企业安全架构体系的现状和解决方案

一、企业安全现状

从2016年底开始随着网络安全事件的爆发和国家层面对网络安全的重视程度,让网络安全已经上升到国家战略层面,同时网络空间已经成为领土、领海、领空和太空之外的第五空间, 是国家主权建设的新疆域。

随着中国对外开放的进一步扩大和深化,随着中国企业走出去和跨国企业的投资,从安全层 面的意义上来说企业的网络安全也已经成为第五空间的重要组成部分,但是在我多年的安全 工作中发现,很多企业尤其是国内的企业在对第五空间的意识,防护都远远落后于发达国家。这其中受到内在和外在的各方面原因都有。

本文就是在梳理企业在第五空间建设和防范中遇到的各类问题进行的汇总,同时也通过经验 给中国企业和政府在第五空间建设上发展提供方向和思路。

同时从斯诺登的棱镜门事件后也意识到网络信息安全对国家安全的重要性和价值。

二、企业现阶段面临的问题

从2017年的WannaCry病毒大面积爆发后,企业才意识到网络信息安全的重要性和价值。但在建设自身企业的网络及信息安全体系时遇到的各类问题。

2.1 安全人员的缺乏

相对于系统工程师、网络工程师、程序员、运维人员、品质保证(QA)人员等,网络安全人员的要求相对较高,需要跨多专业有比较大的知识广度。比如美国安全领域中比较知名的CISSP认证人员就需要了解法律法规、信息资产生命周期、密码学、物理安全、通讯安全、 身份安全、安全评估与测试、安全运营、软件开发安全等近十个领域的知识。

了解并能把这些知识和经验应用到实际的工作当中需要多年的安全领域工作经验才能达到。这偏偏与国内很多互联网公司的超过35岁从业人员不招收的规则相驳。

另外一点就是有经验的安全从业人员的薪资普遍较低,因为在我接触到的大多数企业中安全人员的职位往往是挂在IT部门下面,甚至是放在运维管理人员中,岗位的设定导致收入、责任不对等的情况出现。

建议:参考欧洲去年实行的GDPR里面对于数据量达到一定规模的企业需要设立DPO(Data Protect Officer),并且赋予这些DPO专员在发生重大安全事件或数据泄露的时候,可以直接向专属的政府数据安全部门进行报告。且这些DPO的工作职责是受法律保护,企业不能因对DPO的工作不满而进行解雇。

目前中国的《中华人民共和国网络安全法》已经明确企业的安全落实到人,从法律层面上已经对安全人员的责任和处罚进行了明确,但还需要对承担责任的安全人员进行一定范围的赋权,才能破除责任和权利不对等的情况。

2.2 安全资金多无实际效益产出

在接触到的很多企业中,有部分的企业一把手都表示安全产品的投入实在巨大,安全是一种奢侈品,投入和不投入对企业的经营并没有实际帮助。

从防火墙、入侵检测、杀毒软件种类繁多,更有很多商家的商业行为出了防水墙,无敌墙等夸大宣传的产品,让企业的安全投资打了水漂。

也有上市公司遇到勒索软件直接找供应商付钱解决,然后再通过合同方式将赎金支付给供应 商,并算了一笔账,假设勒索软件一年来一次,每次支付30-50万,如果在安全上面投入,每年至少不低于50万的投入,而且是长期投入,中国企业这么多不会每年都遇上。

建议:安全产品的功效检测是本文需要解决的问题,可以参考《应用型企业信息安全架构体 系》对于企业的安全意识还需要政策法规和财务监管等多种手段来进行规范。企业信息安全 专员的设立和汇报,信息披露等机制也能帮助企业建立长效的安全机制。

2.2 转嫁安全成本

很多企业会把安全上的投资转嫁给第三方公司或者个人。比如2018年HZ集团个人信息泄露最终让5亿多中国的个人数据流向海外,企业造成的问题最终承担的是由个人来承担。

2.3 安全产品的选型盲目

由于国内行业采购的特殊性以及国内企业的价值观体系,大多数安全硬件、软件厂商以和集成商通过自上而下的方式进行推广,由于决策层缺少实际的安全框架以及对产品实际了解相 对片面导致很多安全投资最后不了了之。比如很多企业领导盲目听信DLP的功能,花费了大量资金和人力去做DLP,然后在我了解的大多数DLP项目中,最后都已全体人员的反抗而最终花冤枉钱。

建议:跨国企业在建立安全线之前都会花大量的时间去调研,甚至聘请专业的安全咨询公司来进行设计。国内企业不如在建立安全基线之前,找安全咨询公司做一些了解,可以保证企业安全产品选型有明确的方向性。

