揭秘深信服内部安全运营建设之路
安全运营建设就像走迷宫。
这个迷宫似乎没有终点,挑战完第一个阶段的任务,就会点亮下一阶段的迷宫地图。有些人选择不断走进下一个迷宫地图,在一次次挑战中突破能力边界。
探索迷宫的过程中我们会不断碰壁,但如果原地踏步,越来越多的“危险”将从入口涌进,将我们吞噬。
多年以后,面对愈发复杂的网络攻击,大多数人将会回想起站在迷宫门口,选择走进去的那个遥远的决定。
回过头来看,或许应该思考的是:我们为什么要走进来?安全运营建设的「初心」是什么?
今天,深信服想回顾8年安全运营建设的探索之路,希望与你找到共鸣、找回「初心」。
01
探索之路
亦是技术的迭代发展之路
这是一段不断创新,又不断纠错改进的旅程。
从最开始整合安全设备告警的SIEM模式,到中期提升检测能力的NDR模式,再到当前以还原完整攻击故事线、提升实战化威胁对抗能力的XDR模式,深信服始终走在技术探索的前沿。
顺应技术的发展潮流,深信服完成三阶段安全运营建设,最终实现有效实战对抗的安全运营方案的逐步升级:
1. 采集资产信息和设备日志,构建立体防御能力
防御、检测、响应,是任何安全体系架构的核心,因此安全工作的第一步,是完成立体防御架构的搭建。
当时,我们有几十个海内外分支机构,数十万部署在各地数据中心、网络的服务器和终端资产,需要在互联网出口与办公网、研发网边界等部署大量安全设备。
我们先将34个数据中心,以及网络出口、服务器网段、核心资产,梳理出完整的攻击路径,并进行风险评估。
得益于网络防御技术日趋成熟,我们通过部署下一代防火墙AF、IPS等50多台各类安全设备,强化边界防护体系。
这时,我们考虑能否有一个平台,通过汇总展示所有防护设备的安全告警和事件,以提升工作效率。
我们收集了现网中所有防火墙、IPS等各类安全设备和服务器、交换机等网络设备的日志,通过SIEM技术满足基础威胁管理与合规需求。
然而,基于“二手数据”采集的SIEM技术,只是数据的简单糅合而缺乏关联分析,无法有效提升检测能力。
在实际工作中,噪音大、告警多,威胁难检出、难溯源、难响应的问题,依然没有得到有效解决。
2. 组件+服务,安全可感知,事件可闭环
随着网络复杂性愈演愈烈、网络弱点越来越多,利用边界防护设备阻止黑客进入内网的难度加强。“攻防不对等”的鸿沟日益拉大。
2018年,网络攻击的数量呈指数级增长,我们看到太多国际知名企业,乃至重大国际性活动都遭受黑客攻击。
我们深刻剖了这些事件暴露出的层层问题:
无法应对不断升级的攻击手段
APT攻击频发,事后检测成本增高。基于黑白名单、签名和规则特征的安全威胁发现手段,已不能应对不断发展的网络威胁和IT环境。
无法定位威胁根因
一旦发生安全事件时,我们常常因为缺乏终端数据关联分析,而无法定位到根因。
无法保障攻防对抗持续性
安全运营人员无法全天候值守,同时面对大量安全事件和告警分析工作,其精力完全难以招架。
为解决以上三个问题,我们分三个步骤建立起“SIP+端点防护+MSS”的方案:
STEP 1:强化威胁主动检测
我们开始着手从过去单一设备、单一方法、仅关注防御的安全体系,升级为基于全局视角,强化威胁检测、调查等能力,以应对不断变化的威胁。
以流量检测响应技术为核心,我们研发出安全感知管理平台SIP,并在集团节点部署了16台探针、6台SIP集群,将IP及资产关系进行导入,达到初步安全感知。
STEP 2:建立终端侧防护
面对全集团50+分支,日益增加的BYOD办公设备,建立终端安全体系迫在眉睫。
借助零信任方案的落地推广(点击跳转:深信服零信任的0号样板点),我们在集团1.5万个终端部署终端安全管理系统EDR、3个MGR管理端。
后续通过零信任与EDR的对接,我们做到人机对应,实现安全事件溯源快速精准定位到人。
STEP 3:服务闭环安全事件
为了解决攻防对抗连续性和人员精力的问题,安全托管服务MSS应运而生。我们将EDR、SIP接入MSS,以7*24小时持续在线服务,提供专家级能力支撑。
基于过往安全建设的持续投入,深信服安全运营体系能力不断加强,至此能有效满足常态化安全运营场景的各类需求。
以攻促防,是我们不断检验提升自身安全运营建设水平的重要手段。然而,在一次深信服蓝军的内部演习中,面对强大的攻击队,我们的内部防守依然顶着巨大的压力。
尽管守住了底线,但我们清醒地反思,复盘当前安全体系建设依然存在各类问题:
高价值告警难以有效定位、高级威胁难精准检出、攻击路径还原呈现碎片化、智能研判难度大、响应处置效率低等。
又一次,我们陷入了思考中。
3. 平台+组件+服务,检测响应新范式XDR
一筹莫展之间,我们开始回过头来看:
安全运营建设的本质需求是什么?
