最近，學(xué)習(xí)了一些安全知識，想提升一下自己的信息安全防護(hù)意識。雖說技術(shù)上沒什么收獲，但是在安全框架上有了一些新的，全局的認(rèn)知。

最后只學(xué)到八個(gè)字，態(tài)勢感知和攻擊溯源。

企業(yè)架構(gòu)里的定海神針

無論什么系統(tǒng)，都離不開安全?；貞浺幌拢遣皇敲看沃v系統(tǒng)架構(gòu)PPT的時(shí)候，不管左邊怎么劃分層次，最右邊都有一根粗壯有力的長條，豎在那里，上邊寫著“安全”字樣，好像一根定海神針。

自打“棱鏡門”事件之后，感覺信息安全一下子就被提到很高的高度上。從公司組織架構(gòu)的變革上就可見一斑，開始有了專職的安全團(tuán)隊(duì)，專人專崗，而且建制也在逐步提高，從處到部。一時(shí)間，安全團(tuán)隊(duì)在組織中的地位水漲船高。

高層領(lǐng)導(dǎo)曾說過，“沒有網(wǎng)絡(luò)安全就沒有國家安全”，隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布，安全團(tuán)隊(duì)的話語權(quán)更重了。

《隱秘的角落》與態(tài)勢感知

安全圈里，除了黑產(chǎn)和暗網(wǎng)，還有大量敵對勢力的黑客，他們都藏在隱秘的角落里，不但謀取經(jīng)濟(jì)利益，還從事非法的網(wǎng)絡(luò)破壞活動(dòng)，讓信息安全充滿了威脅與挑戰(zhàn)。

以前總說老外會(huì)講概念，就好像當(dāng)年IBM的電子商務(wù)隨需應(yīng)變和智慧地球。

這一次，我國的信息安全行業(yè)也充分領(lǐng)悟了高層的講話內(nèi)容，迅速達(dá)成共識，于是有了國產(chǎn)版的“態(tài)勢感知”。

套用某服務(wù)商的描述，一種基于時(shí)間和空間的環(huán)境要素，動(dòng)態(tài)，整體洞悉安全風(fēng)險(xiǎn)能力，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析和響應(yīng)預(yù)警能力的一種方式，并預(yù)測他們即將呈現(xiàn)的狀態(tài)，以實(shí)現(xiàn)決策優(yōu)勢。

態(tài)勢感知，聽上去很高大上，但是說白了，核心就是做了個(gè)以安全為主題的大數(shù)據(jù)項(xiàng)目。通過對相關(guān)安全設(shè)備和IT資產(chǎn)的實(shí)時(shí)數(shù)據(jù)采集，把安全相關(guān)日志進(jìn)行歸集，將原本分散的孤立事件進(jìn)行關(guān)聯(lián)，建立一個(gè)大數(shù)據(jù)智能分析平臺，其中包括業(yè)務(wù)畫像，資產(chǎn)風(fēng)險(xiǎn)等模型和視圖。

不過，由于國內(nèi)安全生態(tài)中廠商林立，導(dǎo)致態(tài)勢感知在數(shù)據(jù)整合這一層進(jìn)行系統(tǒng)集成時(shí)會(huì)遇到一些困難，項(xiàng)目落地應(yīng)該是一項(xiàng)復(fù)雜的系統(tǒng)工程。

《無證之罪》與攻擊溯源

法制社會(huì)，辦案是講求證據(jù)，官方解讀是，應(yīng)提出確實(shí)、充分的證據(jù)，并運(yùn)用證據(jù)加以證明，而且對于證據(jù)還要排除合理懷疑。

具體到信息安全防護(hù)上，則是“誰主張，誰舉證”，不是簡單的指出是誰攻擊你了，而是你要用證據(jù)證明對方入侵的路線，作案的手段，對你造成的影響，將整個(gè)攻擊事件還原，并呈現(xiàn)出完整的證據(jù)鏈。

攻擊溯源看似簡單，但是技術(shù)含量其實(shí)非常高。首先你要能識別攻擊，才能有然后。真正的高手會(huì)用你知道的手段去攻擊你嗎？

面對當(dāng)時(shí)跟我分享的“中睿天下”的高手，我就想，若沒實(shí)戰(zhàn)攻防過，他怎么知道這么多手段呢。就好像《無證之罪》中的法醫(yī)駱聞，因?yàn)槭煜す驳霓k案手法和流程，才有相當(dāng)強(qiáng)的反偵查能力和手段。

還是SOC套路深

之前把態(tài)勢感知比作日志派，攻擊溯源比作流量派，以為涇渭分明。后來發(fā)現(xiàn)，還是自己膚淺了。

前陣子求教IBM，交流QRadar，開始沒多久，一張PPT就吸引了我，因?yàn)閯傁雴柺悄膫€(gè)技術(shù)派別的，結(jié)果PPT就給了答案，原來是個(gè)混合派，QRadar強(qiáng)調(diào)日志和流量的結(jié)合。

