GTI廣州科宸(點(diǎn)擊觀看原文)
大家早上好。
5月15日,在國新辦新聞發(fā)布會上,4月主要經(jīng)濟(jì)數(shù)據(jù)出爐。國家統(tǒng)計(jì)局新聞發(fā)言人劉愛華表示,“4月份總體經(jīng)濟(jì)延續(xù)了3月份以來恢復(fù)改善的勢頭,主要指標(biāo)呈現(xiàn)積極變化,轉(zhuǎn)型升級態(tài)勢持續(xù)。”工業(yè)生產(chǎn)逐步恢復(fù),服務(wù)業(yè)降幅收窄,其中高技術(shù)制造業(yè)增加值同比增長10.5%,增速比上月加快1.6個(gè)百分點(diǎn)。
高技術(shù)行業(yè)是離不開人才辛勤的勞動(dòng)。我看到身邊和周圍的技術(shù)大咖們一邊抗疫,一邊堅(jiān)持工作崗位迎難而上,為各自所屬行業(yè)的數(shù)字化經(jīng)濟(jì)轉(zhuǎn)型升級添磚加瓦,展示著自己的聰明才智。我在這里給您們加油和點(diǎn)贊!
突如其來的疫情,并不能阻擋各行業(yè)所進(jìn)行的數(shù)字化轉(zhuǎn)型趨勢。伴隨當(dāng)前“大佬+網(wǎng)紅”直播帶貨的興起,數(shù)字經(jīng)濟(jì)正在蓬勃發(fā)展。在未來滾滾商業(yè)數(shù)字化潮流中,誰能做到跑得更快和管理好風(fēng)險(xiǎn),就能占據(jù)領(lǐng)先的地位。
最近2-3個(gè)月我身邊的交通央企、芯片設(shè)計(jì)國企、保險(xiǎn)金融的大咖朋友們,非常忙碌和辛苦,因?yàn)樗麄儏⑴c了2020年的護(hù)網(wǎng)行動(dòng)。他們正在為各自的企業(yè)和組織保駕護(hù)航和爭取榮譽(yù),管理著數(shù)字化快速轉(zhuǎn)型旅程中所遇到的風(fēng)險(xiǎn),發(fā)揮著關(guān)鍵性的作用。他們既是專業(yè)的“背鍋俠”,又是企業(yè)組織的中堅(jiān)力量,義無反顧地承擔(dān)著義務(wù)和責(zé)任。他們所流露出來的責(zé)任和擔(dān)當(dāng)讓我感動(dòng),激勵(lì)著我與我們的團(tuán)隊(duì)與他們一起前行,倍感榮耀。
護(hù)網(wǎng)行動(dòng)下個(gè)月(正式護(hù)網(wǎng)階段)即將開始。分享一下我們團(tuán)隊(duì)的觀察和踐行(自查整改階段)。這里歸納總結(jié)主要是我們所接觸和經(jīng)歷到的,鑒于水平和能力之限,不足和遺漏之處在所難免,望指正。
觀察:
-
員工(全員)簽署責(zé)任書
-
落實(shí)責(zé)任人
-
定位 - 中、上游
-
自我安全評估
踐行:
-
雙因素認(rèn)證 - 多場景
-
安全態(tài)勢感知平臺
-
Tie2 - 異構(gòu)防火墻
希望對明年要參與護(hù)網(wǎng)行動(dòng)的新、老朋友有所幫助,同時(shí)也對老朋友表達(dá)感激之情。有困難我們一起抗,堅(jiān)決地與大家攜手應(yīng)對,共克時(shí)艱。
向逆向而行、堅(jiān)守崗位、
如疫情的聯(lián)防聯(lián)控,需要人人參與一樣,搞好企業(yè)組織的網(wǎng)絡(luò)安全是需要全體員工的積極參與。譬如釣魚郵件,真的是需要員工具備一定安全意識不能隨意點(diǎn)擊。再如公司重要應(yīng)用系統(tǒng)的密碼真的是需要好好的保護(hù)起來,以及在固定周期內(nèi)進(jìn)行變更。所以普遍參與護(hù)網(wǎng)行動(dòng)的企業(yè)都采取全員線上簽署網(wǎng)絡(luò)安全責(zé)任書的措施進(jìn)行安全意識教育,引起全員的重視,并提供了非常便利的參與工具。
壓實(shí)網(wǎng)絡(luò)安全主體責(zé)任,提升重點(diǎn)單位的安全防護(hù)水平是護(hù)網(wǎng)行動(dòng)的目的。幾乎所有企業(yè)組織都是堅(jiān)持“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé),誰被突破誰擔(dān)責(zé)”的責(zé)任分工和賞罰原則,明確護(hù)網(wǎng)結(jié)果納入年度信息化考核。
