之前把态势感知比作日志派 , 攻击溯源比作流量派 , 以为泾渭分明 。后来发现 , 还是自己肤浅了 。
【企业信息安全只需要懂8个字?】前阵子求教IBM , 交流QRadar , 开始没多久 , 一张PPT就吸引了我 , 因为刚想问是哪个技术派别的 , 结果PPT就给了答案 , 原来是个混合派 , QRadar强调日志和流量的结合 。
在安全这个领域 , 老外讲的概念是SOC(Security Operating Center) , 讲求的是人员 , 流程和技术的有机结合 。
以往讲安全 , 感觉更多的是做安全项目 , 但是这些系统往往都是聚焦于某个点 , 解决某个具体领域的风险 , 就好像病毒防护、漏洞扫描等 , 但不同系统之间相互孤立 。
随着网络攻击手段越来越隐蔽 , 单纯依靠某个点的安全防护 , 很难抵御多变的攻击行为 , 所以需要在现有的基础防护体系上建设一个全面 , 智能、可视化的安全运营中心 。
通过SOC , 为信息安全工作提供统一的运营平台 , 同时借鉴大数据 , 人工智能等新技术 , 全面提升安全态势的感知能力 。
其实 , 我觉得外国的SOC和我们国产的态势感知 , 大同小异 。
安全管理那点事
安全涉及的内容太多 , 对技术理解有限 , 谈谈日常工作中的一点心得 。
你过了ISO20000和ISO27001 , 你也过了等保 , 可是你实际的安全防护水平是什么?
对于IT内审 , 感觉每次都是揪着那些条条框框去卡 , 给不出啥针对性建议 , 如果审计本身已经不是面向实战 , 而是面向规则 , 那么有规则就很可能有漏洞 , 而有漏洞就一定有安全隐患 , 就像安全的专业人士也抨击友商 , 说他们是基于既有规则进行判断的 , 技术落后 。
是软件就有bug , 是系统就有漏洞 , 所谓的安全基线也是有时效的 , 安全防护也永远都是在路上 。
感觉隔三差五的就有安全威胁情报 , 然后就是一系列的安全处置 , 这背后考察的不仅是安全的识别和预警 , 更是在考察执行效率 。
记得2014年 , ShellShock刚被爆出来 , 那会我正在学习Puppet , 当时360就分享过他们如何给海量服务器快速修补漏洞的经验 。还有后来的WannaCry勒索病毒 , 不一而同 。
运维响应和执行效率其实是对安全的有效支撑 , 根据我的经验 , 技术上的解决方案不是问题 , 真正的问题其实是基线管理 。
可惜 , 在基线管理这个问题上 , 我并没有找到最佳实践 。只能说 , 在相对可控的时间范围内可以维持 。
不过 , 随着技术的演进 , 从主机、虚拟化、再到容器化 , 甚至是最新的FaaS , 我感觉未来 , 随着相关业务逻辑和基础架构的逐步解耦 , 会让基线升级的成本变低 , 从而使基线管理这个问题变得简单 。
总之 , 对于安全管理 , 不管是态势感知还是攻击溯源 , 除了安全产品和技术本身之外 , 最后都会聚焦到资产的识别和管理上 , 从而引发出海量资产管理的运维基线和效率问题 。
推荐阅读
- 服务器的安全端口设置
- 博美犬价格多少钱一只有什么影响因素,一只小的博美犬有多少元
- 二哈大概多少钱一只一只小哈士奇需要多少钱呢,哈士奇多少钱一只合适
- 阿拉斯加雪橇犬一只多少元,阿拉斯加犬好养吗
- 一只大型金毛多少钱,大型金毛理发多少钱
- 轮胎换一个还是一对
- 云电脑安全吗
- 三星安全文件夹有什么用
- 前轮轮距变形怎么钣金
- 低端车有没必要用全合成机油