绿盟科技叶晓虎：情报驱动企业安全运营，安全不是静态

本篇文章2437字，读完约6分钟

《雷锋》的编辑。在日益复杂的威胁和挑战下，企业安全系统应该如何构建？十多年前，我们认为部署一些设备和一些规则是可以的，但实践证明这是不可行的。安全性不是静态的，而是一个动态的过程，需要持续的监控和分析。这是NSFOCUS高级副总裁叶小虎对企业安全运营的基本看法。以下是叶小虎最近在第25届中国国际金融展上对企业安全运营的详细阐述。在不改变自己意愿的基础上，《雷》(公开号:雷)的编辑对他的发言全文略作删节，副标题则由《雷》的编辑添加..

-

事实上，日常的安全工作并没有太大的变化，它仍然侧重于漏洞检测、事件响应、调查取证和核心资产的持续改进。今天发生的变化是，一些在日常工作中产生的数据应该被积累起来，并且这些数据应该被持续地监控和分析。在这些数据的基础上，构建相应的能力，包括态势感知、综合防御、预警和监控、应急响应和协同作战能力。

企业安全运营需要什么样的数据系统？企业安全运营需要什么样的数据系统？我认为它可以分为两类。

一个是内部情报。也就是说，企业运营过程中在业务环境和内部业务环境中生成的相关数据，包括流量、ip、域名、url、账号等。

一个是外部情报，它引入了来自第三方机构的数据，包括漏洞情报和威胁情报。

通过“内部智能+外部智能”，可以形成一个相对完整的数据系统。在这些数据系统之上，建立相关的安全能力。

利用这些数据，我们可以看到企业的安全状况，追溯、收集证据和分析安全事件，并根据威胁情况判断下一步可能发生的潜在风险。根据企业不同的业务情况，我们可以建立相应的入侵情况、ddos攻击情况和网络安全情况。

同时，它还可以建立相应的预警和监测能力。通过建立监控系统，我们可以看到企业暴露在互联网上的资产，监控漏洞的泄露，黑客社区中漏洞的活跃程度，工具使用的普及程度以及相应的智能。通过收集这些信息，我们可以检查企业本地网络中的资产，并且资产的批准包括相应的漏洞预警。

漏洞生命周期管理:智能驱动的漏洞生命周期管理是安全管理中一个非常基础的课题。几乎所有的报告都提到安全团队的数量不足，但是企业的业务发展很快，资产的数量变化很快，暴露的漏洞也越来越多。如果安全团队在过去工作过，就很难有效地管理漏洞生命周期。

现在，脆弱性生命周期的管理发生了许多变化，这更多地是由智能驱动的。

漏洞有多活跃？企业的关键业务资产和匹配条件是什么？

了解之后，安全团队可以专注于更高价值的工作，提高工作效率。同时，企业还可以与专业安全制造商建立漏洞处置流程，包括基于情报的风险处置，以确认真正的威胁范围。

如何发现日常威胁？每个人都一定听说过这样一个案例——有一个威胁，这是一个针对linux的系统攻击，我的系统是windows，你还需要注意吗？在过去，可能需要做确认工作，但是今天这个想法已经被大多数安全团队所接受。

可以在日常工作中收集基于资产的风险预警，并建立相应的时间段。一旦发生相应的事件，就不再需要紧急扫描。此外，检测和保护可以集成。通过这个过程，安全制造商的专业安全团队和企业的安全团队可以建立有效的工作流程。在相应的工作流程下将其发送到相应的设备，有机地完成整个过程。

传统的安全设备、防火墙和防火墙都根据规则实时检测威胁。未知威胁需要在模型中进行更多更改。我们提出了这样一个平台和方案，供被监控网络对其流量进行辐射，获取报警数据，获取原始数据，包括检测网络的扫描数据，并将其存储在一个平台上。威胁分析师可以在这个平台上挖掘和捕获威胁。根据攻击模型，他可以被引导做威胁分析，从而发现隐藏在威胁背后的线索。

当然，以上提到的都是我们在网络安全方面的工作，但是网络安全的范围在不断扩大。一些新的方法和技术不断出现，基于异常行为的威胁检测也是近两年来人们非常关注的技术方向。

通过建立行为截止期，可以描述用户的行为，然后通过时间序列分析，如机器学习和挖掘方法，可以发现高风险账户的异常情况，包括非法内容泄露的可能性。

大多数业务系统的安全问题出现在项目建立的第一天，这是整个行业在过去两年中一直在谈论的devops的生命周期。

在业务系统需求规划阶段，应该引入相应的安全需求；在编码阶段，开发人员需要接受安全规范方面的培训；并且在网上发布的时候，应该进行访问安全检查。在监管体系建设和整个运营过程中，需要持续、定期地评估业务系统的安全状态，包括技术手段、测试手段、配置验证手段和漏洞扫描手段。

企业安全运营不是静态的。企业安全运营不是静态的工作，也不仅仅是企业自身的工作。它需要企业、安全制造商和监管领导机构之间的密切合作。

攻击者分布很广。漏洞挖掘者在交易平台上发布漏洞，攻击工具开发者在交易平台上发布攻击工具。攻击者可以很容易地在交易平台上获得这些工具。发起攻击是一个低成本高效率的攻击过程。

作为防御方，我们需要通过预警和通报环节，在进入处置阶段之前需要经济合作和核查。提高维权者之间的分工与合作效率是维护企业高水平安全的一个非常重要的问题。

例如，万纳克利利用的漏洞在4月初被修补。然而，大多数企业只是在事故发生当天对扫描准备、防护设备和操作系统进行了升级，这表明在安全运行和安全协同运行的过程中还需要进行许多改进。

企业和安全制造商如何更好地合作？

一是转变服务理念和预算决策机制及结构。

第二，企业需要整合安全运营能力和发展。

第三，作为对监管合规性的限制。大多数安全供应商过去都进行安全漏洞研究并开发相应的安全产品。如今，他们需要从单点技术场景转变为解决方案供应，从产品交付转变为价值能力交付，这对安全供应商来说是一个巨大的挑战。攻防的本质是对抗，对抗的背后是双方能力的较量。如果你想为用户提供更好的安全服务，安全制造商需要积累更多的安全能力。只有积累更多的安全能力，我们才能有效地提高对抗的水平和速度。我们应该讨论如何在监管机构的领导下，在企业和证券制造商之间建立有效的合作运营体系。

[叶小虎]

雷锋原创文章。严禁擅自转载。详情请参考转载说明。