《谭晓生-数字化转型中的企业网络安全(48页).pdf》由会员分享,可在线阅读,更多相关《谭晓生-数字化转型中的企业网络安全(48页).pdf(48页珍藏版)》请在三个皮匠报告上搜索。
1、数字化转型中的企业网络安全谭晓生2022年6月10日数字化转型进程手工流程计算机处理网络化互联网化万物互联局部全局技术社会万物互联(IoT)世界智能家居车联网智慧城市联网的可穿戴设备智能工厂&制造智能电网网络安全应用场景-10年前网络安全应用场景-今天网络安全应用场景-明天树立数字安全观网络安全模型技术工程产品科学科学、技术与工程的三元论道法术器P2DR模型(ISS,1990s)安全=风险分析+执行策略+系统实施+漏洞监测+实时响应IATF框架(NSA,1998/1999)纵深防御思想网络安全杀伤链(洛马,2011)黄金标准框架(NSA,2014)CGS框架示意图ATT&CK(MITRE,20
2、13-)NIST 网络空间安全框架(2014-)识别保护检测响应恢复依赖进化加强自身强身健体构筑工事纵深防御全面监测快速响应获取情报准确预警进攻反制先发制人基础架构被动防御积极防御威胁情报反制进攻网络安全滑动标尺模型(SANS,2015)安全管理体系 安全域划分 安全加固 安全评估 应用内建安全 传统安全防护 纵深防御体系 缩小攻击面 消耗攻击资源 迟滞攻击 持续检测响应安全分析追踪溯源响应处置 人的参与 完善防御体系 信息收集 情报生产 情报分析验证“狩猎”法律手段 对抗措施 自我防卫行为IACD集成自适应网络防御(2016)Gartner CARTA模型(2018)CARTA-Contin
3、uous Adaptive Risk and Trust AssessmentDevSecOps认清网络空间安全防御的现实 没有银弹 碎片化的市场/产品/服务 有勇有谋:对人高度依赖 需要在投入与期望值之间做平衡 弹性/恢复能力 不能不信,不能全信 政府的作用 7 X 24 安全运维,持续开发/改进“WannaCry勒索蠕虫”事件回放2017年5月12日晚不法分子利用2017年4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击进行勒索,也成WannaCry病毒截止到5月16日勒索软件攻击了100+国家。据360威胁情报中心监测,至少有29000+个机构被感染。受害主机中招后,病毒
4、就会在受害主机中植入勒索程序,硬盘中存储的文件将会被加密无法读取。WannaCry勒索蠕虫爆发2017.3.14 微软发布安全补丁MS17-0102017.4.14 NSA“永恒之蓝”黑客工具泄漏2017.5.12“WannaCry勒索蠕虫”事件回放从微软发布安全补丁 勒索蠕虫病毒爆发安装了个人版360安全卫士的5亿客户端,仅有20多个台电脑终端中招为什么受伤的是政府/企业用户?“WannaCry勒索蠕虫”事件回放从不同演进阶段分析这次事件的内在原因进化阶段原因分析基础架构1.大量WinXP/2003等老系统无微软官方补丁2.存在众多系统不敢打补丁、不愿打补丁、补丁升级不及时3.做了大隔离,缺
5、乏更细化的隔离措施被动防御1.隔离网或内网中缺乏纵深防御,一隔了之2.重网络安全手段,轻终端安全建设3.重安全建设,轻安全运营积极防御1.资产情况不清楚2.无持续检测和监控技术,感染情况无法及时感知3.缺少响应处置流程及自动化响应手段威胁情报1.威胁情报生产能力低2.获取厂商预警机制不健全进攻反制1.漏洞分析与研究不足2.国家级网络武器库的储备差距注:EDR(Endpoint Detection&Response):具备采集全量数据能力的终端安全软件,并以此开展安全检测与响应注:NDR(Network Detection&Response):具备采集全量数据能力的边界安全设备,并以此开展安全检
6、测与响应不同阶段的关系:叠加演进,安全协同基础架构被动防御积极防御威胁情报进攻反制开启应用日志EDRNDR数据采集情报提供威胁情报落地边界防护安全加固以“永恒之蓝”的态势感知为例例:“永恒之蓝”病毒传播态势(中国)有层次、有目标的全面数据采集与监测网络流量基础服务终端安全防火墙IPS防毒墙终端安全准入邮件网关流量会话应用行为文件传输账号登陆中间件数据库缓存服务其他服务文件行为进程行为邮件行为注册表2、充分利用已有的安全事件,但不能信任1、尽可能的覆盖硬件资产4、获取更加丰富的原始数据信息WEB服务业务硬件资产业务服务器路由交换代理服务器主机设备邮件服务器3、获取关键基础服务的运行情况5、深入到
7、业务系统中,获取业务信息业务登陆交易记录业务查询发展到3,可以实现威胁的响应,一定程度的威胁发现。发展到4,可以实现威胁的快速发现和回溯取证,可支持复杂场景分析。发展到5,可以支持业务安全,提供与客户业务更为贴合的方案。“高大上”的积极防御往往依赖于基础架构安全和被动防御体系的安全建设成果再以“永恒之蓝”的应急处置为例例:72小时应急响应中的处置 1500+安全应急响应人员安全工程师上门紧急响应 1700+客户机构的现场支持现场支持,重点是监管机构、一级部位、大型央企、大型金融机构客户 2000+客户机构的电话支持 5000+工具U盘或光盘 9个版本安全预警通告 7个安全修复指南文档操作指南、
