0x1本周话题
话题:大家升级WAF这类设备的版本和规则库,需要业务部门做业务的验证吗?
A1:我们一般看WAF串联在哪些业务应用上,然后评估对应的规则库或版本更新可能影响的业务应用功能,更新后通知业务部门看一下对应应用功能有无影响。一般情况下不会影响应用功能,主要还是影响系统可用性,系统可用性主要是通知应用运维岗协助验证一下。
A2:版本应该不需要,核心还是规则库中的规则模式,不确定现在商业WAF自带规则的可见性和对其可配置性,一般新规则都进行灰度(比如先开监控模式/观测模式),看看命中情况分析一下。让业务评估,如果没有信息也没法有效评估的。
A3:现在就是有监管定义的重要业务系统在这上面了,领导要求比较高,然后业务评估还有一层分摊责任的用意。
版本我们领导倒是提了另外一个,就是有效性验证那事情,说万一升级了版本,防护没了或者防护能力降低了。
Q:如果安全人员无法提供有效信息,业务方根本无从下手,无法评估,或者说安全为什么不能评估?
A4:这东西应该也可以套用一个责任模型,如果想让业务评估,那么业务评估需要什么信息才可以评估,我相信换位情况下,只知道升级这个事情应该无法评估,还要具体看升级带来哪些新规则,是否会命中业务现在的请求,所以最简单就是新规则/引擎先开监控模式。
传统WAF还行,现在有些新WAF说语义分析的,就有点像盲盒了。这种情况下,别说业务,安全都没法评估,可评估的前提是建立在理解和对信息掌握的情况下。
A5:目前我们用的WAF是国外产品,每一条规则的条件、参数、准则都明明白白的。后面估计只能买国产的了,有点慌。确实不透明。不过也不是完全没办法,如果一定有很高的要求,考虑在测试环境或者准生产环境布一套WAF,升级的之前优先更新测试环境策略,邀请业务测试验证。
A6:测试环境验证对业务来说成本有点大,特别是业务复杂的情况下,安全会额外增加业务的成本,而且不一定效果好。
A7:我们是国产加国外,策略上都是先试运行一段时间,分析告警情况,然后调优策略,开启拦截。每次涉及策略变动需要先评估然后业务观察。很多国产WAF 的默认规则,好多只敢开监测模式。
A8:安全团队/人员对安全能力的可控能力有时候和安全产品的能力是冲突的,就像WAF,商业WAF有机密性,所以不可能让大家都很了解透彻,反过来导致的问题就是安全人员对WAF的可控性差一点,带来问题就是业务拦截情况下不太好调整WAF规则。
Q:领导希望开阻断后,业务自己去验证业务有没有问题,只是观察还不行。
A9:抢话语权,不担心被业务投诉。不过,业务验证也只能做核心业务,都做是不现实的,要考虑投入产出。我们目前没有强制业务测试,但是测试也串了WAF,策略优先更新测试区域的,想的是如果真的有异常命中,也好提前干预,不过目前没有发现特别的。
A10:现在是流程的问题,领导认为要业务帮验证,还要安全自己做防护有效性验证。
A11:测试环境做一次全量回归,安全成本也很大。说起来我们这几年都是直接升级的,除了极个别非核心的外采系统存在开发不规范的,没影响过业务的,WAF如果告警了会去追究是否符合开发规范。
当然,如果标准答案肯定还是得按这个,lake2运营方法论总结:
关注落地,解决实际问题
抓大放小,抓准主要矛盾
控制增量,先增量后存量
原生安全,出厂默认安全
灰度放量,策略灰度发布
群策群力,协同业务参与
借力复盘,观外例审自身
不断学习,紧跟技术发展
纵深防御,策略多维设防
关注未知,保持敬畏之心
Q:如果规则库升级比较频繁的话,每次找业务验证的话,他们会配合吗?
A12:用变更管理解决,流程必须,跟愿不愿意没关系。但是waf每周升个规则库,所有业务验一遍?我无法想象。
A13:一般不都是用前日流量回归跑一遍么?还有种方法就是新策略先只识别不拦截。这种安全的问题找业务也没用。
A14:上面讨论的主要是责任问题,业务背书了验证通过,那就算影响到业务也不能让安全担责了
Q:业务没能力背书。杀毒软件更新杀毒策略会找终端用户背书吗?
A15:这个不会,有影响有误杀再说,因为影响的只是个别员工而不是挣钱业务,而且多少软件有点问题员工自己有责任。
两者不一样,WAF影响的业务是自己开发的。大家怕的是,WAF一更新,出业务连续性事故了,如果tps小于1,内部应用那也不用折腾。
A16:那铁定是安全的问题了,赖不到业务头上。
A17:所以才会提出让业务验证再正式上线。当然,与业务达成一致,前日流量重放没影响就没影响,也是个好实践好方法,这个能落地。
0x2 群友分享
【安全资讯】
-------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于企业邮件客户端安全防护方案、应用系统日志记录基线要求的探讨 | 总第194周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):WAF类串联安全设备规则升级,如何验证对业务应用的影响? | 总第195周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论