-
作戰(zhàn)指揮部 - 建立護(hù)網(wǎng)行動(dòng)專項(xiàng)小組
- 設(shè)立:溯源分析組,應(yīng)急處置組,業(yè)務(wù)組,監(jiān)測預(yù)警組,保障組,報(bào)告組,等
- 三個(gè)保障:組織保障、資金及場地保障、技術(shù)保障
護(hù)網(wǎng)完畢后公安部會在總結(jié)材料中通報(bào)部分網(wǎng)絡(luò)安全工作開展不力,護(hù)網(wǎng)效果不好的單位,并呈上級領(lǐng)導(dǎo)批閱示。企業(yè)組織的各級領(lǐng)導(dǎo)對此次行動(dòng)重視程度很高,所以信息化和網(wǎng)絡(luò)安全部門壓力和責(zé)任是巨大的。
工作目標(biāo):確保所選定參演目標(biāo)系統(tǒng)的安全性,避免發(fā)生大范圍攻陷情況,確保公司在行業(yè)內(nèi)處于較好水平,處于中、上游水平。同時(shí)借助這次行動(dòng)的契機(jī),提升網(wǎng)絡(luò)安全的防護(hù)水平,在未來數(shù)字化轉(zhuǎn)型升級的旅程中管理好風(fēng)險(xiǎn)。
參與護(hù)網(wǎng)行動(dòng)的企業(yè)組織采用了如下策略進(jìn)行自我安全評估:
-
敏感信息梳理
- 收斂供給面
- 資產(chǎn)脆弱性檢測與加固
- 網(wǎng)絡(luò)縱深防御
- 安全防護(hù)覆蓋面及有效性驗(yàn)證
- 集權(quán)系統(tǒng)重點(diǎn)防護(hù)
- 安全培訓(xùn)
普遍的共性結(jié)論是當(dāng)前在互聯(lián)網(wǎng)出口集中防護(hù)、數(shù)據(jù)中心安全域改造和態(tài)勢感知、多場景的雙因素認(rèn)證、保障團(tuán)隊(duì)規(guī)模等當(dāng)面仍存在短板。有幸我們的安全團(tuán)隊(duì)參與三個(gè)安全整改項(xiàng)目的實(shí)踐。
- 雙因素認(rèn)證 - 多場景
- 安全態(tài)勢感知平臺
- Tie2 - 異構(gòu)防火墻
客戶現(xiàn)有信息化系統(tǒng)是經(jīng)過多年不斷演變而來,歷史遺留問題一定存在。單個(gè)重要場景雙因素認(rèn)證是急需實(shí)施安全整改,但是內(nèi)部還存在多個(gè)場景需要統(tǒng)一覆蓋,具體挑戰(zhàn)如下:
挑戰(zhàn)、痛點(diǎn):
-
VPN接入(Palo Alto,深信服)、虛擬化應(yīng)用/桌面(Citrix VA/VD,Citrix Gateway)、等;
- OWA、Office365(中國和國際版)、郵件系統(tǒng)、SSO、等;
- WiFi、有線網(wǎng)絡(luò)接入、等;
- 私有云基礎(chǔ)設(shè)施:堡壘機(jī)(齊治)、虛擬化(vCenter)、交換機(jī)(Cisco)、等;
- 公有云Azure基礎(chǔ)設(shè)施:Azure AD、管理Portal、等;
- 注重使用的體驗(yàn),保持原有使用習(xí)慣。
業(yè)務(wù)系統(tǒng)眾多,但帳號源各異共存,缺乏統(tǒng)一加強(qiáng)對帳號安全保護(hù)的方式。經(jīng)過實(shí)踐,我們網(wǎng)絡(luò)安全團(tuán)隊(duì)針對該需求推薦了寧盾的解決方案。
通過雙因素認(rèn)證以及單點(diǎn)登錄方案為多套應(yīng)用系統(tǒng)提供統(tǒng)一入口,在業(yè)務(wù)系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備等現(xiàn)有帳號密碼認(rèn)證基礎(chǔ)增加一層動(dòng)態(tài)密碼保護(hù),是目前解決該痛點(diǎn)理想方案。