2.4 安全基线建立缺乏系统性指导

这个问题同前一个问题相似,有些企业关注安全也在安全上重视,但缺乏良好的系统性的指导这个问题其实是由于前文中2.1和2.3二点延伸出来的问题。往往遇到很多公司非常重要的核心数据库没有做防护,去花了大量的资金做网络安全。

2.5 小结

对于大多数企业来说,选择有资质的安全咨询公司和资深的安全人员对企业的安全框架及安全规划做完全的梳理。

大多数情况下安全人员或安全咨询公司需要对企业的业务和数据进行梳理,然后针对企业的各自情况设计出自有的安全框架体系。同时安全人员还要紧跟法律和法规,目前很多跨国企业都在国内设立的安全部和合规部,这些职能部门都是直接向CEO、CSO、CIO进行汇报。

《信息安全等级保护管理办法》出台也是政府给企业做安全基线设立的一种意识,通过有资质的安全咨询公司对企业的安全进行梳理,从信息层面到人员意识层面都有一个良好的提升。 《应用型企业信息安全架构体系》也是帮助企业建立自己的信息安全基线。

三、如何在发展中化解矛盾

作为企业及企业家首要目标是经营企业,制造出产品或者服务,然后进行销售,赚取利润。其他的事情并不是企业所关心的,但随着企业信息化程度越高,安全的地位也越来越高,为了保证企业的安全投资得到最大的效果,信息安全建设应采用循序渐进、设立安全基线、责任落实到人这几个角度出发进行,相关的法律如互联网法和个人隐私法的出台和修改就是从法律的角度要求企业在承担自己所需要承担社会责任。

“应用型企业信息安全架构体系”适用于已经完成安全基线的建立和已经拥有实际安全负责和处理人员的情况下,针对企业安全建设的循序渐进框架。

这个框架已经被很多大型互联网公司和一些跨国企业所使用,希望这个安全框架对企业及安全从业人员在安全建设上起到帮助和借鉴。

四、应用型企业信息安全架构体系

应用型企业信息安全架构体系主要针对企业的网络、终端的信息和数据进行保护,不涉及这 些设备的物理安全。

架构体系在设计上采用所有数据可以物理连通,可疑数据深度分析,恶意行为阻断的框架体系,对企业的业务影响最小,但效果最精准的方式而进行。

4.1 总架构示意图

4.2 设计思想

在2016年RSA大会上,主席阿米特•约伦(Amit Yoran)就在其《沉睡者醒来》的主题演讲中指出:“安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资。”

本框架的设计思想以企业实际业务应用角度出发,突出企业检测能力的加强。

首先,不在第一时间对需要复杂解释数据进行处理,一般情况下对复杂数据处理和检测设备费用相对昂贵,大多数企业属于非金融和非交易类的企业,没有必要去投资那么昂贵的安全设备。

其次,在企业框架内建立一套完整数据安全处理区域(简称:Detection pool检测池),这样的架构可以随意进行伸缩而对业务不造成影响,并对后期的选型产品POC、POV都可以有很好的实际效果显现。

最后,这样的框架可以让企业分阶段的情况下实施,让公司分阶段,有序的完成企业的安全基线建立,不对公司的正常业务带来影响或最小的影响。

4.3 数据操作流程图概览

4.4 网络数据流程框架

对于服务器WAF、SQL的防护本文不做详细赘述,因为目前大多数企业都已经把对外应用窗口迁至云端。国内第一、二线的云供应商针对WAF、DOS,等有了统一的平台进行保护,性能及效果都不错。(用户关心的云端数据泄露或者防护失败的取证不在这里进行讨论)这里重点讨论的是企业内部信息安全的防护架构。

4.5 非加密数据流程

非加密类数据通过网络镜像、分流设备进行处理。将流量复制至分析区域后进行分析:

首先,经过身份验证模块,判定网络流量为授信流量还是非授信流量,这里大多能配合一些带有特征码、企业内部规范YARA规范等进行审核。

其次,经过了特征码环节的审核过以后,就需要对流量进行非特征码环节的审核。目前基本都是通过Sandbox(沙箱)或者UEBA等方式进行分析。

最后,通过了这些环节检测以后确定网络流未包含恶意软件及代码的情况下,再考虑企业敏感数据是否泄露的问题,通过DLP或者SIEM这些进行分析后进行上报或转至拦截设备。

4.6 加密数据流程

加密类数据的分析比较复杂,这也是为什么需要这个架构的原因。正常情况下加密的数据流分析需要经过以下步骤:

