【安全说】策略可视化在挂图作战中的实践与思考
好看的皮囊千篇一律,
有趣的灵魂万里挑一。
抛开现象看本质,
网络安全的灵魂是什么?
如果把防火墙等硬件看作皮囊的话,
它们的灵魂就是安全策略,
没有灵魂的防火墙是脆弱的、无用的,
也是孤独的。
基于对当前防火墙策略管理现状的分析,
我们总结了九大“孤独问题”。
第四期【安全说】邀你探讨这“独孤九式”,
以下欢迎欣赏。
讲师简介:李源,20年网络安全领域从业经验,长期担任中国人民大学MBA学位评审委员,现任北京安博通科技股份有限公司资深顾问。
凡是不以策略管理为目的的防火墙,都是“耍流氓”。
这些打引号的“流氓行为”包括:策略只增不减,有人开通,无人回收,日积月累产生大量无用策略。政策落地难,由于缺少自动化工具,实践中较难达成策略最小化与合规性要求。需要大量试错成本,策略变更过程中,经常出现策略不生效、影响其他策略等问题。无力精细化管理,在不了解网络全貌的情况下,很难精细到端口和协议。
IDC早在2018年,就建议安全厂商重视策略管理。Gartner在2019年预测“到2023年,99%的防火墙缺口/被突破是由防火墙配置错误引起的,而不是防火墙自身缺陷”,并定义了网络安全策略管理技术(NSPM)。在等保2.0中,也对策略管理有着明确要求。
从某种角度讲,防守者需要的不是防火墙,而是一套访问控制管理机制,防火墙只是这套机制的载体。我们将访问控制的决策心智,称为“策略中台”,或安全策略智能运维平台。
平台的目标是:实现全网异构设备访问控制策略的一体化全生命周期管理;实现面向业务视角的全局网络安全域拓扑架构可视;实现全流程访问控制策略自动化运维;加速数字转型的自动化、集约化、智能化进程,全面提升安全运维及防护保障能力。
平台采用大数据典型的三层架构模型:数据采集层、数据建模层和数据展示层,打通以资产、策略、路径、风险为核心的四大流程,且可以无缝对接第三方安全管理平台。
平台具备一个安全策略全局建模核心算法,以及多源异构设备的适配与管理、安全域拓扑建模、攻击面量化评估和无风险策略运维四大创新能力。
当我们从“以设备为中心”走向“以策略为中心”的管理模式,一切开始改变。有效解决了策略只增不减、访问控制关系不清、合规检查无从下手、策略最小化沦为空谈等长期痛点问题,通过安全策略的智能化运维,可以持续高效地控制风险并加以缓解。
作为可视化网络安全技术创新者,安博通多年来持续深入用户一线场景,特别是网络攻防实战场景,结合业务流程与管理规范,不断丰富着实践,已连续四年获得工信部网络安全试点示范项目,并在政府、军队、企业等多个行业获得成功应用。
安全策略智能运维平台已帮助用户管理超过25种品牌、10000台网络安全设备。据不完全统计,将应急响应效率提升了31%,策略合规性提升了49%,安全运维复杂度降低了35% 。
通过对安全本质的深刻分析,我们看到:安全是一种持续的过程,只是反映某个时间点和空间点的暂时状态,终极安全结果很难达到,这一点引发着我们的持续思考。
从军事思想出发,OODA是全球公认的军事作战方法论,虽然它完全起源于军事领域,但同样适用于网络攻防领域,美军的网络安全建设思路就很大程度上依据了OODA模型。从中可以得到几点启示:1、缩减攻击面是安全防护永恒的主题。在漏洞必然存在的情况下,降低安全风险的有效方法是缩小攻击面,安全防护体系不断完善的过程,就是攻击面不断缩小的过程。2、纵深防御永不过时。3、安全配置管理(SCM)是十年磨一剑的重要基础工作。SCM是安全能力的基础,缺少它一切只是空中楼阁。4、打仗靠地图。
在挂图作战中,我们需要将网络空间中的防护对象和防护措施可视化,从而打造全局视角,完善整体防护、纵深防御和主动防御体系。我们还需要融合空间地图、安全数据和安全能力,形成基于战术级地形分析的动态防御、联防联控和精准防护作战体系。
看过《三体》的朋友都知道,在空间带来的降维打击面前,一切都显得微不足道。回想过去多年的网络攻防对抗经历,或许只是在二维世界中竭尽全力,我们应该有人去仰望星空,去探索更高维度的攻防之道……
凯文·凯利曾在《失控》一书中写到:最稳定的状态,不是一成不变,而是总处于摇摇欲坠中。控制与失控,恰恰就是不断推动网络安全产业前进的动力。未来,我们将继续把失控领域的新发现和控制领域的新探索分享给各位,欢迎继续关注【安全说】,下次见。
欢迎前往安博通官网视频中心模块,观看完整视频。