經(jīng)過我們團(tuán)隊(duì)的PoC驗(yàn)證,我們幫助解決了如下客戶難題:
- 虛擬化應(yīng)用/桌面(Citrix VA/VD,Citrix Gateway);
- VPN接入(Palo Alto GP,深信服);
- OWA、Office365(中國和國際版);
- 公有云Azure基礎(chǔ)設(shè)施:Azure AD、管理Portal;
-
私有云基礎(chǔ)設(shè)施:堡壘機(jī)(齊治)、虛擬化(vCenter)、交換機(jī)(Cisco)、等;
-
通過自動(dòng)化和集中管理,大幅提高管理效率和成本效益;
- 短信、生物識別、企業(yè)微信/釘釘H5、掃一掃、手機(jī)App、手機(jī)App推送。
實(shí)踐:
使用 Azure MFA 作為 Citrix ADC 的認(rèn)證方法 - Azure NPS 擴(kuò)展作為 NetScaler 的 RADIUS 服務(wù):
當(dāng)前,權(quán)威部門舉辦的COVID19疫情防控新聞發(fā)布會,在及時(shí)通報(bào)疫情進(jìn)展、解讀政策條例、回應(yīng)群眾關(guān)切、科普辟謠、科學(xué)防控、穩(wěn)定民心、提振信心等方面發(fā)揮了重要作用。網(wǎng)絡(luò)安全態(tài)勢感知平臺與疫情防控新聞發(fā)布會有很多異曲同工之處,所以幾乎所有參加護(hù)網(wǎng)行動(dòng)單位在集團(tuán)都建立了全局安全態(tài)勢感知平臺,全面覆蓋下屬二、三、四級單位。但是,在運(yùn)營實(shí)踐后也遇到如下挑戰(zhàn):
挑戰(zhàn)、痛點(diǎn):
-
集團(tuán)下屬單位反饋安全告警事件數(shù)量(成千上萬)過多;
-
安全事件的準(zhǔn)確性不高,誤報(bào)率高;
-
安全事件的調(diào)查需要的天數(shù)(4-5天)過多;
-
孤立的工具,復(fù)雜且手動(dòng)任務(wù)耗時(shí)過長;
-
僅能提供監(jiān)控,不支持聯(lián)動(dòng)和阻斷威脅的功能;
-
自動(dòng)化響應(yīng)幾乎沒有,完全靠人工手動(dòng);
-
對于現(xiàn)有基礎(chǔ)架構(gòu)團(tuán)隊(duì)的技能要求過高;
-
缺少低門檻的安全運(yùn)維平臺;
-
給實(shí)際網(wǎng)絡(luò)責(zé)任人提供合適的工具。
應(yīng)對、方案:
鑒于以上痛點(diǎn),下屬單位會再部署一套Tie2 異構(gòu)的安全態(tài)勢平臺,主要目的是能夠充分運(yùn)用本單位現(xiàn)有基礎(chǔ)架構(gòu)隊(duì)伍人力資源,盡可能覆蓋當(dāng)前所遇到的挑戰(zhàn)。
GTI網(wǎng)絡(luò)安全團(tuán)隊(duì)所踐行的解決方案為Palo Alto Cortex 2.0。通過統(tǒng)一網(wǎng)絡(luò)、端點(diǎn)和云數(shù)據(jù)找到并阻止隱蔽性攻擊,平臺擴(kuò)展的檢測和響應(yīng)功能幫助用戶的團(tuán)隊(duì)排除干擾,專注于應(yīng)對真實(shí)威脅。其優(yōu)點(diǎn)如下:
-
利用分析檢測高級攻擊:通過 AI、行為分析和自定義檢測發(fā)現(xiàn)威脅;
-
警報(bào)頻率降低 50 倍:顛覆傳統(tǒng)的統(tǒng)一事件引擎可以將相關(guān)警報(bào)進(jìn)行智能分組,避免產(chǎn)生警報(bào)疲勞;
-
調(diào)查速度提高 8 倍:利用根本原因分析全面掌握攻擊情況,快速驗(yàn)證威脅;
-
阻止攻擊的同時(shí)不降低性能:使用輕量級代理可獲得最有效的端點(diǎn)防護(hù);
-
