0x00,前言随着新基建项目的不断演进,IT信息安全业务也在不断发生变化,从只销售安全产品、安全服务、安全解决方案到如今销售基于安全服务的安全产品IT基础设施。对于这类安全服务,安全能力不仅包括安全产品和单纯的安全服务,还需要基于IT基础架构的一整套自研安全解决方案,有时还需要配合外包服务来满足用户需求。同时,业务需要配合大型商业活动,安全防护水平达到网络防护运营水平,同时做好与政府部门的对接工作。只有这样才能把这个安全服务卖到500w~1000w的价格。0x01。安全产品优化在对外销售此类安全服务时,我们发现提升安全运营人员的工作效率是整个项目盈利的核心。如果安全产品优化得好,我们可以节省更少的人力成本投资,反之则项目赔钱。举个简单的例子:如果要提供7*24小时的安全运维服务,一个项目周期为7天,14人/天,后台和二线运维至少2人。如果安全运维人员把时间花在主机打补丁、防火墙策略处理、数据分类等基础预防工作上,那么你的工作就无法集中在运维监控上,也就无法深入思考问题。一旦发生入侵事件,无法进行有效处理。这些前期工作都需要增加保安服务的工时。那么对于安全解决方案,最快的构建方式就是使用公有云。公有云基础设施比较完善,安全服务也比较完善,包括:主机安全、云WAF、防D、扫描器、态势感知、数据库审计、堡垒机等,所以在做网络防护操作之前,先做一些安全预防工作我们需要做的包括:安全镜像优化、手动渗透测试、自动化渗透测试、主机/云产品基线、安全组ACL设置、数据分类等。以安全镜像优化为例:自动化安全产品:主机漏洞安全,目前存在的问题:@1、主机操作系统的镜像制作周期一般是每季度制作一次,因为操作系统有几十个版本,每个版本上线前都需要经过严格的测试。从漏洞产生频率来看,每季度大约有CVE、2000+、RHSA50+、USN150+。从涉及的软件数量来看,由于用户安装的软件处于不可控状态,软件种类繁多,安装这些软件都会带来主机漏洞。@2。漏洞库爬取后,如何有效判断漏洞是否满足产品漏洞库条件,需要人工确认。一般厂家不会这样做,投入产出比太低。@3。在网络保护期间,配置更改服务器必须有一定的审批流程。新增加的服务器和新安装的软件要严格审核,业务方上线需要和安全挂钩,使用重新加固的安全镜像。同时,重保期间暂停漏洞库更新。对于一些特殊情况,例如:Kubernetes运行在云服务器上,Pod重启会导致灾难性的后果。需要添加一个例外。为什么要换产品:@1。一旦验证了某些流程,自动化将提高安全操作的效率。@2。第三方安防产品,改产品难度很大,所以第三方安防厂商的售前或产品经理通常会通过曲线保存的方式帮你解决相关问题。@3。目前,大部分安全产品还没有针对网络防护的需要进行产品调整。用户需要带保护网模式的产品。第二个消耗安全运维人员精力的事情就是:配置安全组和ACL策略。由于公有云上的防火墙策略已经与安全组和ACL策略耦合,同时业务系统不断变化,上线下线,给安全风险管控带来诸多不便。今天哪个部门上线了一个应用,需要开放TCP8080端口对外服务。我不认识保安人员。系统测试发现已经不可用了。查了又查,终于发现业务系统访问的数据库端口没有加入到安全组的开放列表中,这种崩溃在网络保护的早期发生了一次又一次。..没有全面的安全可视化网络资产管理模块帮助用户图形化管理安全组或ACL策略。产品解决方案:微隔离可视化管理利用微隔离可视化技术帮助用户业务人员在开展业务的同时做好安全管控。既提高了配置工作的效率,又防止高危端口暴露,给红队小伙伴可乘之机。产品的核心是可视化:@1。需要支持自定义分组,如:按业务分组等,支持各种角色组,如:数据库角色,web服务角色。@2。显示工作负载和访问关系。@3。访问边聚合的连接,以及访问方向和属性。第三部分是存储在公有云上的关键数据分类分类。什么样的数据需要哪个级别的管理?这部分在早期的网络保护操作中涉及的比较少,但是随着网络保护工作的逐年深入,以获取用户数据为目的的案例越来越多。据了解,阿里云在2020网络保护行动中拿下了所有目标用户数据。另一种情况是,很多用户,尤其是大用户,常年在公有云上积累了大量的数据,分散在对象存储、RDS数据库、大数据存储引擎中,再加上各种应用调用,这些数据很难归类和流程在短期内,需要一套自动化的产品来帮助用户进行梳理和保护。产品解决方案:敏感数据保护系统@1、敏感数据识别@2、数据安全审计(主要包括对象存储和RDS)@3、数据脱敏数据分类是数据防泄露工程中最重要的一步,这一步的层次智能代表安全操作的效率。特别是在网络保护的前期准备阶段,需要对数据进行分类,最终确定数据保护的级别。例如,用户更关注自己的CRM会员系统。一旦发生数据泄露,整个网络的保护工作将功亏一篑。0x02。重新定义安全服务这种安全服务,包含的安全产品需要对整体的安全服务效率负责。这里定义的安全服务不仅仅是人工渗透测试服务,还包括:业务安全规划、项目实施、应急演练、压力测试、审查、在线网络防护等级再保险、网络安全与国家安全政府对接日常工作;同时,近期安全产品的规划也需要“网络防护模式”,通过安全能力产品化赚钱,难度越来越大,通过托管服务输出安全能力的时代正在到来。
