近段时间,欧洲疫情再度强烈反弹,新冠确诊病例突破了5000 万,法国甚至已经进入第四轮疫情,反观国内却是把疫情控制的死死的。两者最大的差别是,国内真正将新冠病毒的风险管控落到了实处,真正做到了事前隔绝,事中快速处置,事后复盘沉淀经验。

有意思的是,这波操作放在网络威胁的处置上也是极为合适,这是因为持续的风险管控也是网络安全建设者的根本目标。

当下,数字化转型使得组织暴露在网络世界中的风险进一步增加,全球网络安全整体形势进一步恶化,如何持续有效管控网络安全风险已成为各个组织亟待解决的问题。

对于这个问题,或许我们可以从新冠病毒风险管控中得到一些不一样的答案:即打疫苗(预防),人人戴口罩(防护),人人有健康码(实时监测),出现感染者立刻进行隔离,摸排可能接触到的人员,并进行彻底的消毒和监测(快速主动响应),避免病毒再次传播。

网络安全也是如此,面对快速升级的勒索病毒,近乎实战的攻防演练带来的各种风险,组织同样需要快速扩展自己的网络安全风险持续管控能力,需要提前做好预防和保护,需要24小时不间歇的监测机制,以及更专业的,对事件快速处置和善后的技术支撑。传统基于人力资源服务化的安全服务模式已经无法满足用户对持续发现问题、快速闭环问题的诉求,一种创新的安全服务模式由此而生。

近日,工业和信息化部起草、发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》(以下简称《意见稿》)也再次明确了一点。

《意见稿》提出“产业供给强化行动”,并指出要“创新安全服务模式”:加强安全组织技术产品的云化能力,推动云化安全产品应用;鼓励综合实力强的安全组织发展弹性、灵活的云模式网络安全服务;发展地区级、城市级、行业级安全运营服务,提高运营自动化、流程化、工具化水平;支持开展威胁管理、检测响应等安全托管和咨询服务等。

事实上,多年来深信服也一直是这样做的,此前推出的安全运营服务(MSS)完美契合了《意见稿》所提出的“创新安全服务模式”。作为组织网络安全建设的强力补充,深信服MSS将以人机共智的模式助力组织做好持续的网络安全风险管控工作,如同疫情防控一般,将风险降低到可以接受的最小化范围内。

MSS正在成为组织持续保障安全效果的必要措施

MSS是指安全厂商通过统一的云端安全运营平台为客户提供一系列安全服务,以满足组织对安全专家、技术和流程外包的需要。

当下,网络安全正面临前所未有的压力:勒索软件攻击水平全面升级,大规模针对性网络行动大幅增加,重大安全漏洞缺陷不断涌现,超大规模数据泄露甚至趋于常态化......

面对日益严峻的安全威胁,组织缺乏安全自查的能力,以致各类安全事件此起彼伏。IDC在《面向未来 有效保护,护航数字化转型》白皮书中直接指出,组织完全依赖自身的能力进行网络安全管理已经分乏术。

因此,请外援(MSS)就成为大多数组织的选择,让专业的人去做专业的事情。

近年来,安全形势日益严峻,随着安全技术的发展,MSS受到了越来越多组织的肯定,甚至已成为组织安全体系的一部分。据IDC调查数据显示,2018年,全球MSS的市场规模达到 211 亿美金,且近年来一直保持着10%以上的速度增长。

另一方面,安全产业成熟度的提升也是MSS保持高速增长的驱动力。

随着产业成熟度的持续提升,政企用户的安全重心,将逐渐从采购安全产品以满足合规要求,转移到采购安全服务以提升安全能力。

对于大多数头部组织来说,经过多年的安全建设后,安全设备所带来的提升有限,因此,专业安全服务厂商提供的安全运营服务就成了组织安全体系很好的补充。不论是SOC平台还是安全服务厂商高阶的安全技术专家,都是组织目前所缺乏的。

