急響應(yīng)等領(lǐng)域。

[[377542]]

筆者在兩年前曾寫(xiě)過(guò)一篇《攻擊面管理策略梳理》文章，在剛剛出版的新書(shū)《企業(yè)信息安全建設(shè)之道》中，也用攻擊面管理作為技術(shù)篇的第一章。但經(jīng)過(guò)大量交流和思考，感覺(jué)討論的還不夠充分，所以就有了本文。本文不再?gòu)木唧w方法上討論安全策略管理需要如何做，而是在思路上，再次探討安全策略管理工作的必要性。

筆者曾經(jīng)在一家互聯(lián)網(wǎng)架構(gòu)的國(guó)企工作了十幾年，作為信息安全工作負(fù)責(zé)人，每天要面對(duì)來(lái)自各個(gè)方面的挑戰(zhàn)。不僅要思考攻擊對(duì)抗、脆弱性修復(fù)、情報(bào)分析、安全教育等各方面工作的策略，更要不停地對(duì)技術(shù)原理和應(yīng)用進(jìn)行多方面研究。從基礎(chǔ)的云和大數(shù)據(jù)技術(shù)，到AI在安全領(lǐng)域的落地，甚至區(qū)塊鏈在業(yè)務(wù)安全中的應(yīng)用都進(jìn)行了大量研究工作。

相信任何做技術(shù)的人在研究前沿技術(shù)時(shí)都會(huì)進(jìn)入舒適區(qū)，而舒適區(qū)往往意味著危險(xiǎn)。在很多實(shí)踐中可以看到，AI等先進(jìn)技術(shù)是用來(lái)解決安全領(lǐng)域金字塔尖的問(wèn)題的，對(duì)于大量基礎(chǔ)問(wèn)題，則需要基礎(chǔ)的方法和策略去解決。

從信息安全領(lǐng)域來(lái)看，最基礎(chǔ)的問(wèn)題就是攻擊面管理。相比AI、區(qū)塊鏈的研究，攻擊面管理工作實(shí)在是不夠高大上，甚至寫(xiě)周報(bào)的時(shí)候都不好意思多提。但負(fù)責(zé)過(guò)信息安全工作的朋友都清楚，一個(gè)完善的四層安全策略體系至少可以解決一半安全問(wèn)題。為了說(shuō)明這個(gè)問(wèn)題，我們可以從每個(gè)人對(duì)自己房屋的安全性入手，去探討攻擊面管理的重要性。

對(duì)一般房屋來(lái)說(shuō)，最主要的攻擊面就是門(mén)和窗。作為負(fù)責(zé)一間屋子安全的人，不能每天研究做鎖的技巧，而忘了關(guān)窗?；蛘哌^(guò)多思考諸如 “墻被突破了該怎么辦？”這類(lèi)問(wèn)題。而是應(yīng)該關(guān)注“買(mǎi)什么樣的鎖和防盜窗效果最好”，以及“出門(mén)前要管好門(mén)窗，不要輕易給陌生人開(kāi)門(mén)”之類(lèi)的安全策略。

相應(yīng)的，企業(yè)信息安全負(fù)責(zé)人也更應(yīng)該管好鎖（安全策略），而非做好鎖（安全產(chǎn)品）。

由此引申而出，對(duì)企業(yè)來(lái)說(shuō)，安全防御策略的梳理就變得非常重要。帶著這個(gè)問(wèn)題，筆者在2020年10月的清流派企業(yè)安全沙龍中，邀請(qǐng)安博通和十余家企業(yè)安全負(fù)責(zé)人一起進(jìn)行了深入探討。在場(chǎng)各企業(yè)的安全負(fù)責(zé)人都普遍關(guān)注這個(gè)問(wèn)題，由此可見(jiàn)，企業(yè)安全負(fù)責(zé)人普遍還都是比較務(wù)實(shí)的。

當(dāng)天的討論主要從下面幾個(gè)環(huán)節(jié)展開(kāi)：

1、網(wǎng)絡(luò)安全策略管理的難點(diǎn)

