一个10年陈酿的安全管理员:终端安全运营的实践和思考

从去年开始,团队对单位10多万终端安然防护进行了功能梳理、整合和优化

颠末几回北门例行碰(扯)头(淡)会的头脑风暴,我们抉择做一些履历交流的内容,主要梳理安然运营中的难点和痛点,争取探求几个轻易引起共鸣的子题目,用得当的案例先容我方团队若何摸索和实践安然运营

现在海内浩繁安然会议,各类高大年夜上的观点模型,日月牙异的新鲜词汇,真正落地时,就连最基础的终端防护是否能做好都要打上问号近期台积电病毒事故爆发,直接造成78亿新台币丧掉,究其缘故原由竟然是一个一年前已经宣布的补丁看似根基运营层面的马虎恰好反映出安然团队本身在风险评估和体系落地上的缺位九层之台,起于垒土,地基打好了,楼才能盖高,否则对象再多也是挥霍

我叫欧阳昕,是一个10年陈酿的安然治理员,趟过坑,扛过雷项目扶植和后期的运营事情比例约为3:7以下将结合项目履历,采纳问题场景复盘的模式,探究政府单位或大年夜型企业内部终真个安然运营实践

正文

开篇先简单先容一下终端安然的成长过程终端安然是信息安然的一个细分领域,呈现光阴较早,基础上伴跟着信息安然观点的呈现便随之应运而生在以前一段很长的光阴里,海内的防病毒就即是终端安然,终端安然就即是信息安然终究在信息技巧成长的早期,收集进击和黑客技巧还没有像现在一样日月牙异,大年夜型散播式利用系统还没有广泛应用并供给社会办事,种种要挟、破绽还没有引起从业者的广泛注重……以现在的标准衡量,那时刻仅仅是刚办理了互联互通的“温饱问题”,基于这种“自然前提”的约束,黑客们的对象和手段对照原始,能做的坏事对照有限,病毒成为最直接有效的“凶器”后来,跟着技巧的赓续进步,终端安然要挟的界限慢慢扩展,终端安然治理的措施论也徐徐成熟,在一个由海量终端组成的大年夜型内部收集中,终端安然一样平常被定义成以下几个方面的事情:防病毒、补丁分发、桌面管控、收集准入以及行径监测和取证着末,跟着近几年ABC(AI,Big Data,Cloud)技巧的迅猛成长,终端安然的受众范围又发生了必然的变更,从单一的谋略机终端分解成办公情况的终端领域,办事器终端以及新一代的移动终端等三小类本文将重点结合实践履历,先容企业内网中谋略机终真个安然运营实践

探究分三部分,包括筹备篇、实践篇和瞻望篇

第一部分筹备篇:从运维到运营的角色转变是提升终端安然防护能力的先决前提

各位读者,假如身处这个行业,又从事甲方事情,可以先在脑海中思虑几个问题:自己天天的事情内容是什么?是否亲历过影响范围波及网内80%以上终真个安然事故?有没有由于产品功能的问题怼过乙方?会不会觉到手上不停没有相宜的对象或对象集去办理繁杂的终端安然问题?有没有感到到事情内容和事情职责的不匹配?

以上问题,折射出一个安然团队从运维到运营职责的转变轨迹跟着问题的陆续爆发,运维的同砚会徐徐感到到挫败和沮丧,由于彷佛自己没日没夜的加班也不能打消问题的发生,反而徐徐在赓续“跳坑–爬坑”的轮回中迷掉我考试测验解答这个问题:甲方安然团队,其本色上与一样平常的IT运维团队是不合的

首先看看运维事情的定义:一样平常指对所认真系统的软、硬件资本优化、掩护和告警处置,以确保系统供给办事历程中更好的发挥代价比较一下安然团队的职责,他们的定位首先是系统的应用者,依据企业计谋、总体筹划、营业必要以及种种合规性文件,拟订安然治理目标、宣布安然治理要求、筹划安然根基举措措施扶植的技巧路线,并以治理者和业主的身份,介入系统的扶植,接收系统的应用,终极期望借此推动治理要求的落地,匆匆进安然防护水平的提升