最大化投資回報(bào)率:使用現(xiàn)有基礎(chǔ)架構(gòu)進(jìn)行數(shù)據(jù)收集和控制,將成本降低44%。
在 MITRE ATT&CK™ 評估的第二輪中,Cortex XDR再次受到考驗(yàn),這一次是針對被稱為APT29 aka Cozy Bear 或者 The Dukes 的威脅組織所使用的戰(zhàn)術(shù)和技術(shù),該組織以其隱蔽、復(fù)雜和高度定制的攻擊而聞名。評估涉及兩個(gè)完整的攻擊場景,利用 MITRE ATT&CK™ 框架中的58種獨(dú)特技術(shù)。在這次評估中,沒有其他供應(yīng)商比Cortex XDR更能實(shí)現(xiàn)更高的攻擊技術(shù)覆蓋率,因?yàn)镃ortex XDR管理的威脅搜索服務(wù)將自動(dòng)產(chǎn)品檢測和濃縮功能強(qiáng)大地結(jié)合在一起。(如下圖)
https://blog.paloaltonetworks.com/2020/04/cortex-mitre/
該態(tài)勢感知平臺可以嚴(yán)絲合縫地變化為安全運(yùn)營平臺。依賴于三個(gè)基礎(chǔ)產(chǎn)品:端點(diǎn)安全、下一代防火墻、態(tài)勢感知。最大的特點(diǎn)在于三個(gè)產(chǎn)品之間能夠完成無縫地聯(lián)動(dòng)、隔離、阻斷的功能,成為一套適用于日常使用的安全運(yùn)營管控平臺。(如下圖)
打個(gè)比方,為控制疫情的大面積爆發(fā),就是嚴(yán)格的執(zhí)行了所有交通對人流的檢測和控制(網(wǎng)絡(luò),Palo Alto和Check Point、Fortinet、Cisco FW),所有社區(qū)內(nèi)部對人流的檢測控制(端點(diǎn) Traps),這兩者的信息檢測和控制數(shù)據(jù)匯總到了大數(shù)據(jù)平臺(Cortex XDR),很好的實(shí)現(xiàn)了數(shù)據(jù)的多樣性和完整性,從而才能分析出專業(yè)可靠的結(jié)論,為人員的疫情控制策略發(fā)布(威脅處置)提供了重要決策依據(jù)。重點(diǎn)再重復(fù)一次,該安全運(yùn)營平臺具備了隔離、阻斷的能力。
實(shí)踐:
經(jīng)過實(shí)踐后客戶一致把建設(shè)安全運(yùn)營平臺設(shè)為目標(biāo),根據(jù)自身具體情況分階段來建設(shè)。除了向客戶提供 Palo Alto 安全運(yùn)營平臺外,我們網(wǎng)絡(luò)安全團(tuán)隊(duì)可為客戶交付如下安全管理服務(wù)。
-
全年全天候監(jiān)控和警報(bào)管理;
- 調(diào)查 Cortex XDR 生成的每個(gè)警報(bào)和時(shí)間;
- 了解您所處環(huán)境的專注、主動(dòng)的威脅搜尋專家;
- 指導(dǎo)性或完成的威脅補(bǔ)救措施;
- 減少 MTTD 和 MTTR;
- 自定義調(diào)整 Cortex XDR 以增強(qiáng)防御能力、可視性和檢測能力;
-
直接與我們的分析人員和取證專家聯(lián)系;
跨網(wǎng)絡(luò)、端點(diǎn)和云資源的可視性和覆蓋范圍。
無論是安全行業(yè)的最佳實(shí)踐,還是法規(guī)遵從(等保、護(hù)網(wǎng)行動(dòng))都是建議數(shù)據(jù)中心采用異構(gòu)防火墻至少2個(gè)品牌的安全架構(gòu)設(shè)計(jì)。
挑戰(zhàn)、痛點(diǎn):
-
經(jīng)過多年的沉淀,互聯(lián)網(wǎng)區(qū)域各種類型安全設(shè)備太多;
-
面對互聯(lián)網(wǎng)的出入口,如何確認(rèn)安全設(shè)備的“前/后”位置;
-
安全區(qū)域如何劃分更加合理,更方便運(yùn)維和排錯(cuò);
-
面對新型網(wǎng)絡(luò)攻擊,傳統(tǒng)端口防御方式無效;
-
