握筹布画，料敌于安全运营之间！《2021企业安全运营实践研究报告》先导篇

2021年9月30日06:50:19评论51 views字数 4948阅读16分29秒阅读模式

话说安全大势，日新月异，东西贯通。前有勒索软件，后有漏洞追击。安全运营借势高楼起，横扫天下，人人趋之若鹜。四杰出世，引领风骚；零信任之父，独占鳌头。锦马超一枪决战攻防，孙伯符霸略溯源反制。握筹布画看周郎，赵子龙长枪横扫八方。伯言火烧七百里，傲骨狂血魏文长。群英荟萃，乱世争锋。安全运营谁堪伯仲间？风流人物，还看今朝。

安全虎将

世间豪杰英雄，三国周郎赤壁。火矢朝敌，东风助澜，樯橹灰飞烟灭。一世之雄，而今安在？握筹布画，料敌于安全运营之间。莫愁安全无保障，天下何人不识君。

人物台词：

多么精确完美的防守，燃起来吧！

技能属性：

对攻击方叠加火焰标记，并减少其移动速度。

向指定方向召唤安全产品形成防御区，提升己方队友移速，并对攻方造成伤害。

下令发射追踪火矢反制指定攻击方向，并造成加倍伤害。

人物背景：

安全运营爱好者。

英雄战绩

“金融业企业安全运营建设思考”部分节选

企业安全建设的话题受关注越来越多，说明企业安全建设最后一公里的问题越来越被重视。今天分享讨论的内容包括三个方面

· 安全观安全

· 安全运营建设

· 企业安全建设思考

同时对金融行业安全运营的难点，安全合规、安全考核等问题做一些探讨。受限于本人自身的从业经历和所处行业，可能不具有普遍代表性，希望能给有需要的同仁一些参考帮助。

一、安全观安全

安全人员最重要的一点是安全问题解决的思路，以及看待安全问题的角度和高度，而不是掌握多少漏洞，拿下多少权限，这就是安全人员的安全观。

1.1. 安全本质

吴瀚清先生说：互联网本来是安全的，自从有了研究安全的人，就变得不安全了。SQL注入攻击自1999年首次出现后就成为互联网安全的头号大敌，注入攻击的本质是把用户输入的数据当做代码执行，开发人员设计的正常功能被恶意的人滥用。

再比如，钓鱼网站已成为很多金融机构的首要安全威胁，而在2011年以前，很多金融机构的安全人员甚至都没有考虑过这个问题。时至今日，都会觉得很无辜，企业的网站没有安全漏洞，是钓鱼网站的狡猾和用户的“傻”才会让犯罪分子有机可乘。

上面两个例子中，开发人员信任用户输入，用户信任钓鱼网站，导致安全问题。个人认为，安全问题的本质是“信任”的问题。计算机用0和1定义整个世界，而企业的信息安全问题是解决0和1之间的广大灰度数据，运用各种措施，将灰度数据识别为0（不值得信任），或1（值得信任）。信任是安全问题的本源。不同的信任假设决定了安全方案的复杂程度和实施成本，安全需要平衡。

1.2. 安全原则

安全观安全的第二个话题是安全原则，个人认为有三点，持续改进、纵深防御、非对称。

1.2.1 持续改进。

如何让一台服务器不被不明武装分子攻陷，有没有一个类似“照妖镜”的工具，一旦安装上就可以高枕无忧，让恶意的攻击者无所遁形，有没有一个万能的“上帝之手”，帮我们干掉所有安全问题？很遗憾，没有。在解决安全问题的过程中，不可能一劳永逸。很多安全厂商在推销自己的安全产品时，会吹的天花乱坠，似乎无所不能，从早期的防火墙、防病毒，入侵检测，到现在的态势感知、威胁情报，智能分析，安全防御技术本身并没有革命性变化，一套入侵检测技术包装个名词，能从IDS到IPS、SIEM，再到现在的威胁情报，本质上还是开发检测规则，异常模式识别。安全产品、安全技术需要不断的随着攻击手段的发展而升级，也需要有人来运营，否则安全就是稻草人，在变化的攻击手段前不堪一击。

比如绝大多数公司的分支机构，安全人员都是兼职的，日常运维能保障安全设备可用性就很不错了，还能奢望这些每天忙于救火的安全人员能看懂数量不菲的各种安全告警吗？还有比入侵检测告警日志更难看的日志？

