訪談 | 整網安全 銳捷的核心安全觀
安全產業近些年的火熱,離不開政策、資本,離不開合規的剛需,但更深層次的驅動,在於甲方自身安全意識和需求的提升。傳統大型網路廠商,已經無法再忽視市場對安全的渴求;走在前面的,甚至已經開始將安全作為重要能力向客戶提供服務。
相較於專業安全廠商而言,這些網路廠商普遍被認為缺少對安全需求的理解和成熟的安全產品化能力。所以,網路廠商若想要真正參與其中,而不僅是在自己的某款網路產品中加入些安全能力,需要做的就不能只是OEM;更重要的,是完善對安全的理解,並思考如何將自身在網路的積累和優勢延展,與安全進行融合。
成立近18年的銳捷網路,在網路裝置有多年的深耕。特別是無線方面,為多所高校以及雲棲等萬人級會場提供重要支援。今年8月,銳捷同時中標“中國尊”網路專案的主網和安全部分。這在一定程度上表明,銳捷的“整網安全”理念和以其在2016年釋出的大資料安全平臺(BDS)為核心的安全能力,受到了認可。
安全已經成為銳捷網路的一個重要標籤。作為“網路+安全”的代表廠商,銳捷如何認識自身的優勢?對安全的方方面面,又有著怎樣不同的理解?安全牛近期採訪了銳捷網路安全產品線總經理項小升,並將訪談內容整理如下。
個人簡介
項小升,銳捷網路安全產品事業部總經理,負責銳捷網路安全產品相關的產品規劃、研發管理、與產品市場工作。2001年加入銳捷網路,曾任銳捷網路交換機與資料中心產品總監,多年密切關注和研究中國各行業的資訊化建設與發展趨勢,推動網路安全產品、技術與應用的融合。
一、網路與安全應該是1加1大於2的效果
安全牛:2016年,銳捷釋出了大資料安全平臺,這可以看做銳捷網路在安全領域的一個起點。兩年的實踐,我們如何理解與純粹安全廠商的不同?
項小升:同時做網路和安全的公司,會更重視網路和安全這兩方面在產品能力上的協同。這兩方面不應是剝離開的,這份協同會產生1加1大於2的效果。
舉個例子,無線網路的准入,是銳捷的強項,例如在高教行業,全校區覆蓋的wifi接入,因其使用者群龐大,所以高校的網路地址轉換(NAT)一般都會比較複雜。如果無法高效地利用NAT和使用者准入日誌,而僅憑入侵檢測系統、防火牆等安全裝置,一旦出現異常,雖然也可以快速做出阻斷,但卻無法快速定位具體的問題主機,給整體把握攻擊鏈條和態勢帶來不便。
安全裝置首先要能快速發現問題,發現後要能定位問題,還要將問題資產直接反映到具體的網路拓撲中,包括具體涉及的業務系統,而且處置工單還要能夠在網路與安全統一的管理平臺上跑。這些都是網路和安全一個很好的結合點,純粹的安全廠商,是很難做到這一點的。
安全牛:難點是要和很多網路廠商的裝置做定製化的對接?
項小升:門檻在於,純粹的安全廠商,無法提供包括網路裝置在內的整網安全能力,無法提供網路和安全之間跨平臺的融合能力,也缺乏網路層面的安全運維管理經驗。
安全裝置的控制力不僅體現在安全裝置上,還可以體現在網路層面;甚至在網路層面,我們認為可以有更多的控制力,例如之前提到的網路准入、安全域控制、安全服務鏈等。
銳捷一直在提“整網安全”的理念,包括我們這次網路和安全同時中標“中國尊”專案,安全從來就不應只是安全裝置的事情,而是使用者網路這個整體的事情。問題的發現和響應,都應該包括進去。而且是在網路規劃、設計之初,就要考慮更多的安全要素,就讓網路和安全有更多的結合。
安全牛:不是保護整網的安全,而是從整網的角度來做安全?
項小升:網路裝置對於網路安全的價值,不僅在於和安全裝置的協同聯動,還要發揮網路裝置自身的安全能力。“整網安全”最直接的特點,就是網路裝置如何在安全解決方案中最大程度地發揮的價值。
我們認為,首先就是要更重視在網路層面做一些安全控制,比如准入和控制等,這也是最容易的;其次就是能夠在統一的平臺,對網路和安全裝置進行管理和響應,能夠半自動化的在一個平臺實現;最後,也是最重要的,就是網路架構和安全架構要儘可能的協調、統一,整體的去考慮安全,這點也是目前我們看到最缺乏的。
網路和安全,是一個更大的整體。安全不應獨立來考慮。在網路和安全能力建設方面,我們應該要具備更巨集觀、更上層的視野。
二、“整網安全”的關鍵抓手:日誌分析和流量分析
安全牛:“整網安全”具體需要哪些能力?
