青藤鹊桥,自动化安全运营的三板斧

摘要

程老师是一位拥有丰富经验的安全老兵,3 年前接手了某大型基金的安全运营管理工作。这魔幻的 3 年,给本不富裕的安全行业雪上加霜,但出乎意料,他却斗志昂扬。

程老师是一位拥有丰富经验的安全老兵,3 年前接手了某大型基金的安全运营管理工作。这魔幻的 3 年,给本不富裕的安全行业雪上加霜,但出乎意料,他却斗志昂扬。「程老师,你藏了什么好东西」,他狡黠一笑,「我找到了三板斧」。

何为安全运营的三板斧?以下来自程老师的自述。

第一板斧:自动巡检突破安全设备山

我刚到公司,想着先对安全能力做个盘点,看看下一步安全建设的方向,盘点完,血压直接就上来了。公司在不同时期,陆续采购了不同厂家的、各种技术栈的各种设备。早期的动态数据包过滤防火墙、反垃圾邮件,后来为了合规,搞了一些日志审计、恶意软件分析的系统,前几年还买了一些蜜罐和威胁情报,甚至还有一个烂尾的 SOC。

为了捋清楚这些系统是不是还能正常使用,废了我老鼻子劲。你知道,这种重复的工作,我一般不会做第二次,所以就想调研看看有没有啥解决思路,结果遇到了「青藤鹊桥」这个法宝。你知道我们现在巡检怎么做了么?早上我到办公室,会收到一封邮件,里面是我们 30 多个设备的授权和健康状况,那些有问题的设备,早已经自动提交了工单。

第二板斧:自动处置化解告警龙卷风

在设备巡检的事情有思路后,我就对告警这块有些想法了,但实际情况远比我想象的要糟。最大的问题是,我发现人手全都被限制在告警上,规则优化了好几轮还是没有太大改善。尤其是流量告警,不看担心有风险,要是看,那一天别的基本上啥都不用干了,好不容易招的人不是跑了就是废了。没人愿意做这些重复的、机械的逻辑判断,大家都知道和机器抢活干迟早被淘汰。

现在有了「青藤鹊桥」,对于边界上的告警,我们贴着业务做一些自动的处置判断就能消灭大部分。比如像国外的 IP,我们直接就封了,因为根本就没有国际业务嘛,再配合威胁情报,绝大多数告警都能自动处理掉。涉及到内网的告警,在人介入之前,也会自动做一些基础的数据调查,把关键的调查结果放在工单上一起提交,效率高还方便复盘。现在大家都是抢着处理工单,因为一旦发现安全事件,那可是头功。

第三板斧:自动分级跑赢资产攻击面

这几年我们最大的进步,就是安全建设思路清晰了。以前我们都是被告警追着满地跑,现在才发现之前的重点完全放错了。告警只是安全问题的表象,能被天天狼来了的告警耍的身心俱疲,根本原因是我们内部的安全管理是严重缺失的。最首要的是资产的管理,各种负载、应用、供应链的资产是不是能摸清楚。在这些细粒度的资产基础上,风险、漏洞是不是可以探明查清,需要紧急修复的有没有办法持续追踪。

就好比你是你家小区保安,如果对小区的建筑资产和安保风险都心中有数,那就不会有任何风吹草动都乱成一团。战时的关键是跑赢入侵者,但更重要的是在平时要跑赢攻击面。

说实话,最开始我是不相信这事儿能成的,因为资产太多了,漏洞也太多了。我不是装了 5000 点的主机么,最开始跑完扫描直接给我报了 2 万多个漏洞,人都麻了,差点原地辞职。结果,「青藤鹊桥」帮我们做了自动化的漏洞分级,1 分钟就给出了排序结果。可以很清楚地知道哪些漏洞是最危险的要赶紧修复掉,哪些是没有 POC 或者 EXP 的可以往后放。

这三板斧让程老师迅速打开了局面。但是据他说,围绕「青藤鹊桥」这个法宝他可不止练了三招。比如攻击面梳理之后,如何结合自动化来做攻防演练,让备战演练不再过家家。比如那些发现的安全事件,如何结合自动化来做隔离溯源,让处置响应不再苦哈哈。比如那 2 万多的漏洞,如何结合自动化来做虚拟补丁,让漏洞收敛不再拖拖拉拉。……如此练下来,看来过段时间再见到程老师,又得刮目相看了……

关于作者:

Welder: 青藤平台产品事业部-自动化安全运营专家,主要负责自动化安全运营解决方案咨询与设计。

来源:互联网

最新文章

极客公园

用极客视角,追踪你不可错过的科技圈.

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

张鹏科技商业观察

聊科技,谈商业。