早期基于系统漏洞利用的攻击是主流，安全防护对应以防火墙和入侵检测为主，对互联网只开放少量端口，互联网资产管理主要是IP和端口的管理。随着攻击主流转变为Web攻击，安全防护对应升级为Web安全防护，出现了Web应用防火墙（WAF），互联网资产管理也相应转变为对第三方应用和开发使用框架为主，不再是旧有的资产管理概念。问渠那得清如许，为有源头活水来，有效的安全是持续改进，针对变化的安全形势和矛盾进行调整。

1.2.2 纵深防御。

我们坐飞机，从购买机票到最终到达目的地，如何保障全体旅客安全的过程就是纵深防御的例子。从购买机票实名制、机场防爆安检、行李安全检查、人、票、证一致，到机场登机检查、飞机安全员、起飞降落不能使用手机等种种安全措施的实施，事无巨细，是纵深防御的具体应用。典型入侵案例场景中，攻击者利用Web应用漏洞，获得低权限WebShell，然后通过低权限的WebShell上传更多文件，并尝试执行更高权限的系统命令，进一步在服务器上提权，并进一步横向渗透，获得更多内网权限。这个典型的攻击路径中，在任何一个环节设置有效的安全检测和防御措施，攻击都可能被检测和阻止。目前在安全防护技术没有革命性发展的情况下，坚持纵深防御原则，从网络层、虚拟层、系统层、应用层，到数据层、用户层、业务层、总控层，进行层层防御，共同组成整个防御体系。

1.2.3 非对称。

对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的，而对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题。这种非对称导致攻击者和安全人员的思维方式不同，也是企业信息安全工作难做的根本原因，破坏比建设要容易，怎么扭转这种劣势呢？安全防护人员也需要非对称思维。解放军在和美帝对抗中发明了反介入战略，发展各类型导弹，特别是反舰弹道导弹，阻止美国航空母舰进入第一岛链，如果在国力不够的情况下，解放军耗尽国力，拼命造航空母舰和美帝对抗，搞军备竞赛，可能就落得苏联解体的下场了。发展哪些非对称的安全防护武器呢？各种“蜜”的产品应用而生了，蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件，在面对攻击时进行安全反制，恶意攻击者很难全身而退。据我所知，很多企业已经进行了商业化大规模部署并在实际对抗中取得不错的效果，这应该是未来安全防护发展的一个有益方向。

1.3. 安全世界观

我的安全世界观总结一段话是：信息安全就是博弈和对抗，是一场人与人之间的战争。交战双方所争夺的都是信息资产的控制权，也就是在博弈和对抗中，牢牢的把控住各类信息资产的控制权。

1.4. 正确处理几个关系

企业安全建设过程中需要正确处理几个关系：

1.4.1 科学与技术。

科学讲究严谨，艺术讲究美。安全既是一门科学，也是一门艺术。安全的科学性体现在安全工作无论安全体系还是具体安全措施落地都是严谨和严肃的，在企业安全建设中，有的开发和运维同事觉得在内网就安全了，已经拒敌于国门外了，从而放松了安全要求，实际中攻击者通过一些边缘攻击进入内网，从而进一步渗透入内部服务器的案例比比皆是。安全的艺术性体现在安全工作的权变，不是所有情况都适用同样的安全要求，需要不断的权衡利弊，选择当前情况下的最优。比如服务器安全基线根据所处安全域不同有不同的基线标准，漏洞跟踪处理时，安全部门通过补偿措施降低风险，从而允许一些业务系统带病上线，这都是权变的体现。

1.4.2 管理与技术。

安全管理与安全技术孰轻孰重？有的企业拼命搞ISO27001安全体系，发布各种安全制度政策，上各种安全流程控制，做各种安全审计和检查，搞得民怨沸腾，往往效果也不好。从事漏洞挖掘和攻防的人会觉得搞安全管理的人太虚，这也不会，那也不会，每天就是搞体系制度流程，能挡住我一个0day吗？会挖洞和写PoC吗？安全管理和技术更像是灯芯与灯油的关系，谁也离不开谁。安全政策和流程没有技术和自动化手段保障，无法有效落地，管理10台和10000台服务器的安全性，安全政策和流程肯定不能是一样的。在企业安全建设中，技术很多时候不是困难，至少不是最重要的点，而是需要不断的去说服影响开发运维和业务部门同事，如果技术人员能跳出技术思维，站在更高层面去思考安全问题解决方案，我相信安全人员的境界就提高了好几层。

