访谈嘉宾:李冠星
记者:张桂玲
分析师:林海静
在传统的安全建设过程中,企业大多通过部署各类安全设备和系统,来构建自己的网络安全防护能力。在这种情况下,由于企业安全团队人力不足,分析工具有限,导致安全设备长期处于无运营或有限运营的状态,成为能力“孤岛”,出现安全事件时,只能匆忙应急。
随着对网络安全认知的不断深入,体系化防护思想逐渐成熟,为了让安全设备、系统、人员、制度、流程等多种因素有效协同,企业开始通过构建安全运营中心(SOC)来组织开展安全运营工作。
SOC的出现,提升了企业安全防御体系的实际防护效果,同时也对企业安全运营能力提出了更高的要求。如何让SOC像行业期待的那样发挥作用、如何促进SOC更广泛的应用和普及?对此,安全牛采访了融天安全事业部安全服务团队经理李冠星,就企业安全运营相关话题展开探讨,在他看来,企业在安全运营中的“工程化能力”需要进一步加强,服务商需要为用户提供更多系统化的建议和能力。
李冠星
融天安全事业部安全服务团队经理,资深安全专家,12年IT从业经验。曾参与及负责超过8个大型安全项目管理,主导或配合国家级重保项目2个以上。具有网络攻防和渗透测试项目实战经验,精通国内外SOC、SIEM安全管理产品,对银行安全需求和监管要求有较深入理解,对国际国内安全类标准规范(如ISO27001、公安等级保护标准、风险评估GB20274等)、金融行业监管要求规范(人行、银监会、公安部)等有较深入理解。
安全牛:很多企业表示,如今的安全运营工作比以前更加困难,不仅对专业人员的需求更大,新威胁的出现也让经验固化更加困难,您如何看待这种现象?
李冠星:我认同这一观点,原因有4点:
一是,由于威胁形势的快速变化,以及近3年来随着国内护网或者重保等活动的开展,企业对安全分析和运营的难度、标准都有所提升,导致现在安全分析和运营变得更加困难;
二是,攻击面的不断增加,以及0day漏洞发布后poc利用难度越来越小,留给企业的应急时间越来越短,安全团队只能咬牙紧跟外部动态和趋势;
三是,实战化攻防演练活动开展打开了安全行业的红利期,用户购买的安全产品逐渐增多,造成了安全设备的堆积。如果期间缺少对安全设备的持续运营和优化,安全告警数量会随着安全设备增加呈几何倍增长,导致安全运营工作量增加,进一步增加了这种矛盾;
四是,安全运营人才缺失,特别是复合型人才缺失,也进一步使得SOC运营更难。国内安全人才有一个典型特点,大多数乙方的从业者只了解和使用本公司的的产品,缺少多厂商多类型设备的运维经验,难以满足大多数甲方用户需求,所以培养一个复合型安全人才的时间成本和难度都很高,这也直接导致高端人才供需不平衡。
根据融天的实际经验,我们认为可以从以下两方面去应对:一方面,帮助用户建立一套协同式的安全运营中心,通过打通同业客户的运营规范、框架及配套文档和流程,来保障后续管理;另一方面,需要配套的安全运营工程化能力和手段来固化、度量当前的安全运营能力,并保障安全能力不会随着时间衰减。打通平台、人、流程的结合,通过工程化中的框架、流程、标准来嵌入到实际的工作中,实现管理驱动技术落地,以及技术反哺安全管理的完善,通过标准化流程来提效降本,并建立起协同式的安全运营方式。
安全牛:目前我国安全行业里并不缺乏SOC类的安全运营产品,但是真正能给用户带来良好使用体验的并不多,造成这一现象的主要原因是在用户还是厂商?
李冠星:现阶段,用户对SOC产品使用体验不好,一方面在于厂商设计产品时,往往过分追求专业化,而忽略用户体验以及实际运维者的技术门槛;另一方面,企业使用时缺少相关的知识储备和技能,不熟悉安全产品,导致“用不好”这类专业性产品,导致产品长期缺乏运营很容易就变成“砖头”。
用户希望使用那些易用、易上手、可控制的产品。同时,安全厂商需要能够提供一整套“工程化能力”,通过工程化的能力,赋能用户的安全运维工作;通过工程化能力,即使在安全厂商专业人员不在现场驻场的情况下,企业也能持续进行SOC平台的运维工作,能自己调整规则模型以及分析事件等,而不使平台安全能力衰减。
运营类产品对用户的价值是其立足的基石,也是一切商业行为的基础。从厂商的角度,更希望追求产品的标准化、统一化、硬件化,来使得利益最大化;从用户的角度,更强调贴身的、本地化适应性强、定制化的服务体验。他们的关系有重合、有矛盾、有平行。其实两者可以并行,价值为先,体验辅之,也就是说安全厂商在全力验证产品价值(MVP)的同时,在各方资源紧缺情况下尽可能地保障用户体验。因此,“产品+服务+人力”的运营产品提供模式会受到很多用户的亲睐。
安全牛:您认为,对于SOC这样的安全运营中心产品,能否有效落地的关键能力是什么?