項小升:“態勢感知”這個詞是一個安全行業借用的概念。這兩年,國家在提,行業在提,銳捷也不例外。整網安全,網路和安全的融合,無論是對網路裝置、使用者行為、還是不斷變化的防護和威脅的態勢,無疑都會有更廣泛和深度的感知。要想做到這些,我認為,合理的出發點,是將基於日誌的分析能力和基於網路流量的分析做整合。一個成熟的態勢感知平臺,這兩點能力缺一不可,且都是非常重要的方向。
安全牛:確實,這兩點各家都有在做,但我感覺業界目前更側重流量分析和威脅情報的結合。
項小升:對,流量分析最突出的特點是與裝置無關。也就是說,先不論分析結果的精準性如何,只要有流量,比如把出口流量和資料中心流量映象,再由廠商提供模型,流量分析的平臺就能跑起來,客戶就能直觀的看到結果。這也是很多廠商大力推廣這種能力模式的主要原因。
安全牛:易用性強,先用起來,分析模型再慢慢優化。
項小升:是,雖然易用性強,但我們認為視野寬度是不夠的。有一個典型的問題,就是某些場景下無法定位現實中的對應資產。之前國家某部委,NAT後通過探針將流量映象後進行分析,雖然明確了有主機已經被惡意控制,但是找不到真實IP,IT運維的人員也就無從下手。如果這個時候有日誌分析的能力,結合IP地址轉換前後的對映關係,就可以直接給到IT團隊到底是哪臺出了問題,進而快速響應。
當然,這只是一個方面。更重要的問題,在於對分析準確性的影響,和對單個廠商的過度依賴。
對原始網路流量一層一層的分析判斷,首先需要強大的硬體效能支援。這種分析模式的準確性,是由分析模型決定的。也就是說,這種模式會非常依賴某個安全供應商同時在網路流量、安全威脅、客戶業務這三方面的理解和積累。這對一個廠商而言,要求無疑十分嚴格。同時,這也忽視了使用者網路中既有產品,這些在某一安全子領域具備專業分析和判斷能力所給出的結果。
安全牛:SIEM廠商是專注日誌分析的,側重流量分析的態勢感知和SIEM平臺對接後應該就比較完整了。
項小升:SIEM這種專業的安全日誌分析類工具,最大的好處就是能夠充分利用某些安全產品已有的專業性,並在這基礎上進行更深入的分析,最大程度排除單一裝置的誤報,得到精準度更高的結果。同時,分析的效率也會比流量分析要高一些。
但實際情況也會有不少麻煩,目前國內客戶的在網裝置,除了日誌的私有定製化開發外,還有不少客戶裝置比較老舊,日誌功能要弱很多。同時,不像流量分析,日誌分析模型的複用性一般較差,需要根據使用者裝置及部署情況對模型做出不小的調整,對廠商後續模型優化能力也有很大挑戰。
當然,如果是重流量分析的平臺和SIEM平臺對接的話,還要考慮安全成本和查詢效率的問題。這些都是決定響應團隊能否低成本、快速、高效解決問題的關鍵。
安全牛:兩者如何結合?
項小升:我認為,在平臺定位上,就要將日誌和流量分析作為同等重要的兩個能力抓手。建模階段,研發人員就要考慮兩種方式的優劣,有針對性的結合,而不是內部先獨立分析後再做交叉驗證,這是不一樣的。這樣對提高告警的準確性,對企業響應團隊的處置工作,也會更具實際意義。
安全牛:事件響應最怕的就是告警湮沒,這會讓運維團隊無從下手。所以快速給出真正需要優先處理的事件資訊,以及處置建議,是最關鍵的。
項小升:是的,這就要求我們通過結合整網日誌和流量的分析模型,以及伺服器、業務系統狀態等多維度的資料,確定真正需要運維團隊去緊急處理的危險事件,並確認不同響應工作的優先順序。這需要的不僅是對安全威脅的分析能力和認識,還需要廠商有深厚IT運維經驗積累。
比如,我們在內網發現有針對1080埠的攻擊嘗試,同時,我們還發現有數臺伺服器對這個埠的防護有明顯漏洞,這個攻擊成本就會很低而且成功概率極高,這時我們就會給出優先處置的建議,問題資產在網路中的真實位置,以及建議的詳細處置方式。
很多國內客戶安全意識是有的,但是受限於成本,IT團隊的能力比較有限。對於這些基礎能力不強的使用者,安全廠商如何幫助他們在雙方成本都可接受的前提下,及時、妥善的處理這些安全告警,我們認為這是一個負責任廠商要考慮的非常重要的一個點。
三、更為合理的雲端安全服務
安全牛: 很多全球安全企業,非常強調遠端的雲端安全運維能力,以及發現威脅後全球裝置的策略快速下發。這兩個重要的服務,可以讓他們的產品在客戶本地更充分的發揮價值。
項小升:是的,這在國內尤其明顯。安全人才的巨大缺口,直接導致了國內許多中小企業無法負擔過高的人才成本,安全運維能力非常弱。很多企業雖然從需求或合規的角度出發,購買了些安全裝置,但這些產品是否得到了正確的部署和配置,策略是否定期進行優化更新,在後續的安全工作中能發揮多大的價值,往往取決於廠商後續的服務是否到位。
但矛盾的是,中國企業對這類服務的付費意識又普遍比較弱,甚至在一些中小客戶的認知裡,安服就應該是免費配套的,再付費沒有理由。但現實廠商和客戶也都明白,一些全球性企業的服務費用可能比產品本身還要昂貴。如果本土廠商的服務免費的話,要不就是把相關的費用的一部分揉到產品的費用裡,要不就是派一些新人去客戶現場。人才成本對於廠商和客戶都是一樣的,免費的服務,效果一定會打折扣。
安全牛: 國內對服務付費的態度也在慢慢轉變。遠端的安全託管或者7乘24小時的SOC,是否可以看做一種更為合理的方式?
