一個10年陳釀的安全管理員:終端安全運營的實踐和思考
前言
經過幾次北門例行碰(扯)頭(淡)會的頭腦風暴,我們決定做一些經驗交流的內容,主要梳理安全運營中的難點和痛點,爭取尋找幾個容易引起共鳴的子題目,用適合的案例介紹我方團隊如何摸索和實踐安全運營。
現在國內眾多安全會議,各種高大上的概念模型,日新月異的新鮮詞彙,真正落地時,就連最基本的終端防護是否能做好都要打上問號。近期臺積電病毒事件爆發,直接造成78億新臺幣損失,究其原因竟然是一個一年前已經發布的補丁。看似基礎運營層面的紕漏恰恰反應出安全團隊本身在風險評估和體系落地上的缺位。九層之臺,起於壘土,地基打好了,樓才能蓋高,否則工具再多也是浪費。
我叫歐陽昕,是一個10年陳釀的安全管理員,趟過坑,扛過雷。從去年開始,團隊對單位10多萬終端安全防護進行了功能梳理、整合和優化。專案建設和後期的運營工作比例約為3:7。以下將結合專案經驗,採用問題場景覆盤的模式,探討政府單位或大型企業內部終端的安全運營實踐。
正文
開篇先簡單介紹一下終端安全的發展歷程。終端安全是資訊保安的一個細分領域,出現時間較早,基本上伴隨著資訊保安概念的出現便隨之應運而生。在過去一段很長的時間裡,國內的防病毒就等於終端安全,終端安全就等於資訊保安。畢竟在資訊科技發展的早期,網路攻擊和黑客技術還沒有像現在一樣日新月異,大型分散式應用系統還沒有廣泛使用並提供社會服務,各類威脅、漏洞還沒有引起從業者的廣泛重視……以現在的標準衡量,那時候僅僅是剛解決了互聯互通的“溫飽問題”,基於這種“自然條件”的約束,黑客們的工具和手段比較原始,能做的壞事比較有限,病毒成為最直接有效的“凶器”。後來,隨著技術的不斷進步,終端安全威脅的邊界逐步擴充套件,終端安全管理的方法論也逐漸成熟,在一個由海量終端組成的大型內部網路中,終端安全一般被定義成以下幾個方面的工作:防病毒、補丁分發、桌面管控、網路准入以及行為監測和取證。最後,隨著近幾年ABC(AI,Big Data,Cloud)技術的迅猛發展,終端安全的受眾範圍又發生了一定的變化,從單一的計算機終端分化成辦公環境的終端領域,伺服器終端以及新一代的移動終端等三小類。本文將重點結合實踐經驗,介紹企業內網中計算機終端的安全運營實踐。
探討分三部分,包括準備篇、實踐篇和展望篇。
第一部分準備篇:從運維到運營的角色轉變是提升終端安全防護能力的先決條件
各位讀者,如果身處這個行業,又從事甲方工作,可以先在腦海中思考幾個問題:自己每天的工作內容是什麼?是否親歷過影響範圍波及網內80%以上終端的安全事件?有沒有因為產品功能的問題懟過乙方?會不會覺得手上一直沒有合適的工具或工具集去解決複雜的終端安全問題?有沒有感覺到工作內容和工作職責的不匹配?
