返回介绍

20.2 架构

发布于 2024-10-11 22:28:36 字数 3727 浏览 0 评论 0 收藏 0

安全运营架构如图 20-1 所示。

图 20-1 安全运营架构

为确保安全运营架构能够灵活扩展,推荐按功能划分成四个模块:安全防护框架、安全运维框架、安全验证框架、安全度量框架。

1.安全防护框架

安全防护框架的目的是部署尽可能多和有效的安全感知器(Sensor),这些安全感知器构成了信息安全的“天网”,这部分是基础工作,也是安全的传统主战场,需要历经多年的持续投入积累。安全感知器的部署遵循纵深防御的理念,如图 20-2 所示。

实际上可能远远不止图 20-2 中这些 Sensor。比如网络层,可以把防火墙监测信息特别是 Deny 信息采集了,有些防火墙还自带 IPS 功能,如 CheckPoint 的 SmartDefense,就是特别好用的安全 Sensor,交换机、路由器的 ACS 服务器信息,堡垒机登录信息,虚拟层虚拟主机操作信息,Windows、Linux 主机日志,在主机部署安全客户端的监测信息,数据库审计系统监测信息,AD 系统信息,存储备份系统操作信息,KVM、ILO 等带外管理系统信息,ITIL 系统工单信息,应用系统应用信息(如 OA 系统应用日志),SAP 系统应用信息,公文传输系统日志,FTP 数据传输日志等。

图 20-2 安全防护框架

企业基础安全的大部分内容就是建设各类安全 Sensor,解决点状的安全问题和需求。比如企业防火墙多了,如何管理防火墙规则的有效性和合规性,可能需要部署诸如 Algosec、firemon 等防火墙规则审计工具,审计发现的信息就可以作为安全运维框架的输入。如果想监测企业内网或服务器访问了哪些恶意地址,可以采集类似 ArcOSI 这样的开源恶意地址库。

安全防护框架建设,需要考虑两个问题:

·给安全运维框架发送原始监测信息还是 Sensor 处理后的监测告警信息?如果是防火墙、IPS 等安全防护系统,尽量是全量原始信息;如果是 Windows、linux 主机日志,合规检测,登入登出等信息,考虑对原始信息进行过滤,只和安全相关的信息才作为安全运维框架的输入。

·要不要做业务安全监测?Ayazero 认为企业安全涵盖七大领域:①网络安全;②平台和业务安全;③广义的信息安全;④IT 风险管理、IT 审计&内控;⑤业务持续性管理;⑥安全品牌营销、渠道维护;⑦CXO 们的其他需求。对于传统行业,建议做①③④⑤;对于互联网公司,建议做①②⑤;对于金融行业,建议做①③④;能力强的安全团队,建议做①②③④⑤⑥⑦。

2.安全运维框架

安全运维框架的建设目标是成为企业安全的大脑、耳目、神经中枢和手脚。在军队现代化作战体系中,美军创造性地提出了 C4 ISR 作战指挥系统,即指挥、控制、通信、计算机与情报、监视、侦察。一个完整的信息安全“作战指挥自动化系统”应包括以下几个分系统:基础架构平台、安全情报监视系统、数据分析系统、安全控制系统。

·“大脑”—基础架构平台。基础架构平台是构成指挥自动化系统的技术基础,指挥自动化系统要求容量大、速度快,兼容性强。

·“耳目”—安全情报,安全监视、侦察系统。主要是对安全防护框架中各安全 Sensor 的安全信息进行收集和处理,实现异常行为的实时安全监测。

·“神经中枢”—数据分析系统。综合运用各类智能分析算法和数据挖掘分析技术,实现安全信息处理的自动化和决策方法的科学化,以保障对安全控制设备的高效管理,主要技术是智能分析算法和模型及其实现。

·“手脚”—安全控制系统。安全检测和控制系统是用来收集与显示安全信息、实施作战指挥系统发出安全控制指令的工具,主要是各类安全控制技术和设备,如防病毒和主机安全客户端、防火墙等,实现异常行为的实时安全控制。