1.4.3 业务与安全。

这个关系话题非常有意思。刚工作时我认为安全是为业务服务的，但安全会一定程度阻碍业务发展。随着认识加深，我的认知发生一些变化，安全是为业务服务的，安全更是业务的属性之一。不安全或没有安全考虑的业务就像不合格的次品一样，终究是要被市场淘汰的。本质上，安全是一项服务，安全服务是安全团队提供给用户和客户的一种服务类别，如果安全方案和安全要求设计时没有最大化这种服务的价值，那么在充分竞争的情况下，安全团队是要被市场淘汰的。

我经常问自己和团队，如果公司不是只有我们一个安全团队，我们安全团队在公司这个范围内不是垄断的，而是有其他安全团队也提供安全服务，在共同竞争的情况下，我们提供的安全服务还能被用户认可买单吗？我们传统中认为安全总是这也不能做，那也要控制，安全就是拖业务的后腿，安全总是降低业务发展效率，在企业中安全通常做成的就是这个样子。造成这种现状，企业安全主管首先要反思。这是因为安全团队设计安全方案和要求时，不是以业务和服务出发点，而是以安全团队省时省事，尽量少承担责任为出发点。后者设计出的安全方案当然是阻碍业务发展、降低效率。

如果一套安全方案和要求，能够在少降低甚至不降低业务发展的情况下，又能保障安全，业务团队，开发运维当然是欢迎的，谁愿意冒着巨大的风险强行上线新的业务呢。如果安全团队能和业务、开发运维一道剖析，站对方立场设计方案和执行要求，用户从心里是认可安全团队和安全服务的。实际中，我遇到很多这种情况，坚持安全服务的做法，会让安全团队之路走的更为顺畅。

1.4.4 甲方与乙方

乙方是指给企业提供安全产品和服务的一方，包括安全产品原厂、代理商、集成商和外包公司。甲方和乙方的关系我理解为灯芯和灯油的关系，谁离开谁都会失败。有好的灯芯和灯油，也会有差的灯芯和灯油，关键在于各守本分，各尽其责。见的较多的乙方老板是贵公司是我们的大客户，我们一定会服务好。乙方销售在旁边配合，我们的产品和服务是最好的，用我们绝对不会有问题。我再稍微问下，贵公司怎么服务好我们？你们的产品和服务好在哪？你们了解我们的实际问题和需求吗？基本上90%的就接不上话了，更有甚者，有的老板和销售的回答啼笑皆非，我们的产品和服务就是最好的，不用你们会后悔的。我还要保持心情平静的答复，你们的产品和服务我都了解了，挺不错的，希望有机会合作。听到较多的乙方抱怨甲方，主管啥也不懂，就知道不能出事，出事背锅。安全人员啥也不会，只知道指挥我们干活，把我们工程师不当人用。乙方眼里90%的甲方都是这个印象。

我无意为任何一方辩护，因为甲乙双方都是站在自己立场处理问题，无可厚非。甲方和乙方都需要检讨。我理解的甲方应该是对自己承担的职责负责，不管用什么方法方案搞定安全问题，要能识别什么是能搞定的方案和方案中靠谱一员的乙方，和乙方的关系挺简单，如果乙方能为甲方创造安全价值，那匹配等量的安全回报给乙方，如继续长期合作，否则对不起，多听你一秒都是浪费生命。我理解的乙方应该是对自己的承诺负责，要了解你的客户，不是签单成功就万事大吉，合同落地才是刚开始，甲方的辨识能力和社会的口碑传播效应越来越强的今天，做一锤子买卖只能让自己的路越走越窄。谁都不傻，不是吗？

在企业信息安全建设初期，在网络层、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维，并确保其稳定运行。但发现安全状况并没有得到有效改善，安全问题频发，其根本原因是没有进行有效的安全运营。企业如何建设有效的安全运营体系呢？

此外，随着金融行业的安全需求开始发生深刻变化，需要有效解决实际安全问题，对安全运营的需求逐渐增多。但我在微信群里经常遇到一个问题，为什么SOC或类SOC的项目容易失败？这个问题等同于安全运营的难点在哪？究竟需要什么样的安全和安全运营呢？

此处内容摘取于《2021企业安全运营实践研究报告》中“金融业企业安全运营建设思考”章节，由聂君根据多年安全运营研究心得及经验展现，更多详细内容敬请关注完整版报告。

更多安全群雄

敬请期待