毫无疑问,我们面对的“敌人”始终是网络威胁,安全技术在不断发展,威胁也在不断迭代升级。因此,无论威胁如何变化,我们要始终领先威胁一步,抢占对抗攻击的先机,聚焦检测响应,实现真正的「安全效果」。
我们意识到,这不是以往堆叠设备,或者设备之间简单组合联动,就能够满足的需求。
安全运营聚焦检测响应的能力核心,需要通过汇集来自不同安全设备的一手遥测数据,秒级狙击威胁根因,进行多维度的聚合分析和响应决策,并结合服务,彻底闭环响应事件,才能保障安全效果的落地。
而这将通过什么技术实现?我们在XDR上看到了希望。
2022年3月,深信服在国内率先推出「云化SaaS XDR平台+组件+服务」。
作为0号样板点,深信服内部正式上线XDR平台,对接AF、SIP、EDR组件,形成一套以效果驱动的安全运营流程:
在一同梳理深信服安全运营建设之路的过程中,深信服CSO沙明表示,落地XDR平台超半年时间,真真切切感受到了「效果」:
告警削减:将原先日均1万+告警数,依赖XDR平台网端一手遥测数据聚合分析,生成日均600-800个事件(其中实验室病毒事件占比70-80%),海量告警削减达90%。
检测精准:能够精准识别出0day漏洞、免杀Shell、魔改FRP等以往难以检测的高级威胁,经验证,事件准确率高达95%。
威胁定性:通过智能定性分析,将不同类型告警进行分类分级,帮助运营人员聚焦高价值告警。
响应快速:对接安装EDR、CWPP的资产指纹清点,完成隔离主机、阻断进程等处置动作,运营人员表示「基本可在当天完成所有事件处置」。
02
以效果驱动安全运营
实战表现亮眼
光说不练假把式。体系框架搭好了,是时候上场展现真正的实力。2022年11月,在没有提前通知的情况下,深信服蓝军直接发起攻击。
攻防两股力量对立交织,深信服XDR平台精准检测出多种高级威胁,如0day漏洞攻击、钓鱼邮件+白利用攻击等,并联动AF、SIP、EDR等组件,结合一套顺畅的运营机制,事件闭环时间由原本5小时压缩至30分钟。XDR发挥出常态化攻防对抗「指挥作战中心」的作用。
演练结束后,深信服蓝军坦言,“以前总觉得防守方被动挨打,但这次感受到了真正的对抗”。
03
给用户的安全运营建设启示
作为一家网络安全头部厂商,深信服自身有一个坚定的使命,即通过真实环境下的产品体验和效果验证,不断精进产品质量,基于“简单有效、省心可靠”的理念给用户以启示:
安全运营建设应聚焦检测响应能力核心
安全运营工作涵盖范围很广,功能设计比较灵活,但最终效果的达成取决于内核能力的建设质量。我们认为,安全运营建设的「初心」,应当以效果为核心、以闭环为目的,聚焦检测能力提升,实现精准高效的实战对抗能力,由此开展下一步的管理通报等工作,逐步搭起安全运营体系的「大厦」。
统一规划,按需建设
安全运营体系化建设落地复杂,一步到位难如登天,组织单位需要考虑当下建设现状、改造难度与建设目标,选择不同技术路线进行安全运营建设。
强大的服务与端点能力支撑
实践证明,安全运营是一个长期且持续的体系化建设,这个建设过程必定需要专业的人员辅助,组织单位应找具备强大服务能力以及端点能力支撑的厂商。
争渡 争渡
往迷宫深处探索
愿我们终能「拨云见日」
愿安全「领先一步」