从长远来看,与其花费大量的人力、资源自己建设高端的安全运营能力,倒不如通过云化的形式,用安全厂商的高阶安全能力来应对复杂威胁和管控风险,这样反而可以实现网络安全工作的降本增效。

由此来看,组织对于专业的安全运营服务的采购需求将进一步增加。

正因为如此,2018年深信服重磅发布了“人机共智”安全运营服务(MSS),引起了业内人士的强烈反响。短短几年的时间,深信服MSS服务用户已经超过1000家,覆盖政府、央企、教育、医疗等多个行业。

所谓“人机共智”,“人”是指安全专家,为了有效应对威胁,深信服MSS设置了T1、T2、T3三级专家团队;“机”则是指深信服自研的AI安全运营平台、基于威胁情报打造的脆弱性管理平台、标准化服务监控平台。

一直以来,黑客的攻击往往不分时间,针对需要持续保障的业务服务场景,传统人工服务主要依赖于服务人员的能力和精力,往往难以7*24H不间断服务,导致无法实时应对随时发生的安全威胁,例如新漏洞不断曝光、黑客持续性攻击等。

而人机共智的创新模式,通过 “人”“机”两者相互配合,反而更能发挥出彼此的优势,为用户提供更能保障安全效果的持续性标准化安全服务,最终实现7*24H 可持续安全运营。

至于深信服MSS具体是怎么样的,咱们一起扒一扒。

深信服MSS之事前管理和监测

近年来,网络攻击趋于复杂化和多样化,给组织造成的威胁日益严重,甚至有可能是不可承受的,不可逆的后果。在这样的情况下,传统“头痛医头、脚痛医脚”的措施已经无法满足新型互联网的安全需求,成熟的网络安全防护体系必定更加重视“事前的梳理与监测”。

也正因为如此,深信服MSS在事前可谓做足了准备。

一是资产管理

当下组织资产数字化趋势明显,能否有效梳理清楚组织的资产是网络安全的前提。深信服MSS可部署相应组件,设置相关资产发现策略,可定期进行资产探测,主动发现组织资产,形成台账并录入组件,并且会持续进行探测,查看新增的资产,保障资产信息细化到设备指纹级别。一旦发现资产变更或可用性问题,云端安全专家会立刻通知用户确认并更新资产。

二是漏洞管理

漏洞管理的重要性不言而喻,能否做好漏洞管理是衡量组织安全的重要指标之一,同时也是组织必须要履行的义务。

2021年7月12日,工信部、网信办和公安部联合印发了《网络产品安全漏洞管理规定》,并将于2021年9月1日开始实施,并对组织漏洞管理提出了新的要求。

深信服MSS的做法是从漏洞管理的全生命周期入手,对列入安全漏洞评估及管理服务范围的 IT 资产进行漏洞识别,并综合威胁情报、资产等级、危害性等进行漏洞排序,然后提供可行的漏洞处置指导方案,并通过安全运营平台跟踪漏洞修复闭环,最后通过关键绩效和风险指标展示安全风险控制情况。如此环环相扣,不断修复组织资产中产生的漏洞。

此外,深信服MSS还会持续监测最新的漏洞,结合自研漏洞数据,以及CNVD、CNNVD等第三方漏洞情报,对这些漏洞与组织资产信息库进行关联验证,一旦发现最新漏洞即进行预警、排查和给出处置建议,并建立起最新漏洞状态追踪机制。

三是威胁管理

在威胁管理方面,深信服基于安全用例(Use case)和操作规范(Play book)为用户提供7*24H威胁监测及处置。不同安全应用场景(Use Case)和对应的检测模型可实时关联分析海量的安全日志,提炼其中重要的安全信息,高阶安全专家进行研判是否为真实的威胁,制定后续的处置计划,同时还将周期性分析威胁管理措施有效性,并提供未来安全建设的规划建议,逐步强化组织自身的安全能力。

