本文來(lái)自微信公眾號(hào)“安全牛”。
訪談嘉賓:安博通副總裁薛洪亮
分析師:王劍橋
隨著我國(guó)企業(yè)數(shù)字化轉(zhuǎn)型的深入,企業(yè)的IT網(wǎng)絡(luò)中部署了大量安全防護(hù)工具和系統(tǒng),這產(chǎn)生并加劇了網(wǎng)絡(luò)安全數(shù)據(jù)的孤島問(wèn)題。在各個(gè)分散的安全系統(tǒng)中存儲(chǔ)了大量數(shù)據(jù),安全運(yùn)營(yíng)人員必須通過(guò)多個(gè)系統(tǒng)查詢數(shù)據(jù)才能對(duì)安全事件進(jìn)行分析評(píng)估,導(dǎo)致很多數(shù)據(jù)沒(méi)有得到及時(shí)有效的利用。
為了應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全新形勢(shì),現(xiàn)代企業(yè)已經(jīng)逐漸認(rèn)識(shí)到,需要通過(guò)一套機(jī)制整合分散的各個(gè)安全孤島的數(shù)據(jù),快速構(gòu)建更強(qiáng)大的網(wǎng)絡(luò)安全能力,為企業(yè)網(wǎng)絡(luò)安全決策、常態(tài)化安全運(yùn)營(yíng)和網(wǎng)絡(luò)安全應(yīng)急保障提供支撐。由此,安全業(yè)務(wù)中臺(tái)的設(shè)計(jì)理念應(yīng)運(yùn)而生,即調(diào)動(dòng)一切的積極因素,把網(wǎng)絡(luò)安全平臺(tái)、設(shè)備、隊(duì)伍、流程等統(tǒng)籌起來(lái),并不斷的進(jìn)行安全防控與管理、做到動(dòng)態(tài)地持續(xù)改進(jìn)。
本期牛人訪談我們邀請(qǐng)到了安博通副總裁薛洪亮,就“新一代安全業(yè)務(wù)中臺(tái)”的價(jià)值、落地、挑戰(zhàn)及未來(lái)趨勢(shì)展開(kāi)探討。薛洪亮認(rèn)為:新一代的安全業(yè)務(wù)中臺(tái)建設(shè)不僅要滿足客戶安全管理需求、支撐起客戶安全管理工作,還要解決傳統(tǒng)平臺(tái)無(wú)法解決的問(wèn)題和挑戰(zhàn)。安全業(yè)務(wù)中臺(tái)建設(shè)的核心目標(biāo)就是提升用戶的網(wǎng)絡(luò)安全效能,更好地保障用戶數(shù)字化業(yè)務(wù)持續(xù)、規(guī)模化地創(chuàng)新發(fā)展。通過(guò)安全業(yè)務(wù)中臺(tái),企業(yè)一方面可以有效地整合已建設(shè)的各種安全能力,另一方面也可以真正做到將安全能力與數(shù)字化業(yè)務(wù)需求的持續(xù)對(duì)接。
薛洪亮
北京安博通科技股份有限公司副總裁,中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)行業(yè)云安全聯(lián)盟專家、公共安全行業(yè)標(biāo)準(zhǔn)制定參與人。在IT行業(yè)工作十余年,主要進(jìn)行網(wǎng)絡(luò)通信、網(wǎng)絡(luò)安全與智能化領(lǐng)域的技術(shù)研究,具備深厚的技術(shù)積累。曾參與金融、運(yùn)營(yíng)商等行業(yè)典型客戶的網(wǎng)絡(luò)安全整體方案設(shè)計(jì),擁有豐富的場(chǎng)景實(shí)踐經(jīng)驗(yàn)。
01
安全牛
加強(qiáng)安全運(yùn)營(yíng)能力建設(shè)已經(jīng)成為企業(yè)做好網(wǎng)絡(luò)安全工作的關(guān)鍵,但是目前以SOC、SOAR、態(tài)勢(shì)感知等為代表平臺(tái)型安全運(yùn)營(yíng)技術(shù)方案,在應(yīng)用實(shí)踐中的效果卻并不理想,原因是什么?
