点击蓝字  关注云报
“网络安全需要新战法,网络安全需要新框架”,这是近日举行的2021年第九届互联网安全大会(ISC 2021)的主题。网络安全已经发展了这么多年,为什么今天我们似乎又回到了“原点”,重新谈论网络安全的架构、顶层设计,甚至是网络安全一些基础能力的提升?一句话,因为安全威胁无处不在,而且愈演愈烈。
走出舒适圈
企业应构建自己的安全体系
虽然中文翻译都是“网络安全”,但是从过去的Network Security到今天的Cyber Security,显然网络安全的内涵和外延早已不可同日而语。网络安全不仅关系到企业自身的生存和发展,更上升为国家战略,是社会和经济发展的重要保障。
据我们的观察,企业的管理层越来越清醒地意识到,网络安全需要顶层设计,而且顶层设计必须与每个企业或单位的实际业务需求和管理能力相匹配,并一步一步落在实处。虽然我们嘴上一直强调顶层设计和方法论的重要性,但实际上今天的安全防御还是不能尽如人意,这其中的根本问题在哪里?
问题的症结在于,企业的战略与实际行动通常是脱节的。比如,一方面经常有人高喊“提高危胁检测能力”,但实际上却不清楚如何实现。由此可见,实实在在地提升企业的网络安全能力是当务之急。
360政企安全集团高级副总裁高瀚昭进一步分析说:“以前,企业在进行网络安全建设时,基本上只须指定流程和负责的人,而所有技术层面的事全部依赖厂商。换句话说,企业基本依赖于各家安全厂商的设备去串接和支撑自己的安全业务流程。但事实证明,这样的做法在面对高级威胁时已经捉襟见肘。”
现在,一些在网络安全方面走在前沿的行业头部企业的做法是,逐步建立自己的安全体系,包括情报中心、漏洞运营中心、靶场等。今天,企业开始有意识地建设自己的安全基础设施,此举在高瀚昭看来,将对未来网络安全行业的发展产生非常深远的影响。
事实上,厂商现有的安全产品只能解决一小部分企业面临的安全问题,而更大和更高层面的安全问题,则要依靠企业建立的安全运营流程、人员等,以及真正为自己所用的安全基础设施。“360在安全领域深耕多年,对安全的攻防和技术十分了解。”高瀚昭表示,“我们可以帮助企业在提升自身安全技术能力的同时,逐步建立企业自己的安全体系。这是近两年国内网络安全行业最大的一个变化。”
安全能力评估
定性与定量相结合
“不以安全能力提升为目的的网络安全建设行为,都是耍流氓!”高瀚昭如是说。
安全的本质其实就是一种能力,而不是一个产品,也不是一个过程。要提升安全能力,企业就必须先评估自身的安全能力水平,知道自己现在所处的位置,未来将要走向何处,然后才能决定如何开展安全建设和运营工作。
360试图从自身广泛的安全攻防实践中提炼和积累相关的方法论——面向实战的、以安全能力提升为目标的方法论,切实帮助企业用户提升其安全能力,建设安全体系。
高瀚昭介绍说,评估企业的安全能力有两种办法:先是判断企业是否具备相应的安全能力,这个相对比较简单,通过对照合规性的要求或标准,就可以做出定性的判断;然后是衡量企业的网络安全能力水平如何,这是定量的判断,相对比较困难。究其原因,网络安全能力的高低,必须通过实战来检验。这就要求企业建立实战化的网络安全体系。
360认为,企业的安全能力有四大支柱,包括资源、技术、管理和执行。
与传统的安全能力相比,360特别强调“资源”这个维度。因为在现有的安全形势下,如果没有全网的数据汇聚和分析能力,将很难驱动安全建设。只有将数据或者资源作为安全能力的核心,才能让安全更好地融入企业管理,更好地体现数据的价值,同时更好地提升整个业界的安全管理水平。