在安全這個(gè)領(lǐng)域，老外講的概念是SOC（Security Operating Center），講求的是人員，流程和技術(shù)的有機(jī)結(jié)合。

以往講安全，感覺更多的是做安全項(xiàng)目，但是這些系統(tǒng)往往都是聚焦于某個(gè)點(diǎn)，解決某個(gè)具體領(lǐng)域的風(fēng)險(xiǎn)，就好像病毒防護(hù)、漏洞掃描等，但不同系統(tǒng)之間相互孤立。

隨著網(wǎng)絡(luò)攻擊手段越來越隱蔽，單純依靠某個(gè)點(diǎn)的安全防護(hù)，很難抵御多變的攻擊行為，所以需要在現(xiàn)有的基礎(chǔ)防護(hù)體系上建設(shè)一個(gè)全面，智能、可視化的安全運(yùn)營中心。

通過SOC，為信息安全工作提供統(tǒng)一的運(yùn)營平臺，同時(shí)借鑒大數(shù)據(jù)，人工智能等新技術(shù)，全面提升安全態(tài)勢的感知能力。

其實(shí)，我覺得外國的SOC和我們國產(chǎn)的態(tài)勢感知，大同小異。

安全管理那點(diǎn)事

安全涉及的內(nèi)容太多，對技術(shù)理解有限，談?wù)勅粘９ぷ髦械囊稽c(diǎn)心得。

你過了ISO20000和ISO27001，你也過了等保，可是你實(shí)際的安全防護(hù)水平是什么？

對于IT內(nèi)審，感覺每次都是揪著那些條條框框去卡，給不出啥針對性建議，如果審計(jì)本身已經(jīng)不是面向?qū)崙?zhàn)，而是面向規(guī)則，那么有規(guī)則就很可能有漏洞，而有漏洞就一定有安全隱患，就像安全的專業(yè)人士也抨擊友商，說他們是基于既有規(guī)則進(jìn)行判斷的，技術(shù)落后。

是軟件就有bug，是系統(tǒng)就有漏洞，所謂的安全基線也是有時(shí)效的，安全防護(hù)也永遠(yuǎn)都是在路上。

感覺隔三差五的就有安全威脅情報(bào)，然后就是一系列的安全處置，這背后考察的不僅是安全的識別和預(yù)警，更是在考察執(zhí)行效率。

記得2014年，ShellShock剛被爆出來，那會(huì)我正在學(xué)習(xí)Puppet，當(dāng)時(shí)360就分享過他們?nèi)绾谓o海量服務(wù)器快速修補(bǔ)漏洞的經(jīng)驗(yàn)。還有后來的WannaCry勒索病毒，不一而同。

運(yùn)維響應(yīng)和執(zhí)行效率其實(shí)是對安全的有效支撐，根據(jù)我的經(jīng)驗(yàn)，技術(shù)上的解決方案不是問題，真正的問題其實(shí)是基線管理。

可惜，在基線管理這個(gè)問題上，我并沒有找到最佳實(shí)踐。只能說，在相對可控的時(shí)間范圍內(nèi)可以維持。

不過，隨著技術(shù)的演進(jìn)，從主機(jī)、虛擬化、再到容器化，甚至是最新的FaaS，我感覺未來，隨著相關(guān)業(yè)務(wù)邏輯和基礎(chǔ)架構(gòu)的逐步解耦，會(huì)讓基線升級的成本變低，從而使基線管理這個(gè)問題變得簡單。

總之，對于安全管理，不管是態(tài)勢感知還是攻擊溯源，除了安全產(chǎn)品和技術(shù)本身之外，最后都會(huì)聚焦到資產(chǎn)的識別和管理上，從而引發(fā)出海量資產(chǎn)管理的運(yùn)維基線和效率問題。

細(xì)細(xì)的紅線

未來的信息安全管理，應(yīng)該是人機(jī)合一，一個(gè)靠譜的具有實(shí)時(shí)分析和威脅感知能力的系統(tǒng)平臺，在再搭配一個(gè)訓(xùn)練有素的安全運(yùn)營團(tuán)隊(duì)，我想，大概就可以從容應(yīng)對攻防演練了。

總之，信息安全無小事，每個(gè)人在做好隱私防護(hù)的同時(shí)，也應(yīng)該提升各自崗位的防護(hù)意識，避免觸及信息安全這根細(xì)細(xì)的紅線。

原文標(biāo)題：《無證之罪》：企業(yè)信息安全只需要懂8個(gè)字？

文章出處：【微信公眾號：ssdfans】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責(zé)任編輯：haq