0x00、前言
伴随着新基建项目的不断演进,IT信息安全业务也在不断的变化,从前几年的只销售安全单品、安全服务、安全解决方案到现今的销售基于IT基础设施的安全服务。这种安全服务,安全能力不仅仅包含安全产品、纯安全服务,还需要一整套基于IT基础设施的自研的安全解决方案,有时候还需要配合外采服务满足用户需求,同时业务方面需要与大型商业活动结合,安全防护级别达到护网行动的级别,同时做好政府部门对接工作。只有这样,我们才能把这种安全服务卖上500w~1000w价钱。
0x01、安全产品优化
在对外销售这种安全服务的时候,我们发现提升安全运营人员的工作效率是整个项目盈利的核心,安全产品优化的好,我们能节省的人力成本的投入就会少,反之项目会亏损。简单举个例子:如果要提供7*24小时的安全运营服务,一个项目周期为7天,14人/天,后台二线运营也至少2个人。如果安全运营人员都把时间浪费在给主机打补丁,处理防火墙策略,数据分级等基础预防性工作,那你的工作无法集中到运营监控方面,遇到问题也无法做深入思考,一旦发生入侵事件,无法有效的处理。这些前期工作都需要增加安全服务的工时。
那么针对安全解决方案,最快速搭建的方法就是使用公有云,公有云基础设施比较完备,安全服务也齐全,包括:主机安全、云WAF、抗D、扫描器、态势感知、数据库审计、堡垒机等,那么在做护网行动前,我们要做的一些安全预防性工作包括:安全镜像优化、人工渗透测试、自动化渗透测试、主机/云产品基线、安全组ACL设置、数据分级等。
先以安全镜像优化为例:
自动化安全产品:主机安全中主机漏洞,
目前存在的问题:
@1、主机操作系统的镜像制作周期一般一个季度制作一次,因为有几十种操作系统版本,每个版本需要经过严格的测试才能上线,从漏洞产生频率上看,每个季度大约CVE,2000+,RHSA 50+ ,USN 150+ 从涉及到的软件数量看,因为用户安装的软件是不可控的状态,五花八门的软件都有,这些软件的安装都会带来主机漏洞。
@2、漏洞库爬取后,如何有效判别该漏洞是否符合产品漏洞库的条件,靠人工方式确认,一般厂商也不会这么做,投入产出比太低。
@3、在护网期间,对配置变更服务器要有一定的审批流程。新加入的服务器,新安装的软件都要做严格的审查,业务方上线需要和安全有联动,使用重保安全镜像。同时在重保期间暂停漏洞库的更新,针对一些特殊情况,例如:云服务器上运行着Kubernetes,Pod重启会导致灾难性的后果。需要添加例外。
为啥要改产品:
@1、有些流程一旦被验证,自动化会提升安全运营效率。
@2、用第三方安全产品,产品更改的难度很大,所以一般都是第三方安全厂商的售前或者产品经理通过曲线救国的方式帮你变形解决相关问题。
@3、目前大部分安全产品没有针对护网的需求,做出产品化的调整。用户需要护网模式的产品。
其次消耗安全运营人员精力的是:配置安全组和ACL策略。
由于在公有云上防火墙策略已经与安全组和ACL策略耦合在一起,同时,业务系统在不断的变更,上线下线,给安全风险管控带来的诸多不便。今天哪个部门上了一个应用,需要开TCP8080端口对外服务,也不知会安全人员,系统测试发现上一直不通,查来查去,最后发现业务系统访问的数据库端口没有加入到安全组的开放列表中,这种崩溃的事情,在护网前期时时刻刻再发生。。。没有一个整体安全可视化的网络资产管理模块,帮助用户图形化管理安全组或者ACL策略。
产品解决方案:微隔离可视化管理
通过微隔离可视化技术帮助用户业务人员在上线业务的同时,做好安全控制。既提高了配置工作效率,也防止高危端口暴露在外,给红队小伙伴可乘之机。
产品的核心是可视化:
@1、需要支持自定义分组,例如:按照业务分组等,同时支持各种角色组,例如:数据库角色,web服务角色。
@2、工作负载与访问关系展示。
@3、访问边聚合的连接,以及访问方向和属性。
第三部分,就是存在公有云上的关键数据的分级分类整理,什么样的数据需要哪种级别管理,这部分早期护网行动中涉及的比较少,但是伴随着护网的深逐年入,拿到用户数据的情况也越来越多,据了解阿里云2020年护网行动中拿下所有目标的用户数据。
还有一种情况是,很多用户特别是大型用户上公有云后,在公有云上常年积累了很多数据,散落在对象存储,RDS数据库,大数据存储引擎中,,再加上各种应用在调用这些数据,短期内很难做分级分类处理,这就需要有一套自动化产品帮助用户梳理,保护。
产品解决方案:敏感数据保护系统
@1、敏感数据识别
@2、数据安全审计(主要包括对象存储和RDS)
@3、数据脱敏
数据分级是在数据防泄漏项目中最重要的一步,这一步的智能化程度高低代表安全运营工作效率快慢。特别是在护网前期准备阶段,需要对数据进行分级,最终决定数据保护的级别。比如用户比较关注自己CRM会员系统,一旦出现数据外泄,整个护网行动功亏一篑。
0x02、重新定义安全服务
这种安全服务,包含的安全产品需要为整体的安全服务效率负责,这里定义的安全服务,也不仅仅是人工渗透测试服务,还包含:业务安全规划、项目实施、应急演练、压测、复盘、线上护网级别的重保、网安国安政府对接事务性工作;同时,安全产品近期的规划也需要一个“护网模式”,通过安全能力产品化的方式赚钱,越来越难了,通过托管服务方式对外输出安全能力的时代将来临。