關(guān)于零信任網(wǎng)絡(luò)策略該如何落地;
-
如何與態(tài)勢感知平臺集成聯(lián)動(dòng)。
應(yīng)對、方案:
Tie2 異構(gòu)防火墻并不是新話題,GTI網(wǎng)絡(luò)安全團(tuán)隊(duì)推薦的解決方案是Palo Alto NGFW (硬件、虛擬機(jī)、公有云版)。隨著業(yè)務(wù)和技術(shù)的發(fā)展和更新,在整改和建設(shè)的過程中原則更新如下:
-
將互聯(lián)網(wǎng)流量按照“入/出”進(jìn)行分離,采用不同的安全等級防護(hù)(“嚴(yán)進(jìn)寬出”),同時(shí)考慮便于運(yùn)維和排錯(cuò);
-
一層為傳統(tǒng)端口型4層防火墻,一層為7層防火墻(NGFW)。既能提高檢測能力,又能降低投資成本;
-
NGFW 必配 IPS 和防病毒功能;
根據(jù)業(yè)務(wù)類型,應(yīng)用數(shù)據(jù)的敏感性劃分不同安全等級的區(qū)域;
-
關(guān)鍵性區(qū)域?qū)嵤┝阈湃伟踩呗裕ń饷?、?yīng)用ID、用戶ID、內(nèi)容ID),對所經(jīng)過的網(wǎng)絡(luò)流量始終檢測并僅賦予最小權(quán)限;
-
同時(shí)具備檢測已知、未知威脅、監(jiān)測與分析APT攻擊的能力;
-
防火墻既作為網(wǎng)絡(luò)上探針,又能扮演阻斷設(shè)備,與態(tài)勢感知平臺實(shí)現(xiàn)無縫集成;
整體方案既能在私有云交付,也能在公有云中落地,并保持安全策略的一致性。
實(shí)踐:
經(jīng)過實(shí)踐后客戶一致把建設(shè)安全運(yùn)營平臺設(shè)為目標(biāo),根據(jù)自身具體情況分階段來建設(shè)。除了向客戶提供 Palo Alto 安全運(yùn)營平臺外,我們網(wǎng)絡(luò)安全團(tuán)隊(duì)可為客戶交付如下定制化解決方案。
保護(hù)從本地基礎(chǔ)架構(gòu)到云、端點(diǎn)和 IoT 的所有方面,確保交付有品質(zhì)的管理服務(wù)和業(yè)務(wù)高可用性、以及主動(dòng)合規(guī)。
我們的技術(shù)經(jīng)理Ding Yi帶領(lǐng)上海Cloud Infra、Security 2個(gè)團(tuán)隊(duì)已經(jīng)完成了為該用戶的平臺搭建和驗(yàn)證(Azure上海)。
疫情期間在Azure China的大力支持下,我們云基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)安全團(tuán)隊(duì)為大家準(zhǔn)備了定制化企業(yè)級應(yīng)用混合云部署解決方案。無論您是我們的老客戶,還是新朋友歡迎與我們團(tuán)隊(duì)任何一位成員聯(lián)系并咨詢,應(yīng)用場景合適的即刻提供5仟人民幣的Azure體驗(yàn)金,趕快行動(dòng)。(團(tuán)隊(duì)成員具體聯(lián)系方式在本文章的末尾處)
我們的技術(shù)經(jīng)理Ding Yi帶領(lǐng)上海Cloud Infra、Security 2個(gè)團(tuán)隊(duì)已經(jīng)完成了為該用戶的平臺搭建和驗(yàn)證(Azure上海)。
疫情期間在Azure China的大力支持下,我們云基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)安全團(tuán)隊(duì)為大家準(zhǔn)備了定制化企業(yè)級應(yīng)用混合云部署解決方案。無論您是我們的老客戶,還是新朋友歡迎與我們團(tuán)隊(duì)任何一位成員聯(lián)系并咨詢,應(yīng)用場景合適的即刻提供5仟人民幣的Azure體驗(yàn)金,趕快行動(dòng)。(團(tuán)隊(duì)成員具體聯(lián)系方式在本文章的末尾處)