企業(yè)防火墻策略管理工作的難點(diǎn)主要體現(xiàn)在三個(gè)方面：異構(gòu)性、復(fù)雜性與未知性。

1）異構(gòu)性：企業(yè)網(wǎng)絡(luò)中一方面存在防火墻品牌的異構(gòu)性，另一方面本地與云同時(shí)存在異構(gòu)環(huán)境，而且每臺(tái)設(shè)備的策略規(guī)則普遍在1000條以上，核心邊界設(shè)備的策略規(guī)則能達(dá)到幾萬(wàn)條。

2）復(fù)雜性：防火墻策略設(shè)置的有效性與風(fēng)險(xiǎn)性分析不僅限于單臺(tái)防火墻，還需要通過(guò)網(wǎng)絡(luò)對(duì)象間的訪問(wèn)關(guān)系與訪問(wèn)路徑進(jìn)行分析。在網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的情況下，人工方式實(shí)現(xiàn)全局網(wǎng)絡(luò)對(duì)象訪問(wèn)路徑與訪問(wèn)關(guān)系分析基本不可能。

3）未知性：復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)下，企業(yè)無(wú)法實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)暴露面收斂到最小化，從而減少黑客攻擊入口。

以上三方面問(wèn)題使企業(yè)防火墻策略精細(xì)化管理工作難于落地，將會(huì)造成兩方面后果，一是頻繁的策略變更增加了安全風(fēng)險(xiǎn)引入的機(jī)會(huì)，二是占用了大量人力。有些企業(yè)的策略管理工作量占比達(dá)到安全運(yùn)維工作量的40%，直接導(dǎo)致其他更高層面工作資源得不到保證。

2、解決方案

引入安全策略集中管理系統(tǒng)，可以從如下幾個(gè)方面入手，解決安全策略管理面臨的問(wèn)題：

1）安全策略合規(guī)檢查：通過(guò)在線采集方式定期抓取防火墻、路由交換、負(fù)載均衡等網(wǎng)關(guān)設(shè)備的策略配置文件、路由表信息以及主機(jī)iptables策略，經(jīng)過(guò)分析后，可以實(shí)現(xiàn)海量策略規(guī)則的快速優(yōu)化清理，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，同時(shí)降低了網(wǎng)絡(luò)訪問(wèn)控制設(shè)備的性能負(fù)載。

主機(jī)iptables規(guī)則集中展示

網(wǎng)絡(luò)設(shè)備安全策略集中可視

網(wǎng)絡(luò)設(shè)備安全策略?xún)?yōu)化檢查類(lèi)別

2）NAT轉(zhuǎn)換關(guān)系梳理：多層NAT后，網(wǎng)絡(luò)結(jié)構(gòu)將極其復(fù)雜，對(duì)NAT安全策略進(jìn)行綜合分析，可以在安全事件發(fā)生后方便攻擊路徑溯源。

NAT關(guān)系梳理

3）主機(jī)網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)分析：總體上分析全網(wǎng)暴露情況，可以幫助用戶(hù)實(shí)現(xiàn)對(duì)暴露面的管理。

主機(jī)暴露風(fēng)險(xiǎn)排名

4）第三方系統(tǒng)聯(lián)動(dòng)：用戶(hù)可以通過(guò)聯(lián)動(dòng)能力，對(duì)攻擊路徑上的防火墻下發(fā)安全策略阻斷后續(xù)攻擊行為，實(shí)現(xiàn)安全加固。聯(lián)動(dòng)方式一方面可以提高防火墻配置的準(zhǔn)確性，避免誤操作；另一方面可以大量縮短配置的時(shí)間周期。

安全事件路徑溯源

寫(xiě)在最后

對(duì)攻擊面的管理工作雖然沒(méi)有那么“高大上”，但對(duì)企業(yè)來(lái)說(shuō)是性?xún)r(jià)比最高的安全工作。有效收斂攻擊面可以讓企業(yè)在投入最低成本的情況下，最大程度降低對(duì)外暴露的安全風(fēng)險(xiǎn)。對(duì)于中大型網(wǎng)絡(luò)來(lái)說(shuō)，可以通過(guò)自建或采購(gòu)安全策略管理平臺(tái)方式實(shí)現(xiàn)系統(tǒng)化、自動(dòng)化的攻擊面管理。