薛洪亮
以SOC為代表的平臺(tái)型安全運(yùn)營(yíng)產(chǎn)品,在落地部署中會(huì)遇到很多困難,導(dǎo)致實(shí)際應(yīng)用效果并不理想,我們認(rèn)為原因主要包括兼容性、可視化、自動(dòng)化與場(chǎng)景化4個(gè)方面。
兼容性方面:用戶現(xiàn)有網(wǎng)絡(luò)中的設(shè)備數(shù)量多、品牌雜,接口開(kāi)放程度與形式參差不齊,平臺(tái)型產(chǎn)品實(shí)現(xiàn)集中管理的難度大、成本高,需要平臺(tái)廠商能夠提供更豐富的對(duì)接方式,并附加大量的適配開(kāi)發(fā)工作。
可視化方面:缺少網(wǎng)絡(luò)結(jié)構(gòu)的自動(dòng)化建模與可視化呈現(xiàn)的能力。一方面,網(wǎng)絡(luò)物理拓?fù)洳煌晟疲捎诠芾韰f(xié)議的不完全標(biāo)準(zhǔn)化,導(dǎo)致物理拓?fù)涞募嫒菪耘c自動(dòng)化存在嚴(yán)重問(wèn)題,很多用戶只能通過(guò)Visio圖管理網(wǎng)絡(luò);另一方面,網(wǎng)絡(luò)邏輯路徑、應(yīng)用連接關(guān)系以及數(shù)據(jù)動(dòng)態(tài)流轉(zhuǎn)所定義的網(wǎng)絡(luò)高維拓?fù)洳豢梢?jiàn),導(dǎo)致資產(chǎn)、脆弱性、暴露風(fēng)險(xiǎn)與安全事件不能基于網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)關(guān)聯(lián)分析與呈現(xiàn)。
自動(dòng)化方面:用戶在實(shí)際攻防演練、安全運(yùn)營(yíng)、應(yīng)急響應(yīng)等工作中發(fā)現(xiàn)存在海量的基礎(chǔ)性工作,如惡意域名與IP的應(yīng)急封堵、漏洞與脆弱性的日常處置、告警的調(diào)查分析與響應(yīng)等,亟需相應(yīng)的技術(shù)手段把一些重復(fù)性的工作實(shí)現(xiàn)自動(dòng)化。
場(chǎng)景化方面:從目前的產(chǎn)品開(kāi)發(fā)和用戶業(yè)務(wù)需求實(shí)際情況來(lái)看,很難以完全的產(chǎn)品形式滿足用戶安全運(yùn)營(yíng)管理平臺(tái)的建設(shè)需求。幾乎每個(gè)項(xiàng)目都要進(jìn)行大量的定制化開(kāi)發(fā),甚至還要提供人員服務(wù),最終才能實(shí)現(xiàn)閉環(huán)。
02
安全牛
企業(yè)應(yīng)該如何解決以上安全運(yùn)營(yíng)工作中存在的困難和挑戰(zhàn)呢?
薛洪亮
為了幫助企業(yè)構(gòu)建更有效的安全運(yùn)營(yíng)能力,我們?cè)诂F(xiàn)有安全運(yùn)營(yíng)技術(shù)方案的基礎(chǔ)上,提出“安全業(yè)務(wù)中臺(tái)”的理念與方案。
第一,將用戶現(xiàn)在的網(wǎng)絡(luò)設(shè)備、安全能力、業(yè)務(wù)系統(tǒng)、管理平臺(tái)進(jìn)行標(biāo)準(zhǔn)化整合,并能在此基礎(chǔ)上支持不同種類安全能力的協(xié)同、不同性質(zhì)平臺(tái)系統(tǒng)的聯(lián)動(dòng)與不同崗位工作人員的協(xié)同;
第二,為用戶提供定制化服務(wù)。盡量將中下層系統(tǒng)或者數(shù)據(jù)標(biāo)準(zhǔn)化,南向?qū)υO(shè)備進(jìn)行管理,北向開(kāi)放API接口,從中臺(tái)層面盡可能做到標(biāo)準(zhǔn)化、組件化,從整體交付來(lái)說(shuō),又可以通過(guò)定制化開(kāi)發(fā)在實(shí)際場(chǎng)景中進(jìn)行業(yè)務(wù)落地,把核心產(chǎn)品研發(fā)和定制化開(kāi)發(fā)分清楚。
概括來(lái)說(shuō),新一代安全業(yè)務(wù)中臺(tái),就是基于物理網(wǎng)絡(luò)、邏輯網(wǎng)絡(luò)、應(yīng)用網(wǎng)絡(luò)、數(shù)據(jù)網(wǎng)絡(luò)四維網(wǎng)絡(luò)仿真技術(shù),構(gòu)建網(wǎng)絡(luò)基礎(chǔ)架構(gòu)孿生,通過(guò)豐富的接口技術(shù)連接用戶的網(wǎng)絡(luò)資產(chǎn)與安全能力,面向不同場(chǎng)景實(shí)現(xiàn)靈活的業(yè)務(wù)流程編排以及自動(dòng)化,賦能用戶安全運(yùn)營(yíng)業(yè)務(wù)。
新一代安全業(yè)務(wù)中臺(tái)并不是要一攬子解決用戶安全運(yùn)營(yíng)管理平臺(tái)建設(shè)的問(wèn)題,它聚焦的是用戶網(wǎng)絡(luò)資產(chǎn)、安全能力、業(yè)務(wù)系統(tǒng)之間聯(lián)系協(xié)同的問(wèn)題,致力于幫助用戶提升安全檢測(cè)與分析的能力、提高事件處置與運(yùn)營(yíng)工作的效率、降低平臺(tái)建設(shè)成本與縮短部署周期。
03
安全牛
安全業(yè)務(wù)中臺(tái)目前的技術(shù)成熟度如何?是否可以在企業(yè)安全運(yùn)營(yíng)環(huán)境中實(shí)際有效的落地應(yīng)用?目前是否有成功應(yīng)用的真實(shí)案例?