8、事件百问、开机手册等 6个安全软件修补工具涵盖补丁、扫描、修复、解密多类别工具 人均睡眠时间4小时应急处置不单单是“高大上”的分析研判暴露面分析未知资产发现安全分析威胁情报攻击面分析安全运营外部攻击者画像攻击者评分攻击者属性标记攻击文件标记安全态势DDOS僵木蠕毒网站云监测补天Vul钓鱼网站监控内部失陷WEBshellTunnel反弹shellRedis注入数据泄露外部攻击APT攻击钓鱼邮件WEB攻击口令爆破数据爬虫内部攻击内部扫描嗅探暴力破解精准的网站安全报告 威胁情报 本地数据 平台工具 分析模型 威胁场景 专家经验 安全人员应急处置常常是基础架构和被动防御的“脏活、累活”安全运维人员启动
9、处置任务,结合告警/日志深入分析调用EDR/NDR接口快速处置几千台终端“WannaCry”安全事件一个经常被忽视的地方:人例:72小时应急中人的因素 1500+安全应急响应人员安全工程师上门紧急响应 1700+客户机构的现场支持现场支持,重点是监管机构、一级部位、大型央企、大型金融机构客户 2000+客户机构的电话支持 5000+工具U盘或光盘 9个版本安全预警通告 7个安全修复指南文档操作指南、事件百问、开机手册等 6个安全软件修补工具涵盖补丁、扫描、修复、解密多类别工具 人均睡眠时间4小时不同演进阶段都离不开人的参与数据处理事件处置分析研判通报预警日志情报整体安全态势威胁类型威胁等级确认
10、攻击捕猎(Hunting)目的/团伙/过程攻击趋势重大事件新的攻击目的新的攻击手法新的攻击团伙日常安全运营安全分析师安全运维工程师安全负责人CSO/CISO领导资产信息安全事件上级机关监管单位下属单位安全技术人才的匮乏是心病从企业自身的安全建设与应急响应角度看“永恒之蓝”勒索蠕虫病毒全面爆发2017.3.14 微软发布安全补丁MS17-0102017.4.14 NSA“永恒之蓝”黑客工具泄漏2017.5.12 主机加固安全域划分终端准入机制安全运维体系防御架构要完整应急响应流程自动化的响应处置溯源取证响应处置要及时持续检测攻击遏制持续监测要增强预警渠道规范化资产管理日常化安全预警要规范依赖进化
11、加强自身强身健体构筑工事纵深防御全面监测快速响应获取情报准确预警进攻反制先发制人基础架构被动防御积极防御威胁情报反制进攻更大意义上的协同演进企业安全国家安全做好基础功课漏洞管理网段划分集中日志管理应用白名单应用安全转移攻击身份与访问管理DNS过滤与监控完善的系统管理数据备份系统加固V3.0 2022.4虚拟化安全产品容器安全云工作负载保护平台(CWPP)云安全资源池微隔离云抗D/云WAF/云身份管理移动终端安全移动应用安全车联网安全视频专网安全移动安全移动安全管理物联网安全其它工控防火墙工控安全审计工业互联网安全工控主机安全工控靶场工控安全管理平台云安全云原生安全安全服务 网络与基础架构安全
12、防火墙/UTM/第二代防火墙网络行为管理与审计虚拟专用网(VPN)网络准入与控制(NAC)入侵检测与防御网络隔离与单向导入抗拒绝服务攻击(设备)高级持续性威胁防护(APT)应用交付软件定义广域网(SD-WAN)防病毒网关锦行科技端点安全 终端防病毒终端安全管理主机/服务器加固安全管理安全管理平台/态势感知日志分析与审计网络资产测绘与管理/攻击面管理(ASM)安全基线与配置管理入侵与攻击模拟(BAS)漏洞扫描与漏洞管理密码管理数据安全数据脱敏数据泄漏防护电子文档管理与加密存储备份与恢复数据库安全身份与访问管理身份认证与权限管理特权账号管理(PAM)运维审计堡垒机数字证书硬件认证终端检测与响应We
13、b应用安全扫描及监控邮件安全API安全Web应用防火墙(WAF)应用安全 欺骗防御网页防篡改DNS安全DNS安全运行时应用程序自保护(RASP)应用安全测试(AST)数据分类分级自动化攻击防护(Anti-Bot)终端检测与响应终端检测与响应(EDR)安全解决方案安全访问服务边缘(SASE)零信任隐私计算安全编排自动化与响应(SOAR)数据安全治理应急响应攻防实训/靶场培训认证威胁管理/XDR渗透测试安全方案与集成安全运维风险评估安全众测红蓝对抗安全意识教育开发安全安全运营/MDR/MSS如何有效防御?按照IT预算的百分比分配网络安全预算 按照发生网络事件后损失兑价分配网络安全预算常规企业网络安
14、全预算分配网络安全预算模型 美国2020年政府网络安全预算174亿美金,占IT预算的比重是19.8%民事部门网络安全预算占IT预算比重是15.3%国防部是26.2%国土安全部是27%中国网络安全预算占IT预算现状:1%-3%,金融行业:15%+合理设定目标 配备网络安全规划、运营团队 第三方专业团队做支持(取证、样本分析等)购买安全服务(威胁情报、渗透测试等)网络安全团队构建 全员安全意识培训 开发人员安全编码培训 管理层平衡业务发展与网络安全建立安全文化 应对社会工程学攻击 安全意识教育 建立“人”的防线 与人的管理有关的系统:IAM,PAM,MFA,UEBA,零信任人云管边端模型云计算云网络管边缘节点边终端端小结 反思“高级技术”的“神话”,将一系列架构安全和被动防御的基础补充扎实,推动安全运行和维护的操作化,帮助客户实现“小而土”的工作(具体操作化的“周一安全开机指南”就是例子),努力为积极防御和威胁情报打好扎实基础。重新审视安全防护体系,基于叠加演进的思路开展安全规划,建立基于数据和情报的协同联动的防御体系。