以上問題,折射出一個安全團隊從運維到運營職責的轉變軌跡。隨著問題的陸續爆發,運維的同學會逐漸感覺到挫敗和沮喪,因為似乎自己沒日沒夜的加班也不能消除問題的發生,反而逐漸在不斷“跳坑–爬坑”的迴圈中迷失。我嘗試解答這個問題:甲方安全團隊,其本質上與一般的IT運維團隊是不同的。
首先看看運維工作的定義:一般指對所負責系統的軟、硬體資源優化、維護和告警處置,以確保系統提供服務過程中更好的發揮價值。對比一下安全團隊的職責,他們的定位首先是系統的使用者,依據企業戰略、總體規劃、業務需要以及各類合規性檔案,制定安全管理目標、釋出安全管理要求、規劃安全基礎設施建設的技術路線,並以管理者和業主的身份,參與系統的建設,接管系統的使用,最終期望藉此推動管理要求的落地,促進安全防護水平的提升。
顯而易見,安全運營團隊與傳統IT運維團隊的最大區別,是工作角色的差異,團隊成員不但要承擔系統日常巡檢、策略配置和告警處置等運維層面的工作;還要作為業主方,依靠安全系統和技術手段,通盤考慮整體執行態勢並作出決策性調整,以實現業務增值和管理效能的提升。概括起來就是從“我要怎麼做”進化到“為了做什麼我要怎麼做”。因此,還在坑裡的同學們應該意識到,您的工作職責顯然不能僅侷限於系統運維了,而是要更加關注所運維繫統自身的價值和服務能力。可以說,甲方安全團隊在成立之初就已經生成了運營的基因,無從選擇,儘早完成思維模式的轉變是做好終端安全管理的先決條件。
第二部分實踐篇
如果您看到這裡,說明至少對運營的概念有一定程度的接受。接下來,可以聊一些具體的案例,看看運營工作的痛點。
老生常談的全生命週期終端資產管理是重中之重
資產管理是終端安全運營中最重要的基礎問題,重要到沒有資產管理就談不上終端安全。試想當一個安全團隊被有關方面通報了一臺終端出現安全問題並要求快速處置時,一不清楚被通報的終端在哪,二不清楚具體的使用人,三不清楚這臺終端的安全防護系統是否健全,四不清楚怎麼快速完成修補……此時此刻,會議室裡寂靜無聲,通報方、管理者和安全團隊心裡不斷湧現大寫的黑人問號臉……最後議定由安全團隊進行掃樓式的搜查,直到找到這臺終端為止。
這是一個很有代表性的場景,我們常說安全問題最終可歸結為一個風險管理問題,而風險又可以量化成發生的概率乘以影響的後果。在這個場景中,最可怕的不是計算出來風險值有多大,因為多大都可以想辦法去修補,真正可怕的是因為資產管理的問題導致風險未識別,最終標記為0。要知道,對大多數甲方終端安全運營團隊而言,管不好和不管可是兩種性質的問題了,臺積電病毒事件就是最好的證明。
全生命週期的資產管理並不是一個新鮮的名詞,對一個稍具規模的企業而言是體系建設的必須選項,ISO55000族標準中有相關要求和介紹,在此不做贅述。可以想象,一個具有海量終端資產的內部網路,往往預示著企業由橫跨了多個業務、管理、行政條線的部門組成,因此除了制定標準規範外,如何有效打通資產生命週期內上下游的壁壘,形成動態的資產資訊釋出和收集,是每一個類似企業的安全運營團隊所共同面臨的挑戰。比較常見的案例是“中間不要兩頭嚴”,例如通過強制行政效力完成了資產發放和回收過程的記錄和資訊共享,確保硬體資產價值本身可以被追蹤回溯,但是忽略了在使用過程中對該裝置使用人、物理位置以及相關軟體資產的變更和記錄,導致出現問題沒有告警、不好定位,影響快速處置的效率。那麼,回到最初的問題,怎麼做好全生命週期的終端資產管理呢?我認為這是一個太大的問題,無論是理論體系還是技術實踐,都不是一本書能夠說清楚的,姑且用我方團隊的實踐經驗拋磚引玉:
首先,明確需求再做規劃,我方團隊經過多輪次的調研和論證,提出三大類需求:一是要管理的資產要素,包括使用人、IP、MAC、位置、軟體資訊等;二是使用什麼手段進行監測,擬採用的手段包括主機審計、網路准入控制和心跳包監測等,這樣可以確保對資產的實時收集和監測,保證全生命週期資產管理的有效性;三是需要什麼樣的日誌反饋作為管理依據,一般而言就是終端安全運營的日常指標,包含補丁下發情況、防病毒查收情況、桌面策略接受情況等。經過這幾個需求的梳理,我方團隊發現雖然終端資產管理涉及面非常龐雜,但是仍然有一條主線可以遵循,即: 牢牢抓住全生命週期的動態安全資訊資產 。