显而易见,安然运营团队与传统IT运维团队的最大年夜差别,是事情角色的差异,团队成员不只要承担系统日常巡检、策略设置设置设备摆设摆设和告警处置等运维层面的事情;还要作为业主方,寄托安然系统和技巧手段,全盘斟酌整体运行态势并作出决策性调剂,以实现营业增值和治理效能的提升概括起来便是从“我要怎么做”进化到“为了做什么我要怎么做”是以,还在坑里的同砚们应该意识到,您的事情职责显然不能仅局限于系统运维了,而是要加倍关注所运维系统自身的代价和办事能力可以说,甲方安然团队在成立之初就已经天生了运营的基因,无从选择,尽早完成思维模式的转变是做好终端安然治理的先决前提

第二部分实践篇

假如您看到这里,阐明至少对运营的观点有必然程度的吸收接下来,可以聊一些详细的案例,看看运营事情的痛点

旧调重弹的全生命周期终端资产治理是重中之重

资产治理是终端安然运营中最紧张的根基问题,紧张到没有资产治理就谈不上终端安然试想当一个安然团队被有关方面传递了一台终端呈现安然问题并要求快速处置时,一不清楚被传递的终端在哪,二不清楚详细的应用人,三不清楚这台终真个安然防护系统是否健全,四不清楚怎么快速完成修补……此时此刻,会议室里寂静无声,传递方、治理者和安然团队心里赓续涌现大年夜写的黑人问号脸……着末议定由安然团队进行扫楼式的查抄,直到找到这台终端为止

这是一个很有代表性的场景,我们常说安然问题终极可归结为一个风险治理问题,而风险又可以量化成发生的概率乘以影响的后果在这个场景中,最可骇的不是谋略出来风险值有多大年夜,由于多大年夜都可以设法主见子去修补,真正可骇的是由于资产治理的问题导致风险未识别,终极标记为0要知道,对大年夜多半甲方终端安然运营团队而言,管不好和不管可是两种性子的问题了,台积电病毒事故便是最好的证实

全生命周期的资产治理并不是一个新鲜的名词,对一个稍具规模的企业而言是体系扶植的必须选项,ISO55000族标准中有相关请乞降先容,在此不做赘述可以想象,一个具有海量终端资产的内部收集,每每预示着企业由横跨了多个营业、治理、行政条线的部门组成,是以除了拟订标准规范外,若何有效打通资孕育发生命周期内高低游的壁垒,形成动态的资产信息宣布和网络,是每一个类似企业的安然运营团队所合营面临的寻衅对照常见的案例是“中心不要两头严”,例如经由过程强制行政效力完成了资产发放和收受接收历程的记录和信息共享,确保硬件资产代价本身可以被追踪回溯,然则轻忽了在应用历程中对该设备应用人、物理位置以及相关软件资产的变化和记录,导致呈现问题没有告警、不好定位,影响快速处置的效率那么,回到最初的问题,怎么做好全生命周期的终端资产治理呢?我觉得这是一个太大年夜的问题,无论是理论体系照样技巧实践,都不是一本书能够说清楚的,姑且用我方团队的实践履历抛砖引玉:

[1] [2] [3]下一页

首先,明确需求再做筹划,我方团队颠末多轮次的调研和论证,提出三大年夜类需求:一是要治理的资产要素,包括应用人、IP、MAC、位置、软件信息等;二是应用什么手段进行监测,拟采纳的手段包括主机审计、收集准入节制和心跳包监测等,这样可以确保对资产的实时网络和监测,包管全生命周期资产治理的有效性;三是必要什么样的日志反馈作为治理依据,一样平常而言便是终端安然运营的日常指标,包孕补丁下发环境、防病毒查收环境、桌面策略吸收环境等颠末这几个需求的梳理,我方团队发明虽然终端资产治理涉及面异常繁芜,然则仍旧有一条主线可以遵照,即:紧紧捉住全生命周期的动态安然信息资产