360定义了以安全大脑为核心的网络安全能力框架。在资源方面,360打造了基于神经元的基础设施,负责多元异构数据的采集和标准化;同时还拥有用于网络空间测绘的基础设施,负责对网络空间的地图进行测绘;另外还有威胁情报中心,负责数据到情报的分析加工以及互联互通。
技术,说得直白一些就是指安全能力的支撑工具。安全技术未来会更加深入地渗透到更多的业务领域中,安全的产品和服务也会更加多样化。
在技术方面,360既有针对攻击防御的网络攻防靶场、漏洞众测中心、蜜罐诱捕设施、高级威胁检测中心、安全开发能力中心等,也有针对资源管控的边缘云基础设施、零信任基础设施、身份管理基础设施和密码证书基础设施等。
说到管理,就不得不老生常谈——“三分技术、七分管理”。企业应该将安全技术与安全管理相结合,并使之有效地贯穿于企业的所有业务流程环节中,包括研发、测试、上线运行、日常运维,以及漏洞管理等,这样才能有效保障全业务生命周期的安全。
执行最关键的因素就是人。众所周知,人是安全能力的载体。安全体系的建设重点要考虑企业全员安全意识的提升,普通员工也好,专业技术人员也罢,还有企业的管理层,都在安全体系中扮演着不可或缺的重要角色。因此,要培养全员的安全意识,并提供其安全能力。
在执行方面,360以人和运营为中心,打造了态势感知中心、安全运营中心、应急响应中心、人才培训基地,以及安全能力评估中心。
提升企业的安全能力,首先要遵从数据驱动的原则,即应用大数据的手段,规划企业的安全体系;其次,建设一个能不断沉淀的安全能力,以应对新技术快速迭代而引发的网络安全基础设施的变化,即以不变应万变;再次,要一手抓攻防,一手抓管控,内外兼修,这样才能有效保障业务安全和数据安全;最后,持续提升安全运营能力。
他山之石可以攻玉
360是安全体系建设的赋能者
企业如何打造适合自身需求的安全体系?360为我们做出了示范。
360将网络安全成熟度目标定义为四个等级,并将自己的目标定位在第四级也就是最高级。360将自身的安全能力对外输出给企业,一方面从横向,也就是资源、技术、管理和执行四个维度,为企业安全体系的建设赋能;另一方面,提升企业纵向的安全能力,从识别、防御、监测、响应、恢复、规划和校验等维度实现安全能力的全面提升。
360网络安全成熟度模型包含23个能力域、83个能力项及99个能力子项,以及222个控制点,通过这些能力域、能力项、能力子项和控制点的具体得分,就可以清楚地知道企业每一年安全体系建设的实战效果如何,下一步该如何进行提升。
高瀚昭介绍说,360已经建立了一套全球领先的认证知识库,可以模拟全球90%以上的攻击类别。基于此,360可以相对公正、客观并定量地衡量用户每一项安全防御的效能,并在此基础上,再去评估企业每一项安全能力域相应的得分。
“正因为我们拥有面向实战的安全方法论,构建了以安全大脑为核心的安全体系,所以在过去三年中已成功发现46个国家渗透组织对我国的攻击,帮助亿万用户免受病毒和软件的攻击。”高瀚昭介绍说,“最近几年,我们致力于帮助城市构建数字经济的安全底座,同时也帮助各行各业的头部企业建设并提升其安全能力。”
360提出的安全体系建设方法论,是基于360自身的安全体系建设,以及服务国家、城市、行业和企事业单位的实践经验的总结与提炼。不同行业都有自身独特的业务战略和安全需求,每个行业、每个企业都应该结合自身的行业特色、业务需求,总结和归纳适合自己,并经得起时代考验的安全体系建设实战方法论。据了解,360也在致力于将自身总结的安全体系建设方法论推向更多行业和领域。
随着信息技术的持续进化,攻击的手段也在不断变化和增加。因此,企业的安全体系必须更快地进化和完善,只有这样才能经受得住实战的考验。
欢迎扫码关注云报
继续阅读
阅读原文