薛洪亮
目前,“新一代安全業(yè)務(wù)中臺(tái)”在運(yùn)營(yíng)商、交通、電力、大型企業(yè)等行業(yè)用戶中已經(jīng)有了大量的實(shí)際應(yīng)用。一方面,通過(guò)安全業(yè)務(wù)中臺(tái)建設(shè),可以幫助用戶建立全網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備管理的動(dòng)態(tài)基礎(chǔ)數(shù)據(jù)庫(kù),輔助IT運(yùn)維和安全管理工作;另一方面,安全業(yè)務(wù)中臺(tái)還可以與用戶已有的態(tài)勢(shì)感知平臺(tái)、決策指揮平臺(tái)進(jìn)行對(duì)接,實(shí)現(xiàn)局域網(wǎng)或廣域網(wǎng)網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理與安全策略的集中管控。
以我們最新交付的某部委客戶為例,“新一代安全業(yè)務(wù)中臺(tái)”作為安全運(yùn)營(yíng)管理整體平臺(tái)中的“中間件”進(jìn)行部署,北向?qū)佑脩粢呀?jīng)建設(shè)的IT運(yùn)維平臺(tái)、安全大數(shù)據(jù)分析平臺(tái)與決策指揮平臺(tái),南向集中對(duì)接管理各品牌的網(wǎng)絡(luò)與安全設(shè)備,實(shí)現(xiàn)配置自動(dòng)采集與解析、設(shè)備狀態(tài)監(jiān)測(cè)、配置集中下發(fā)。對(duì)于上層業(yè)務(wù)平臺(tái),“新一代安全業(yè)務(wù)中臺(tái)”很好地解決了設(shè)備管理的異構(gòu)性,并且針對(duì)不同性質(zhì)的上層業(yè)務(wù)平臺(tái)進(jìn)行能力輸出,向IT運(yùn)維管理平臺(tái)輸出設(shè)備信息采集與配置下發(fā)的能力;同時(shí),可以向安全大數(shù)據(jù)分析平臺(tái)輸出業(yè)務(wù)訪問(wèn)關(guān)系與攻擊路徑分析的能力;此外,還可以向決策指揮平臺(tái)輸出安全事件響應(yīng)處置的能力,實(shí)現(xiàn)了用戶現(xiàn)有的各安全業(yè)務(wù)平臺(tái)連接與協(xié)同,有力的支持了用戶安全能力提升的目標(biāo)。
實(shí)際上,“新一代安全業(yè)務(wù)中臺(tái)”具有較強(qiáng)的普適性,如果用戶已建設(shè)了態(tài)勢(shì)感知平臺(tái),我們就可以為其提供網(wǎng)絡(luò)基礎(chǔ)架構(gòu);如果用戶已建設(shè)了安全大數(shù)據(jù)分析平臺(tái),就可以為其提供相關(guān)的安全分析數(shù)據(jù)與檢測(cè)能力;如果用戶已建設(shè)了決策指揮平臺(tái),就可以為其提供聯(lián)動(dòng)處置、流量編排、SOAR等能力;如果用戶的安全管理建設(shè)屬于初期階段,還可以為其提供整體的安全數(shù)據(jù)中臺(tái)與安全能力中臺(tái),在應(yīng)用形式上十分靈活。
04
安全牛
從實(shí)際應(yīng)用的角度,安全業(yè)務(wù)中臺(tái)的價(jià)值及具體的技術(shù)實(shí)現(xiàn)。
薛洪亮
1.對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的高度可見(jiàn)是安全檢測(cè)與分析的重要基礎(chǔ),新一代安全業(yè)務(wù)中臺(tái)能夠綜合采集解析多維的網(wǎng)絡(luò)拓?fù)???梢詭椭脩魪膬?nèi)外兩個(gè)視角看清網(wǎng)絡(luò)攻擊面與網(wǎng)絡(luò)暴露面,看清正常的應(yīng)用訪問(wèn)與數(shù)據(jù)訪問(wèn)行為。在發(fā)生安全事件時(shí)幫助用戶看清攻擊路徑與影響范圍,更精確的提取相關(guān)數(shù)據(jù),降低輸入數(shù)據(jù)噪聲,從而提升檢測(cè)分析的速度與效率。