其次,只管即便设计出削减不合本能机能类型的职员交叉介入的治理流程,广泛依附信息化、自动化对象完成信息获取在我方运营团队前期调研历程中,发明各分支机构内部的资产验收、发放、收受接收、处置等流程差异较大年夜,很难设计出一套完美兼容的流程化治理规范此外,斟酌到职员本身的能力误差身分,即便开放一套可以合营掩护的资产治理平台,也面临着必然程度的隐性差错资源是以,我方团队终极抉择经由过程加大年夜技巧手段的投入,削减工资介入,提升资产治理的有效性和准确性,详细步伐是在收集准入层面首先针对机械的根基安然防护能力进行评估,未安装根基安然防护系统的谋略机被自动断网;其次经由过程主机审计实现对主机名和谋略机描述的自动采集和字符串校验,确保谋略机规范命名且真实有效,不相符规范的被自动断网;着末是精细化运营治理要求,针对谋略机的防护软件版本、补丁分发环境、病毒库进级环境进行校验,分歧规的谋略机均被自动隔离,在完成相关修补后再自动准入颠末以上三步递进式的运营治理,终极形成在网的全量终端资产治理库,且大年夜幅低落了人力投入,显明提升了资产网络和治理效率,有效拓展了针对资产在应用历程中的实时监测能力,自动化的拉齐了终真个根基防御水平

以上事情,涉及网内12万谋略机终端,耗时2个月完成

为我所用的展示和相应平台是安然运营水平的代价表现

在这个标题中,特意逃避了时下对照盛行的一个观点:态势感知引用赵彦师长教师在《互联网企业安然高档指南》中的原话,“现在的安然行业里除了显得有些务虚的安然理论之外,要么便是一边倒的攻防,要么便是过于超前、浮在外面没有落地规划的新观点,这些声音对企业安然实操都短缺积极的意义”作为大年夜神的仰慕者,的确不能批准更多……在这个会做ppt就能造车的年代,思虑若何快速发声、捉住眼球、吸引本钱,远比漫长的数轮次产品实践打磨,慢慢完善进而形成口碑有吸引力然则,既然身处这个行业,就免不了被各类信息碎片轰炸、洗脑,自然而然的形成了没有态势感知就不能安然运营的理念

接下来,请您思虑一下,在处置惩罚终端安然事故时,基础步骤是什么?套用进击杀伤链和反杀伤链模型,简单阐述如下:

基于情报和规则的发明->对进击的光阴和空间定位->持续的追踪->探求有效的防御武器->定点清除要挟->评估结果

事实上,绝大年夜多半安然运营团队在安然根基举措措施相对完整的根基上,在乙方技巧支持和第三方安然办事团队的赞助下,已经将这条路径趟过不止一次了,范例案例便是“WannaCry”病毒爆发历程中,一样平常甲方运营团队的事情流程都是:收到国家有关部门的看护后拉响内部警报,结合自身安然防护系统的日志环境摸排战损,广泛送达收集隔离、端口禁封、专杀对象、官方补丁等不合维度的防御对象,按照2小时/次(以致更短)的要求完成第一天事情日的战果汇总,着末引导发布事态可控,促停止近60个小时的加班后回家睡觉在全部事故处置历程中,要挟情报获取,内部要挟摸排,应急手段的推广,事故信息的汇总,这便是态势感知这种思维和处置要领在应急事故中发挥感化的表现本文并不强调平台或产品的名称,态势感知也好,SOC也罢,SRC也可以,只如果能够有效办事于甲方的安然运营事情,并且在应急事故处置中发挥积极感化,那就是有效的

作为甲方终端安然运营团队,应对纷纷繁杂的终端安然运营事情,必要这样一个平台,用来网络内部和外部的情报信息,阐发网内的要挟环境,打通各安然系统之间的竖井,自动化的精准下发种种安然防御指令或对象这个平台,是全部团队的代价表现:首先经由过程平台扶植能够标准化的输出团队宝贵的应急处置履历,固化内部的应急处置流程,形成常识通报;其次为了扶植能用、好用的平台,势需要求甲方安然运营团队整合现有安然根基资本,拟订标准化的开拓接口规范,将已有的安然根基资本封装成一个统一的武器库,试想对海量终真个要挟发明、一键修补和战果评估能够在一个平台上自动化实现,能够削减咱们若干个小时的加班^_^;着末,定制化开拓平台的展示、预警功能,可以赞助运营团队细致梳理安然治理的目标和现状,找短板、补差距,真正做到运营夯实治理,治理匆匆进运营