項小升:有一些服務比較特殊,比如說授權的內網滲透測試,還是建議派專人到客戶的現場。但更多的,安全分析、研判以及一些響應處置的工作,我們確實也是鼓勵使用者選擇通過雲端的方式,進行遠端技術支援。
銳捷有這樣一個雲端安全中心,客戶可以有選擇地上傳一些日誌、告警和資產資訊到雲端;在雲端,會有更豐富的分析模型,以及更有經驗的網路和安全專家,幫助使用者對威脅進行分析研判,並結合他們的經驗給出更為詳盡的處置建議。之後,根據響應效果,也會有選擇的把處置經驗策略化,下發到使用者本地,甚至共享給其它適合的使用者。
當然,除了雲端的服務外,態勢感知平臺本地也會有內嵌的知識庫支援,基於銳捷在網路和安全運維方面的積累,針對某些場景,給出具體的操作說明和建議。
這兩種方式,都會比只依賴傳統的駐場方式更節省成本,響應工作也會更加高效。
事件響應這部分,特別是經歷過一些重保的響應工作支援後,我們認為,使用者更多需要做的工作,是在事前。諸如建設初期的諮詢、常規的漏洞管理和風險評估、安全管理和規範的落地、資料的備份和恢復準備、響應流程的演練等等。當然,還有從網路和安全兩個角度,更早的發現和判斷異常的能力,這也是整網安全這個理念的核心。事件發生後,比如勒索病毒,大部分安全廠商能做的就比較有限了。
安全牛: 現在有一種觀點,安全諮詢服務應該是從網路和安全建設的設計規劃之初就開始介入的,這樣就可以從根本上規避一些問題。
項小升:是的,我們也是建議使用者在初始的規劃階段,就採購安全諮詢服務。每個點都進行縱深防禦對於大多數使用者來講是不現實的。前期的諮詢服務,特別是對網路和安全建設都有經驗的廠商,可以有針對性的對包括無線、交換等的網路環境和業務系統進行安全評估,與客戶就哪些業務系統和資產需要優先保護達成一致,並結合本地網路拓撲的特點,權衡成本後給出整體的安全解決方案。這些都應該是在規劃之初就明確。相較於“補窟窿”這種單點思路,這種整合整網資源去規劃的方式,更容易控制安全建設的成本,也對可能的攻擊方向和造成的損失更加心裡有數。
當然,任何階段安全諮詢服務的基礎,都要求廠商要足夠了解使用者。這不僅是對個性需求和痛點的挖掘,同時還要求廠商對行業共性需求有足夠的積累。政府、教育、醫療、企業等一直是銳捷扎得比較深的行業,無論是有線和無線的網路建設,實名的准入和行為審計,還是整網的態勢感知以及快速處置響應,銳捷都有豐富的經驗。
安全牛評
毋庸置疑,安全已經成為全球企業在數字化轉型中的重要和必要因素,其商業價值和市場潛力被不斷挖掘,越來越多的新玩家強勢介入。安全的專業性,已經不再是能保護安全廠商可以獨佔該市場的高牆。這其中,以華為、思科、銳捷等為代表的通訊和網路裝置廠商,以其對網路知識和客戶資源的多年積累,以及龐大的安全研發和研究投入為優勢,已經成為安全市場一隻不可小覷的新生力量。安全之前一直被相對獨立的考慮,但他們的加入,勢必加快了網路和安全更深層次的融合這一必然趨勢的程序。銳捷提出的“整網安全”理念,便是最直接的體現。