这个过程有很大的复杂性和性能要求,特别是在加密数据还原的情况下,会出现很多异常,这也正是提倡非金融、保险类结构或非交易类场景下不适合使用实时分析拦截的原因。在这个架构中,加密流量只需解密和分析,出现问题在数据出口或者终端上进行隔离拦截。

4.7 威胁拦截

威胁的拦截通过网络设备和终端隔离等多种方式进行阻断,保证企业内部南北向及东西向上都有相应的威胁阻断机制,加上自动化相应模块的机制,可以让很多安全事件的处理和响应过程拜托人的“慢”速度因素。

4.8 威胁情报

《Definitive Guide to Cyber Threat Intelligence》(作者 Jon Friedman & Mark Bouchard )白皮书中对威胁情报所下的定义:

“对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。”

威胁情报是一种积极主动,具有前瞻性的手段,可以根据攻击者的意图,工具和策略来进行提前防御。威胁情报的目的是要减少运营风险,维持或增加企业营收。将威胁情报融合到安全的整个部署中,也就能够增强安全等级,维持业务的连续性。

威胁情报在国外是非常重要的一环,大到CIA,MI6都有自己的网络情报部门。全球著名的安全厂商都有自己的情报部门,比如卡巴斯基的“啄木鸟房”,赛门铁克、火眼、谷歌都有自己的威胁情报中心,有些咨询公司甚至还有情报联盟用来共享威胁情报的信息。

在我工作的实际过程中也接触过一些外国的警察部门,他们就有专属的威胁情报的研究人员。 随着比特币的兴起,网络犯罪的最重要洗钱环节已经被打通,在黑客的眼里早已不分国界的进行合作,就连当年的911事件背后都有着萨达姆招募美国黑客的故事。

随着国内安全领域的发展和重视,威胁情报的作用也慢慢的显现出来。

五、自动化响应模块

这个概念相对来说是比较新的概念,在近几年安全领域中发展起来的产品也好、服务也好都是侧重在安全的防御和检测,而安全问题的处理往往都是处于大费周章的环节。

在之前的工作中,经常会遇到以下情况,出现一个安全告警,然后会机械化的去找一些相关的资料或者将获得的MD5或者SHA值去病毒库里面进行匹配,或者从各大厂家的病毒库中进行搜索。还会通过一些安全隔离环境进行病毒分析,这些工作相当耗费人工,且很多部分都有重复性的操作。通常一个安全威胁用各种信息、工具、途径分析下来需要数小时。

这个数小时的窗口就有可能造成很大的安全鸿沟,如果随意拦截也对正常的业务造成影响。自动化响应模块就是要缩短机械化的分析过程,目前市面上商业化并且比较成熟的产品相对来说非常少。

以下便是公司使用的一款自动化安全响应产品:

一旦一个安全事件触发,自动化模块可以对应进行预设的WarROOM和Playbook进行预演。

如某个网络安全设备发出了一条告警,并夹带了一个恶意软件的MD5值,自动化响应模块就会从预先设定好的流程去各大杀毒软件病毒库中进行搜寻,并把结果进行保存。同时并将 这个夹带恶意软件的URL、IP、域名去各个响应的安全网站和情报库中进行匹配和查找,并将结果反馈和保存。这些过程通常自动化在 10-20 分钟就可以完成,对于比较明显的恶意行 为或者已经有固定的恶意告警就直径通知阻拦模块和设备进行阻拦和隔离。如果自动化结果 匹配度不高的情况下,再转向人工或者进行放行的策略。

自动化响应的模块能大大提高企业的安全响应时间和响应能力,并且在目前资深安全人员缺乏的情况下,这个模块能够很好的为企业解决很多安全方面的问题。

六、总结

希望本文从网络安全政策层面以及企业在安全领域上的建设方向上提供谏言,同时也对企业在安全上的投资进行保护,也是为了更好的保障安全行业的健康发展进行经验和知识分享。欢迎企业的CEO,CIO,CSO及安全和法律合规从业人员交流cto@fireeyechina.com。

由于个人时间和篇幅的限制,很多模块没有详细展开详细阐述,希望有兴趣的业内人士指正毗漏。

7.附录

网络分流、镜像设备介绍:

代码语言:javascript
复制
https://baike.baidu.com/item/Gigamon/8168554?fr=aladdin

数据流程高清图链接:

代码语言:javascript
复制
https://pan.baidu.com/s/14hNKFe1aZ_WqosX37zuc2g 

提取码:sbd1

威胁情报:

代码语言:javascript
复制
https://baike.baidu.com/item/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/23311172?fr=aladdin

申明:本文章署名归作者所有,仅授权上海斗象信息科技有限公司进行发表,任何其他媒体或个人未经同意不得使用。

*本文作者:林林巽,转载请注明来自FreeBuf.COM