2.用戶在安全運(yùn)營(yíng)過(guò)程中存在大量常態(tài)化的工作,新一代安全業(yè)務(wù)中臺(tái)基于自定義工作流引擎??梢詫⑷粘V锌梢怨袒鞒痰墓ぷ鳎橄筠D(zhuǎn)化到平臺(tái)上編排成一個(gè)有向無(wú)環(huán)流程圖來(lái)完成自動(dòng)化執(zhí)行。還可根據(jù)場(chǎng)景不同來(lái)設(shè)置不同的觸發(fā)條件,做到自動(dòng)無(wú)值守,實(shí)現(xiàn)從人工處置到自動(dòng)化劇本的轉(zhuǎn)化與積累。
3.新一代安全業(yè)務(wù)中臺(tái)提供應(yīng)用接入自動(dòng)化引擎,該引擎是中臺(tái)與第三方服務(wù)應(yīng)用的觸手,是中臺(tái)無(wú)縫銜接各類具體業(yè)務(wù)實(shí)現(xiàn)的基礎(chǔ)??刹幌藿尤腩悇e,實(shí)現(xiàn)標(biāo)準(zhǔn)化按需接口集成;提供統(tǒng)一的標(biāo)準(zhǔn)接入方法,是一個(gè)半自動(dòng)化高效接入方法。新一代安全業(yè)務(wù)中臺(tái)還內(nèi)置了關(guān)聯(lián)分析引擎與AI學(xué)習(xí)引擎,能夠快速對(duì)接入的數(shù)據(jù)進(jìn)行清洗、分析并向上層應(yīng)用、業(yè)務(wù)輸出。基于上述提到的自定義工作流引擎,根據(jù)用戶業(yè)務(wù)需求,基于低代碼的方式,進(jìn)行業(yè)務(wù)邏輯編排,使得場(chǎng)景化落地的周期更短、成本更低,也使得后續(xù)業(yè)務(wù)的調(diào)整與演進(jìn)更加靈活。
05
安全牛
在未來(lái)企業(yè)的安全運(yùn)營(yíng)體系中,安全業(yè)務(wù)中臺(tái)會(huì)承擔(dān)什么角色?未來(lái)業(yè)務(wù)中臺(tái)的發(fā)展方向是什么?
薛洪亮
新一代安全業(yè)務(wù)中臺(tái)的終極目標(biāo)是成為數(shù)字化時(shí)代網(wǎng)絡(luò)安全運(yùn)營(yíng)的“中樞神經(jīng)”,但這個(gè)目標(biāo)角色不是一蹴而就的。平臺(tái)自身的技術(shù)能力是一個(gè)發(fā)展的過(guò)程,同時(shí)也要匹配用戶安全運(yùn)營(yíng)體系的不同建設(shè)階段與不同的業(yè)務(wù)關(guān)注點(diǎn)。在用戶平臺(tái)初期建設(shè)階段,我們做好“基礎(chǔ)底座”的角色,在用戶平臺(tái)能力提升的階段我們做好“引擎與能力供應(yīng)”的角色,在用戶平臺(tái)整合協(xié)同階段我們做好“中間件”的角色。
新一代安全業(yè)務(wù)中臺(tái)未來(lái)的發(fā)展方向就是網(wǎng)絡(luò)安全網(wǎng)格。Gartner提出的安全網(wǎng)格核心思想是要面向業(yè)務(wù)系統(tǒng)可裝配,即真正面向業(yè)務(wù)系統(tǒng),通過(guò)標(biāo)準(zhǔn)化的接口,去編排自己的一些能力。只有把這些基本的日志、API、配置數(shù)據(jù)以及SOAR做好以后,才可能做好安全網(wǎng)格。同時(shí),安全網(wǎng)格要求實(shí)現(xiàn)“集中式策略管理”,這需要深刻理解網(wǎng)絡(luò)基礎(chǔ)架構(gòu),并對(duì)全局訪問(wèn)進(jìn)行有效控制才可能實(shí)現(xiàn)。在引入安全業(yè)務(wù)中臺(tái)的技術(shù)理念后,安全網(wǎng)格有望得到真正的實(shí)現(xiàn)和支撐。