其次,儘量設計出減少不同職能型別的人員交叉參與的管理流程,廣泛依賴資訊化、自動化工具完成資訊獲取。在我方運營團隊前期調研過程中,發現各分支機構內部的資產驗收、發放、回收、處置等流程差異較大,很難設計出一套完美相容的流程化管理規範。此外,考慮到人員本身的能力偏差因素,即便開放一套可以共同維護的資產管理平臺,也面臨著一定程度的隱性錯誤成本。因此,我方團隊最終決定通過加大技術手段的投入,減少人為參與,提升資產管理的有效性和準確性,具體措施是在網路准入層面首先針對機器的基礎安全防護能力進行評估,未安裝基礎安全防護系統的計算機被自動斷網;其次通過主機審計實現對主機名和計算機描述的自動採集和字串校驗,確保計算機規範命名且真實有效,不符合規範的被自動斷網;最後是精細化運營管理要求,針對計算機的防護軟體版本、補丁分發情況、病毒庫升級情況進行校驗,不合規的計算機均被自動隔離,在完成相關修補後再自動准入。經過以上三步遞進式的運營管理,最終形成在網的全量終端資產管理庫,且大幅降低了人力投入,顯著提升了資產收集和管理效率,有效拓展了針對資產在使用過程中的實時監測能力,自動化的拉齊了終端的基礎防禦水平。
以上工作,涉及網內12萬計算機終端,耗時2個月完成。
為我所用的展示和響應平臺是安全運營水平的價值體現
在這個標題中,特意迴避了時下比較流行的一個概念:態勢感知。引用趙彥老師在《網際網路企業安全高階指南》中的原話,“現在的安全行業裡除了顯得有些務虛的安全理論之外,要麼就是一邊倒的攻防,要麼就是過於超前、浮在表面沒有落地方案的新概念,這些聲音對企業安全實操都缺乏積極的意義。”作為大神的仰慕者,簡直不能同意更多……在這個會做ppt就能造車的年代,思考如何快速發聲、抓住眼球、吸引資本,遠比漫長的數輪次產品實踐打磨,逐步完善進而形成口碑有吸引力。但是,既然身處這個行業,就免不了被各種資訊碎片轟炸、洗腦,自然而然的形成了沒有態勢感知就不能安全運營的理念。
接下來,請您思考一下,在處理終端安全事件時,基本步驟是什麼?套用攻擊殺傷鏈和反殺傷鏈模型,簡單闡述如下:
基於情報和規則的發現->對攻擊的時間和空間定位->持續的追蹤->尋找有效的防禦武器->定點清除威脅->評估結果。
事實上,絕大多數安全運營團隊在安全基礎設施相對完備的基礎上,在乙方技術支援和第三方安全服務團隊的幫助下,已經將這條路徑趟過不止一次了,典型案例就是“WannaCry”病毒爆發過程中,一般甲方運營團隊的工作流程都是:收到國家有關部門的通知後拉響內部警報,結合自身安全防護系統的日誌情況摸排戰損,廣泛投遞網路隔離、埠禁封、專殺工具、官方補丁等不同維度的防禦工具,按照2小時/次(甚至更短)的要求完成第一天工作日的戰果彙總,最後領導宣佈事態可控,匆匆結束近60個小時的加班後回家睡覺。在整個事件處置過程中,威脅情報獲取,內部威脅摸排,應急手段的推廣,事件資訊的彙總,這就是態勢感知這種思維和處置方式在應急事件中發揮作用的體現。本文並不強調平臺或產品的名稱,態勢感知也好,SOC也罷,SRC也可以,只要是能夠有效服務於甲方的安全運營工作,並且在應急事件處置中發揮積極作用,那便是有效的。
作為甲方終端安全運營團隊,應對紛繁複雜的終端安全運營工作,需要這樣一個平臺,用來收集內部和外部的情報資訊,分析網內的威脅情況,打通各安全系統之間的豎井,自動化的精準下發各類安全防禦指令或工具。這個平臺,是整個團隊的價值體現:首先通過平臺建設能夠標準化的輸出團隊寶貴的應急處置經驗,固化內部的應急處置流程,形成知識傳遞;其次為了建設能用、好用的平臺,勢必要求甲方安全運營團隊整合現有安全基礎資源,制定標準化的開發介面規範,將已有的安全基礎資源封裝成一個統一的武器庫,試想對海量終端的威脅發現、一鍵修補和戰果評估能夠在一個平臺上自動化實現,能夠減少咱們多少個小時的加班^_^;最後,定製化開發平臺的展示、預警功能,可以幫助運營團隊細緻梳理安全管理的目標和現狀,找短板、補差距,真正做到運營夯實管理,管理促進運營。