安全运维框架实际落地时,企业会部署 SIEM、安全大数据等类似平台,实现安全检测信息的统一采集、分析处理和存储,大部分平台支持内置或自定义的黑名单检测规则进行实时检测。安全运维框架还有很重要的一部分—安全事件的流程化处理和定期 review、汇报。安全事件的流程化处理应遵循企业事件管理流程(如 ITIL),通过自动化下发安全工单,发送告警邮件、短信等方式进行安全提醒,安全事件确认和溯源分析主要通过人工分析和确认的方式进行。对于 100%确定的安全攻击通过自动化方式进行阻断。同时,通过安全事件日例会、周报、月报、年报等方式进行闭环管理,并进行必要的管理层汇报。

3.安全验证框架

安全验证框架解决安全有效性的问题,承担对安全防护和安全运维两个框架的功能验证。安全验证框架是企业安全的蓝军,在和平时期,蓝军扮演着对手角色,利于及时发现、评估、修复、确认和改进安全防护框架和安全运维框架中的脆弱点。验证包括白盒检测(过程验证)和黑盒检测(结果验证)两部分。

白盒检测(过程验证)是指建立自动化验证平台,对安全防护框架的管控措施实现 100%的全面验证,并可视化集成至安全运维平台中,管控措施失效能够在 24 小时内发现。通过自动化验证平台,可以达到:

·验证安全 Sensor 的安全监测功能有效。

·验证安全 Sensor 所产生的监测信息到 SIEM 平台的信息采集有效。

·验证 SIEM 平台的安全检测规则有效。

·验证告警方式(邮件、短信与可视化展示平台)有效。

基于上述目标,自动化验证要求所有的验证事件必须为自动化模拟真实事件产生,不能使用插入记录的方式产生。同时,自动化验证事件应提供判断是否为验证事件的唯一标识,验证事件产生时间需统一安排,防止集中触发。安全运维平台应能够监测到安全验证未通过的系统和规则,并产生告警信息,通知安全运维人员介入处理。

黑盒检测(结果验证)是指通过多渠道安全渗透机制和红蓝对抗演习等,先于对手发现自己的漏洞和弱点。多渠道安全渗透机制目前常见的就是安全众测,红蓝对抗演习需要企业具有较高攻防技能的安全人员,也可聘请外部专业机构完成,用于检测安全防护框架和安全运维框架的有效性。

4.安全度量框架

安全度量框架主要用于衡量评价安全有效性,这是挺难的一件事,此处仅做一些探讨。度量可以分成以下几个层次:

一是技术维度。包括防病毒安装率、正常率,入侵检测检出率、误报率,安全事件响应时长、处理时长,高危预警漏洞排查所需时间和完全修复时间等。还可以考虑安全运维平台可用性、事件收敛率等。合规性方面可以设置合规率、不合规项数量、内外部审计发现数量和严重度等。

二是安全运营成效。包括覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下,有多少无人问津的灰色地带,安全能在企业内部推动得多深入、多快速,这是需要综合技术和软性技能的,成败主要系于安全团队负责人。检出率和攻防对抗成功率都是衡量安全有效性的有效指标,安全团队即使不能拍着胸脯保证不出事,也不能靠运气和概率生存,那么,持续提升检出率和攻防对抗成功率就是努力的方向。

三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能力,如 TCO/ROI、安全用多少资源、支撑了多少业务、支撑的程度等。安全价值还体现在内部的影响力以及对业务的影响力,是做微观安全还是广义安全,是为业务带来正面影响还是负分拖后腿。安全满意度是综合维度指标,是对安全团队和人员的最高要求,既要满足上级领导和业务部门对安全的利益诉求。又要满足同级横向其他 IT 团队对安全的利益诉求,还要满足团队内部成员的利益诉求。要提供最佳的安全服务,既让安全的用户成为安全的客户,又让使用者满意,真的是非常非常有挑战的一件事情。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文