还有一点建议,不管平台是否建成,首先要仔细梳理过往的运营事故,找到一条得当自己、切实可行的应急处置路径,再考试测验从SOC做起,慢慢增添破绽发明、要挟情报网络等功能,同步筹划现有平安产品的整合问题,终极的展示细节必然要充分罗致项目主要相干人的意见,由于这是项目成败评价的关键以上路径,得当于初步具备安然运营能力,然则受限于职员和资本压力,难以同时并发开展事情的小伙伴们

第三部分瞻望篇:辩证看待终端安然运营人力资本瓶颈的问题

因为这部分内容和每一个安然运营团队所处的营业情况、企业计谋筹划以致是企业规模都相互关注,是以放在瞻望篇进行探究,不求大年夜而全,只管即便把几个关键身分阐述清楚

先抛出问题,有没有安然运营团队是不缺人的?可以随机采访任何一个安然团队认真人,信托谜底必然是统一且坚决的——缺!同样的问题换一个要领问,团队还必要若干人?预计这个谜底就五花八门了,然则基础上比照现有规模翻倍的需求占比应该不低于80%我和大年夜多半同砚一样,经常被这个问题所困扰,总感到有干不完的事,加不完的班,可是事情量并不会由于前一个义务的完成而低落,就像客栈一样,没进来仅仅是由于进不来……另一方面,我方团队认真人经常在北门例行碰头会中突发奇想的找到各类新鲜、有趣的运营理念,并要求在事情实践中查验,此举显明增添了团队成员的事情量……颠末几回思维碰(互)撞(喷),大年夜家基础上杀青同等,安然运营的人力资本投放理论上弗成能匹配安然治理的要求举例来说,一个10人团队治理100台终端,一个10人团队治理10万台终端,事情量是否相差很大年夜?谜底是显而易见的然则,有没有法子在客不雅、有效、确有需要的条件下,让前者的事情量努力追赶后者?谜底也是确定的由于,安然只是一个相对的观点,没有绝对的安然才是客不雅事实安然运营的目标,取决于治理层给团队认真人下达的安然义务书中对安然事情的稽核标准

上一页[1] [2] [3]下一页

回到前面的问题,为什么每个团队感到都缺人,然则很难评估必要若干人?由于到今朝为止,海内大年夜部分企业还没有形成一套有效的安然绩效稽核模型,可以精准的谋略出对应什么样的人力资本应该达到什么程度的安然,以及应该给安然运营团队认真人下达什么样的指标同样的,安然运营团队认真人,给成员开会的时刻每每强调的是这个不能出问题、那个不能出问题,也是被绝对安然的标准裹挟了,由于受迫于没有真正故意义的稽核指标,导致纵然他们清楚的知道仅凭现有资本是无法做到大年夜而全的安然,仍旧要努力的往这个偏向去做今朝一样平常有两种措施应对这种资本瓶颈:

一种是鸵鸟法

鸵鸟法也叫试错法,安然运营团队认真人知道现有资本迟早会兜不住,照样按照现有资本去做,等着出一两次大年夜的安然运营事故,让引导明白便是缺人导致的后果,然后设法主见子一点一点的增添资本当然,这种做法一样平常要求异常认识引导的思维要领,能判断出爆发安然事故的严重程度,否则一不小心轻易把自己的出路也搭进去

一种是孔雀法

孔雀法恰恰相反,也叫试对法,便是在现有资本的根基上努力做出一些运营要领的转变,将事情中的额外成果努力展示给引导,以正向结果输出为导向,提升治理层的信心,继而设法主见子获取更多的资本这也要求团队认真人清楚的知道引导的事情思路和关注点,同时具备必然的资本统筹能力,包管该出彩的要出彩,不出彩的也不能掉足

相对来说,前者的风险更大年夜,然则效果更直接;后者的付出更多,然则对团队自身成长更有好处

结语

总之,对终端安然运营而言,理念转变是条件,资产网络是根基,平台(体系)是核心,团队成员是根本因为篇幅限定,本文仅粗略阐述了对运营关键要素的理解,没有展开到详细的系统优化、策略设置设置设备摆设摆设和功能关联等实操层面,后续会慢慢拓展到加倍细节的领域,重点聊一聊职员能力培养和项目扶植,分享事情案例

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包