還有一點建議,不管平臺是否建成,首先要仔細梳理過往的運營事件,找到一條適合自己、切實可行的應急處置路徑,再嘗試從SOC做起,逐步增加漏洞發現、威脅情報收集等功能,同步規劃現有安全產品的整合問題,最終的展示細節一定要充分吸取專案主要干係人的意見,因為這是專案成敗評價的關鍵。以上路徑,適合於初步具備安全運營能力,但是受限於人員和資源壓力,難以同時併發開展工作的小夥伴們。
第三部分展望篇:辯證看待終端安全運營人力資源瓶頸的問題
由於這部分內容和每一個安全運營團隊所處的業務環境、企業戰略規劃甚至是企業規模都息息相關,因此放在展望篇進行探討,不求大而全,儘量把幾個關鍵因素闡述清楚。
先丟擲問題,有沒有安全運營團隊是不缺人的?可以隨機採訪任何一個安全團隊負責人,相信答案一定是統一且堅定的——缺!同樣的問題換一個方式問,團隊還需要多少人?估計這個答案就五花八門了,但是基本上比照現有規模翻倍的需求佔比應該不低於80%。我和大多數同學一樣,常常被這個問題所困擾,總感覺有幹不完的事,加不完的班,可是工作量並不會因為前一個任務的完成而降低,就像堆疊一樣,沒進來僅僅是因為進不來……另一方面,我方團隊負責人常常在北門例行碰頭會中突發奇想的找到各種新鮮、有趣的運營理念,並要求在工作實踐中檢驗,此舉顯著增加了團隊成員的工作量……經過幾次思維碰(互)撞(噴),大家基本上達成一致,安全運營的人力資源投放理論上不可能匹配安全管理的要求。舉例來說,一個10人團隊管理100臺終端,一個10人團隊管理10萬臺終端,工作量是否相差很大?答案是顯而易見的。但是,有沒有辦法在客觀、有效、確有必要的前提下,讓前者的工作量努力追趕後者?答案也是確定的。因為,安全只是一個相對的概念,沒有絕對的安全才是客觀事實。安全運營的目標,取決於管理層給團隊負責人下達的安全任務書中對安全工作的考核標準。
回到前面的問題,為什麼每個團隊感覺都缺人,但是很難評估需要多少人?因為到目前為止,國內大部分企業還沒有形成一套有效的安全績效考核模型,可以精準的計算出對應什麼樣的人力資源應該達到什麼程度的安全,以及應該給安全運營團隊負責人下達什麼樣的指標。同樣的,安全運營團隊負責人,給成員開會的時候往往強調的是這個不能出問題、那個不能出問題,也是被絕對安全的標準裹挾了,因為受迫於沒有真正有意義的考核指標,導致即使他們清楚的知道僅憑現有資源是無法做到大而全的安全,仍然要努力的往這個方向去做。目前一般有兩種方法應對這種資源瓶頸:
一種是鴕鳥法。
鴕鳥法也叫試錯法,安全運營團隊負責人知道現有資源遲早會兜不住,還是按照現有資源去做,等著出一兩次大的安全運營事件,讓領導明白就是缺人導致的後果,然後想辦法一點一點的增加資源。當然,這種做法一般要求非常熟悉領導的思維方式,能判斷出爆發安全事件的嚴重程度,否則一不小心容易把自己的前途也搭進去。
一種是孔雀法。
孔雀法正好相反,也叫試對法,就是在現有資源的基礎上努力做出一些運營方式的轉變,將工作中的額外成果努力展示給領導,以正向結果輸出為導向,提升管理層的信心,繼而想辦法獲取更多的資源。這也要求團隊負責人清楚的知道領導的工作思路和關注點,同時具備一定的資源統籌能力,保證該出彩的要出彩,不出彩的也不能出錯。
相對來說,前者的風險更大,但是效果更直接;後者的付出更多,但是對團隊自身發展更有好處。
總之,對終端安全運營而言,理念轉變是前提,資產收集是基礎,平臺(體系)是核心,團隊成員是根本。由於篇幅限制,本文僅粗略闡述了對運營關鍵要素的理解,沒有展開到具體的系統優化、策略配置和功能關聯等實操層面,後續會逐步拓展到更加細節的領域,重點聊一聊人員能力培養和專案建設,分享工作案例。
*本文作者:歐陽昕,轉載請註明來自FreeBuf.COM