李冠星:目前,企业在选择SOC产品会考虑的主要能力包括:日志智能范式能力、场景规则引擎能力、大数据分析能力、安全智能处置能力、安全可视化能力等。未来,工程化能力将是考量企业安全运营整体能力的重要指标。目前,我们看到,很多企业客户在实际运营工作中面临的难点包括:
重复式机械工作,成本增加:
每次开启新项目,都需要做一些重复性的工作,对采集日志的分析,客户现场的环境调研以及规则模型优化等,这些重复性的工作不仅增加项目成本,同时来无法在各项项目及经验复用。
无法质量统一,无法经验复用:
不同的实施人员或运维人员的风格大相径庭,同时国内的厂家日志格式对比国外厂商缺少行业标准及规范约束,导致国内的各大厂家输出的日志差异很大,这使得很多已有积累的日志范式化或规则无法直接开箱使用,难以跨项目或同业中复用经验及成果。
无法模块化/组件化使用,无法真正做到自主可控:
大多数甲方客户因为不了解产品的底层原理和逻辑,导致很多现实需要的场景或模型无法自主编写和把控,同时由于产品缺少一些模块化的功能来减轻用户上手的难度,使得大多数甲方客户都存在过度依赖厂家提供的服务与支持,这使得项目的质量和成果严重依赖厂家的售后支持程度。
为此,我们提出了工程化发展的安全运营思路,从标准化的统一和工程化层面,实现企业安全运营能力的提升。以融天最新推出的犀甲安全运营平台EZAccur为例,其中的规则引擎模型通过可视化配置规则支持逻辑关系、特征匹配、时序关联、频率统计等条件,满足各类场景所需的逻辑和特征的可视化编写。在服务方面,我们对规则能力要求高的用户通过培训、标准流程、文档和人力服务的方式,传递规则工程化能力,使得用户自身也能够掌握规则开发的方法、能力及流程,能够按照自身需求来定制适合的规则和模型,满足自主可控。
安全牛:网络安全的本质是“人与人”的对抗,人工智能技术在新一代网络安全产品中的应用已经是行业共识的必然趋势。对于新一代SOC产品而言,其智能化会如何体现?
李冠星:新一代SOC产品的智能化主要体现在4方面:一是,智能化能够降低人的参与,减少安全运营人员的工作量,提升工作效率,在安全人才紧缺的情况下,这一点很重要;二是,智能化能够补充一些功能,比如在日志产品中很多以特征为基点去写规则,如果引入大数据或者人工智能算法,就能补充非特征检测与分析,也就是说智能化能够作为 SOC 安全运营的补充和盲点检测;三是,智能化辅助决策,提升用户的决策质量和处置成效,比如在处置刚才提到的IP地址禁封时,人工智能就可以将之前的经验固化到系统中,对某些可疑行为进行筛选和处置,这就大大提高了安全运营人员的处置成效。
当前, SOC 安全运营的智能化其难点在于:一是,数据纯洁度不高,对于依靠海量样本形成算法的SOC产品来说,数据质量不高影响数据建模,导致误报很多,影响后续安全运营,需要高阶人员对海量样本进行有针对性的数据处理;二是,准确度有待提升,整个行业的生态环境建设成熟度不够高,需要对接和协同不同厂商,对数据进行采集、规范、丰富和处理;三是,对于高危威胁,AI只能提供参考,最终还是要依赖人做决策,这就使得其效果大打折扣。或者可以这样说,虽然智能化已经开展有一段时间了,但是收效甚微。
安全牛:除了智能化,新一代SOC产品还会呈现哪些特点?
李冠星:除了智能化,我觉得新一代SOC产品还有3个显著特点:一是协同化功能,它需要集成各类安全产品,如EDR、NDR等,需要具备协同化能力;二是情报化能力,新一代SOC产品要与云方案对接,在上云过程中,需要具备数据保护能力,以保护用户隐私,这就需要SOC产品具备威胁情报能力;三是大数据化能力,现在大数据框架、架构、技术已经成为一种基础能力,新一代SOC产品应该能够处理大数据,以大数据建造和构建安全能力,进行事件处置。
安全牛:托管安全服务被认为是一种降低企业安全建设成本、提升安全防护能力的有效途径,对于安全运营中心而言,是否会出现向云化、服务化发展的趋势?
李冠星:个人觉得云化、服务化是大势所趋,不过也面临着一些挑战。
从价值的一面来看,云计算或者托管式服务能够让用户省时、省力、省钱,用户可以省去建机房、配备专业人员及在流程方面的投入。同时,对于专业人才缺失、监管要求不是特别高的中小型企业、互联网以及医疗行业用户来说,云化是一件好事,未来他们还会持续使用云服务。
从挑战的一面看,云计算或者托管式服务还面临着一些挑战,特别是《个人隐私保护法》和《数据安全法》的出台,使得监管越来越严,数据存储在云端存在潜在风险,一旦暴露出来,就会有大量数据泄露。除此之外,云服务厂商自身的安全服务能力也需要提升,才能让用户对使用托管式服务的积极性和信心不断增强。
安全牛评
对一个组织来说,安全运营中心不仅是合规需求,也是企业威胁控制策略的重要组成部分。“安全防护”本来就是一个动态的过程,攻击手段在变,攻击方法在变,通过一个系统、一个方案解决所有问题并不现实。同时,目前很多SOC产品自身能力也需要完善,SOC的分析和筛查能力、自动化和集成能力、协同能力、针对用户个性化需求均需要提高。“工程化”能力在一定程度上能够满足用户持续安全运营的需求,同时配套相应的安全服务协助用户对产品的落地使用。