四是做好事前应急预案 

好的组织安全体系必定会有相应的事前应急预案,深信服MSS将为组织针对性制定好事前应急预案,并定期组织演练,强化组织对于安全事件的应急响应。

深信服MSS之事中快速处置

所有的事前准备工作都是为了将网络威胁扼杀在摇篮之中,但网络攻击似乎总是无法避免。此时,对安全事件的应急响应就决定了组织损失的多少。遗憾的是,随着网络攻击趋于自动化、智能化,留给组织应急响应的黄金时间已经越来越短了。

因此,深信服MSS尤其注重快速应急响应,且已经取得了不错的成果。据目前用户的使用情况来看,绝大部分问题可在5分钟以内快速应答,对于高危可利用漏洞、高级威胁和安全事件,做到100%的闭环处置,且时间大多在1小时以内。

深信服MSS之所以能够做到如此快速响应,既和上文提到的事前监测、预警分不开(据说准确率高达99%),也和经过长期实践沉淀下来的处置流程有着莫大的关系。

假设某个组织出现了网络安全事件。

借助安全组件、云端安全运营中心7*24H的持续监测,深信服MSS能够可以第一时间发现威胁,不管是在白天还是在黑夜。

而当威胁发现后,云端安全运营平台将自动生成工单并实时通知到 T1 团队。T1 团队对事件进行确认,并按照标准化流程将工单给到 T2 团队。T2 团队开展安全事件的研判和响应工作,T3 团队作为 T2 团队的后端资源,为 T2 团队提供强大的技术支援,确保每种类型的安全事件都有专业知识的安全专家来解决。最后,T2 团队会生成事件的处置建议并同步给 T1 团队(线上和线下),由 T1 团队(线上和线下)协助用户进行下 一步处置工作。

在这个过程中,我们不难发现,组织最缺乏的高级安全专家资源被深信服MSS给解决了。在事件处置过程中,深信服各个层级的安全专家们将全方位和组织进行共享,以远程在线+线下的方式处置组织面临的安全威胁,从而实现《意见稿》中所倡导的,以云化的形式提升组织安全能力的目标。

深信服MSS之事后复盘和持续运营

完成事件闭环处置之后,整个过程就结束了吗?当然不是,事后的复盘同样重要。

针对已经处置的安全事件,T2安全专家团队会主动挖掘该事件,寻找事件发生的深层次原因,并向用户提交汇总、分析报告,再次明确事件发生的前因后果,以及事件处置的详细过程。

倘若组织遭遇的是重大事件,T3专家会对事件进行复盘,总结经验教训,更新应急预案,并检视平台检测能力,优化检测模型与规则(Use Case)。同时指导T2专家分析、总结出事件最佳的处置方案,更新组织安全知识库,制定出对应的加固整改计划。

直到这里,事件处置才告一段落,而事后复盘的目的,则是为了将深信服事件处置的经验固化下来,进一步提升组织的安全能力。

除此之外,深信服MSS还有安全运营可视化服务,定期向组织进行安全运营汇报,以及安全评估,渗透测试等多项服务,在常规的安全体系的基础上,建立了一个更高安全性的防控方案。

结语

目前,深信服安全运营服务MSS以帮助用户进行“持续的网络安全风险管控”为目标,围绕资产、脆弱性、威胁、事件四个要素,以“人机共智”模式为核心,全面整合技术、专家和流程,与用户一同构建7*24 小时、主动、闭环的安全运营体系。

而以“人机共智”模式为核心深信服MSS就像是当下的新冠病毒防控体系,上有健康码、行程轨迹(AI安全运营等平台)实时监测,下有时刻准备的专业医护人员(深信服三级专家团),再加上各类高级设备,必将最大化强化组织安全防护体系。

最关键的是,它不需要组织投入大量的人力、物力去真正建设,真正实现了按需使用,随时随用的目的,并且将组织宝贵的IT人员从繁琐的工作中解放出来,将更多的精力聚焦在更有价值的工作上。

而这些,不也正是《意见稿》所提出的安全能力云化和安全服务云模式的真实体现吗?