东华软件的马洪斌从运维的角度谈了网络安全的建设。“工具赋能”潜力巨大。对于企业用户而言,网络安全已经成为保障业务连续性和业务顺利转型的重要基础。当人们关注零信任、云安全、数据保护等安全技术和产品时,很多人其实忽略了一点。与企业网络安全项目的初期设计、规划、建设相比,后期的运行才是决定网络安全真正具有生命力的关键因素。东华软件网络技术事业部高级项目经理马洪斌近日从企业运维角度分享了他对企业网络安全建设的新思考。 三大因素驱动安全快速发展安全进入“工具赋能”阶段 近年来,国家对网络安全的重视有目共睹。马洪斌认为,网络安全在千行百业的部署能够如此火爆,离不开三大“引擎”驱动,即政策引导、技术相关驱动和网络安全攻击事件频发。 他解释说,2019年分级防护2.0的实施,让很多企业更加重视安全建设,疫情期间大数据、云计算、物联网、移动办公等技术的广泛应用,也让企业意识到需要给科技加“安全锁”才能更好地发挥自身价值。此外,新闻中经常出现的因安全攻击而给企业造成重大损失的事件,也让企业领导绷紧了安全这根弦不敢放松,从侧面促进了安全行业的发展。 在马洪斌看来,安全建设不是从零开始的过程,而是不断完善“工具赋能”的建设过程。在安全产品的积累和建设中,安全运维和运维能力建设迫在眉睫。企业除了利用安全工具搭建基础安全架构外,还需要加强安全工具的日常运营,提升自动响应运维和安全设备协同能力,形成“分析-检测-处理-”的闭环。预防”。 赋能+协作安全工具能这么用吗?! 那么安全工具如何赋能企业呢?马洪斌以流量分析为例。众所周知,流量数据一直是安全分析的重要手段。安全分析师可以对已经发生的攻击进行多角度、全方位、可重复的回溯检测。大多数人一想到流量分析,首先想到的就是原始数据包。事实上,在大型网络中,除了分析原始流量数据包外,关键节点的DNS解析记录和流量数据也会赋能整体分析方法。 东华软件参加了几次攻防演练,在客户现场遇到了这样的案例。该客户企业有20多个数据中心,原始数据流在关键节点有采集探头,但缺乏宏观的统计分析,当企业想要统计一个月内不活跃的IP数量时,很难做到由于探头的覆盖范围和响应速度有限,因此无法快速实现。但是可以通过流量采集来实现。只要网元设备支持流协议,流数据采集就可以实现全网可达性分析。因此,在攻防对抗的准备阶段,东华软件通过流量数据采集,帮助客户快速统计历史活跃IP,同时对计划IP进行差值减法,快速锁定部分非活跃资产,从而有效减少它们在演练中的攻击面。 不仅如此,流量还可以作为发生安全攻击时的有效固证手段。曾经有一家公司被勒索软件病毒袭击。东华软件的安全分析专家在查看主机日志时,发现日志被修改。很难确定具体的爆发时间,但从流量数据中发现了3389端口的突发流量。时间节点和第一个IP,从而快速确认勒索病毒的范围,然后在范围内通过原流量探针回溯,快速响应和处理,提高整个检测的效率。这是一个很好的“工具赋能和安全协同”的例子。 如何打破企业安全的恶性循环? 既然安全工具可以为企业赋能,那么部署了安全工具和平台的企业是不是就可以高枕无忧了?事实上,它不是。 马洪斌指出,虽然企业频繁安装很多安全工具,但真正实现“工具赋能”并非易事。他表示,由于很多安全工具相互隔离,即使有统一的管理工具,各种异构的信息系统也无法真正实现安全事件的共享和融合。不到7%。此外,企业安全团队建设难度大,安全人员稀缺。尤其是考虑到投资回报后,很少有企业会坚持投资于安全平台的持续运营和服务建设。 其实正如马洪斌所说,很多企业的安保建设似乎进入了一个恶性循环——安保投资回报难以衡量,导致企业对安保投资犹豫不决,安保人员只能靠如果他们没有充分投资,安全性。工具,安全工具隔离导致安全级别不稳定……自己的一些体会: 首先,安全建设离不开与运维团队的沟通。把单一的安全产品堆砌起来是没有意义的,产品或工具必须融入到日常的运维工作中。马洪斌表示,IT运维人员掌握了日常运维操作,非常清楚安全痛点在哪里,最容易做好安全目标和业务对象的对应关系。所以安全最好不要脱离运维独立进行。 其次,选择有实力的服务商。需要确认厂商的后期服务支持及其固有生态,避免平台绑架和交付困难。当然,有能力的客户建议在平台侧自研和培养自己的安全团队人才。 马洪斌介绍,东华软件长期驻扎在用户现场,从事主机和网络运维工作。有大量专业的运维团队为用户服务,协同工作效率非常高。同时,正是因为集成商的作用,才有可能从客户的角度去规划和协调多个安全厂商来“协调”努力。此外,依托东华自有运维产品,有效解决了安全建设过程中流程复杂和闭环难等问题,赢得了客户的信赖。上述流量分析案例由东华流量分析产品解决,该产品已被金融、运营商、能源等大行业客户广泛使用。 最后,紧跟安防发展趋势,顺势而为。马洪斌认为,未来自主软件和硬件平台国产化的投入将适应“新创”更多的市场需求。同时,2020年的疫情带来了大规模移动办公、远程办公的需求。数字化和混合云应用场景的变化也带来了新的商机。安全服务将呈现SaaS趋势,安全服务托管、代理运营等远程安全服务得到大规模应用。 最后,在谈到安全行业的未来发展时,马洪斌强调,网络安全领域永远不会有单一的解决方案。没有哪个厂商可以解决所有的安全问题,也不会有万能钥匙。这种碎片化状态既是问题也是机遇。在企业网络安全建设领域,东华软件未来将持续构建安全体系生态,注重新时代网络安全人才培养,打造网络安全建设运营一体化服务能力,为企业保驾护航信息安全。 想了解更多马宏斌精彩内容,点击进入: http://www.51cto.com/act/jiangxin/dhwz11【原创稿件、合作站点,转载请注明原作者及出处为.com】
