随着IT环境的不断改变,安全的策略也在不断改变:从最早的终端防护,到针对流量进行的安全防护,防护的对象或者防御基于的核心在不断改变。如今的安全核心在渐渐转向企业的信息资产——企业在生产与业务运作过程中所使用以及产生的和信息技术相关的有价值的主体。
在网络环境中,企业的各类业务、生产流程都需要依靠信息资产进行运作,而业务和生产又是企业的重要盈利途径,因此对于信息资产保护的重要性对企业不言而喻。另一方面,等保2.0的发布,使得企业又要根据自身的IT环境以及信息资产,部署相对应的合规保护方案;因此,基于信息资产的保护已经上升到了法律要求的高度。
不清楚保护对象,何谈安全保护?
——安全牛主编李少鹏
本周一,安全牛系列会议CS·11就信息资产的安全管理问题邀请了慧盾、知道创宇、齐治科技、安恒信息与美创科技五家企业进行了分享。
一、慧盾:视频监控信息资产的安全解决方案
视频监控在全社会中的使用越来越广泛,同时越来越多的视频设备被暴露在网上,大量的视频设备无人监管,成为攻击者新的 “肉鸡”。
随着天网工程的建设,中国已经建成世界上规模最大的视频监控网,为社会的安全性带来了保障。但是,谁又来保障这些摄像头的安全?
慧盾在本次CS11大会上分享了他们的视频监控信息安全解决方案。慧盾的理念是将技术防护和资产管理相结合,通过资产管理这个前提,用好技术防护这个手段,才做好视频监控信息的安全。
从结构上来看,慧盾将视频监控安全分成三个部分:视频采集安全、视频核心安全、视频应用安全:
1. 视频采集安全:将视频能力接入安全网关,与摄像头直连,支持室外部署。同时,在视频监控机房内部署视频汇聚安全网关。最后,根据网络防护需求、网络改造现状,选择视频接入安全网关或视频汇聚安全网关。
2. 视频核心安全:在视频的中心机房、网络边界、解码与显示器之间部署各类安全网关,同时在操作终端上部署防泄密系统对视频监控信息实现防篡改、防泄密、事件追溯等功能。另外,在监控中心机房部署视频安全可视化平台,对资产和安全进行统一的可视化。
3. 视频应用安全:视频信息可以做进一步使用分析,比如人脸识别。因此,对于视频数据需要一系列的大数据安全管理,包括审计、脱敏、节点安全、交换安全、运维安全以及安全可视化平台进行管理。
慧盾的安全解决方案已经在各类强视频监控场景落地,包括公安、雪亮工程、智慧交通、平安校园、智慧城市等。
二、知道创宇:从漏洞看网络空间测绘价值
知道创宇从另一个不同角度分享了网络空间测绘的价值。
一般而言,我们会用网络空间测绘来观察整个网络空间中的资产状况——这是一种静态的情况。然而,整个网络空间是动态的,一直在变化,知道创宇则通过漏洞这个点,基于网络空间测绘发现了更多的信息。
一旦一个新漏洞被发现并被利用,通过发现某地区受威胁的设备数量,就可以了解到该地区的互联网落地状况——这是一个相对静态的观察。如果以时间为维度,进行动态观察——比如观察24小时后,依然受影响的设备数量,通过和第一天的状况进行对比,就可以了解到该地区的应急响应能力。如果在这之上,再通过资产类型的分析,进行行业归类,就可以了解到该地区哪些行业的漏斗修复能力最强,从而从多方位对该地区的安全能力进行掌握。
更进一步而言,网络空间测绘在国家安全方面也有更重要的价值。以近日委内瑞拉遭受勒索病毒攻击断电事件为例,根据知道创宇的观测,在断电期间,依然在数个地区探测到大量banner信息。由于很多工厂、基建设备都会有自己的紧急电源设施,因此在断电期间依然能够运作;因此,一旦在停电期间在某地区发现了大量的设备运作信息,那么那些地区很可能会存在工厂、基建设施等,从国家安全层面而言,直接暴露了自己重要的战略设施。
从知道创宇基于漏洞对网络空间测绘的使用可以发现,在未来的网络空间对决当中,网络空间测绘的价值至关重要;通过网络空间测绘,可以进一步挖掘全网的安全态势,以及重点设施的位置。
三、齐治科技:以资产数据为核心的数据中心资产安全风险管理
齐治科技提出了以数据为核心的解决方案,通过掌握资产相关的数据,对资产安全风险进行有效控制。
基于这个理念,齐治科技的资产安全方案分为五层:最底层的数据源层包括了主机、网络、数据库、中间件等;基于数据源层之上是数据采集层,对目标资产的类型和通讯协议进行原始数据的获取;第三层是数据分析层,通过大数据分析、机器学习等技术对各类资产安全数据进行关联分析和深度洞察;在分析层之上通过应用层进行进一步封装,从资产画像,风险账号,基线核查,漏洞分析,可疑进程等各个角度来评估数据中心内的资产所存在的风险;最后通过顶层的资产安全风险洞察系统对全资产进行管理。
在技术特点方面,齐治科技重点在四个“度”上:
1. 数据定位的广度:企业使用的硬件、软件都来自大量不同的厂商,因此对资产数据的了解要有相当的广度。齐治科技通过对自身在国内2000多家客户的调研,获取了他们的资产类产品的清单,并且依此展开适配工作。
2. 数据采集的深度:根据不同类型的资产,需要采集的具体信息是不同的。齐治科技根据安全行业内的标准以及相关厂商的加固建议,对采集项目进行了汇总,并且根据不同类型的目标资产,提供了不同的采集方式。
3. 数据分析的角度:在数据分析方面,根据不同风险的类型,齐治科技提供了不同的工具和技术进行分析。通过风险账号、异常日志、异常链接、病毒文件、高危漏洞、可疑进程等多个角度的分析,帮助安全管理人员从宏观上把握资产安全状态的同时,又可以从微观上对风险内容进行研究判断。
4. 数据展示的维度:仅仅对资产进行整理和分析是不够的,安全管理人员也需要一个能对数据更直观的了解。齐治科技为安全管理人员提供了从指标、业务、类型三个维度的视角去观察数据中心资产的安全状态。
四、安恒信息:网络空间测绘在打击网络犯罪的落地
知道创宇对网络空间测绘的分享可以理解为基于漏洞对整个网络空间安全态势的分析,从一个宏观视角通过网络空间中的资产运行状态和安全状态分析分析特定区域的网络安全能力。安恒信息的分享则从打击网络犯罪的角度分享了对网络空间测绘技术的实践。
通过对网络空间中资产的测绘,安恒信息可以帮助政府和机构快速识别区域内受到攻击的资产;在发现被攻击资产的基础上,可以通过攻击方式、攻击来源等信息进行溯源,发现区域内存在的APT攻击情况以及进行攻击的APT组织。
在另一起案例中,安恒信息协助当地网安,对赌博app进行了各种分析,再通过对阿里云上的服务器以及相关地点的服务器进行取证分析,在近一年的追踪时间里,破获了一起跨境网络博彩案件。该案件涉案金额高达70亿,涉案人员上千人。
另外,越来越多的传统犯罪也开始通过网络进行蔓延,尤其是非法集资、网络传销等网络涉众型经济犯罪频发;而利用网络空间测绘技术则能极大地打击网络经济犯罪。在网络空间测绘的基础上,安恒信息可以对网络空间进行多渠道探测,发现潜在的违法网站;再基于网络违法犯罪特征建模,结合多方数据研判分类;之后做到预警预测、主动精准打击、犯罪态势感知以及舆情监测。从实践上来看,发现全国可疑网络传销线索1.3万余条,梳理出可疑目标近3000条,成功打击“五行币”、“善心汇”、“云联惠”、“中佳易购”、“麦点商城”等网络犯罪网站、组织,涉案金额上亿元。
五、美创科技:从暗数据中提炼数据资产
前四家在会上的分享主要针对了企业的设备、服务等资产。但是,在大数据时代,资产还有新的一种形式——数据资产。
并不是所有的数据都是数据资产,只有真正有价值能利用的数据才能被称为是数据资产。大部分组织和机构所用的数据有52%是价值不明确的暗数据——即在常规业务活动中收集、处理和存储,但通常无法用于其他用途的信息资产,还有33%冗余、过期或不重要的陈旧数据。对于数据资产治理的第一步,就是从杂乱的数据中提炼出数据资产,并且对其进行保护。
美创科技的解决方案正是将暗数据进行整理,建造出可以利用和防护的数据资产结构:
1. 数据资产探查:通过流量扫描、文件扫描、端口扫描和机器学习等方式将分布在云、大数据平台、文件服务器、数据库和个人电脑中的数据进行探查收集,将所有数据统一。
2. 数据资产识别:将数据与业务系统、业务流程、业务关系等相关联,以业务为导向,完善数据字典。
3. 数据资产分类分级:在数据资产根据相关性进行分类的基础上,需要对数据资产的敏感性进行分级,从而采取针对性的防护,最大效益地对不同敏感度的数据进行防护。
4. 梳理结果应用:在获取数据资产的基础上,不仅可以对数据资产进行更进一步地分析,发现有价值的业务数据信息,更能对需要保护的数据资产进行安全防御工作。
在美创解决方案的帮助下,企业可以能够将自身数据资产大幅度扩大,增强自己业务能力的同时,对自身的数据有全面地安全保护能力,减少因为暗数据泄露而产生的隐患。
安全牛评
信息资产是企业在互联网环境中发展的必要因素,一旦信息资产缺乏应有的保护,那么企业的安全运营就无从保障。从微观来看,一个企业需要对自身各类信息资产有足够的了解,并且根据不同的类型进行防护。尤其在物联网、大数据的潮流下,设备数量大大增加,数据类型、数量也呈井喷趋势,如何应对这些原本可能不是问题的问题,也是对组织和机构的一大挑战。另一方面,全网的网络空间测绘也是维持社会安全和国家安全的必要工具:对内的网络空间测绘可以提前监测潜在网络犯罪组织并且主动打击,对外则可以感知不同国家和地区的安全能力,对自身的安全能力在全球中所在的位置,有一个更清晰的认识。
相关阅读
