等保2.0:绿盟科技实战化、体系化和常态化实践深度分享
2019年5月,等级保护新标准《网络安全等级保护基本要求GB/T22239-2019》正式发布,等级保护制度正式进入了一个新的阶段。等级保护2.0对于我国网络安全行业当下工作和未来发展的重要性不言而喻。绿盟科技多年来持续深入学习、研究等级保护相关文件和技术标准。结合自身丰富技术能力和实践经验,于2019年5月正式发布了等级保护2.0系列解决方案以及针对中小企业通用场景的“等保一体机”,将绿盟科技对等级保护的深入理解以产品、解决方案、服务等形式,赋能给我们的客户。
在本届“天府杯”等级保护2.0主题论坛上,绿盟科技分享了对等级保护2.0中“实战化、体系化和常态化”要求的最新实践和思考。
立足实战 以攻促防
2017年6月正式施行的《中华人民共和国网络安全法》中明确规定,“国家实行网络安全等级保护制度”。网络安全本质是对抗,立足于实战无疑是首要要求。在网络安全工作的“三化”要求中,这种优先顺序也得到了验证。
立足实战的《关键信息基础设施实战防护实践》,是绿盟科技集团副总裁曹嘉在此次“天府杯”等级保护2.0主题论坛的分享主题。关键信息基础设施是网络安全保护对象的重中之重。面向实战既是其网络安全工作的特色,也是重要要求。近年来广泛开展的行业级甚至国家级攻防演练活动,关键信息基础设施的网络运营者是重要参与方。绿盟科技多年来积极支持大量攻防演练活动,作为专业网络安全公司,结合攻防双方的不同视角,有许多经验值得分享和借鉴。
绿盟科技集团副总裁 曹嘉
曹嘉介绍,根据绿盟科技研判中台对最近攻防演练的活动反馈可以看到,针对面向公众的应用的攻击,如Web漏洞、附件钓鱼等仍是攻击方核心打开突破口的手段和思路。同时,部分国产商用软件、未及时更新的安全产品,也成为成功入侵的关键。以典型的钓鱼攻击为例,根据绿盟科技安全运维保障中台反馈,剧本精准、攻击筹备充分,结合Cobalt Strike、冰蝎等成熟工具,使用域前置技术实现更好的攻击隐匿等都是2020年攻防演练中钓鱼攻击的典型特点。
在攻防演练这一极具实战意味的场景下可以看到的另一个重要可能性,是对可信专网的攻击。“可信”字面理解是“可信任”,但目前这种“可信任”是否能和“绝对安全”划等号?是否能和“无需防御”划等号?更加矛盾的是,问题的答案和安全工作的现实,不一定是一致的。曹嘉介绍的一个典型攻击案例,就是利用可信网络中各单位近乎不设防互联互通、普遍存在脆弱资产的现状,攻击者一旦利用储备的0day、1day成功实现入侵,就可基于成熟工具实现稳定的内存Webshell驻留;后续的内部横移、信息收集甚至破坏行动,基于可信网络的现状,除了在过程中要注意达到基本的免杀和隐匿要求外,对于攻击者而言基本没有难度。
此外,诸如网闸、VPN等关键路径上的弱口令,域控系统不受限的批量脚本下发能力,攻击方与时俱进且愈加丰富的技术对抗手段,可以说触目惊心。但这也正是实战化攻防演练的意义和价值所在。曹嘉表示,从防守方的角度,基于绿盟科技的实践,实战化、实时、高烈度的攻防对抗场景下的五个关键能力,TTPs(战术、技术和过程)等高价值情报、(平台)产品的威胁发现和响应能力、对攻击和事件的响应能力、具备丰富经验的技术研判能力以及溯源反制能力,可以收敛、集中到安全中台再向客户、主管单位辐射,会有更理想的效果。
“损失弥补”视角下的另一种对抗
如果我们尝试从攻防对抗的视角切换到损失弥补的视角来看待网络安全事件,不难发现大量以数据为最终目标的网络攻击,如数据泄露、数据篡改、勒索等,其处置成本不仅包括相关人员和技术,还有相当大的比重在于企业作为第一方的直接经济损失,和第三方向企业提出法律诉讼而导致的费用支出。保险作为一种重要的抗风险金融手段,与网络安全攻防特点的深入结合,无疑会应运而生一种新的实战环境下的“对抗”思路——网络安全保险。
2018年起,绿盟科技与前海财险就在网络安全保险这个新兴领域展开积极的探索与合作。2020年11月7日,绿盟科技联合前海财险共同发布网络安全保险服务的2.0版本。11月8日“天府杯”等级保护2.0主题论坛,前海财险副总经理张炯也以此为题,从专业的保险从业人员的角度,进行了分享。
前海财险副总经理 张炯
张炯认为,网络安全保险不仅可以积极发挥其作为金融手段的作用,为企业弥补用于应急处置和外部诉讼的经济损失,还可通过核保标准、保费等因素鼓励企业做好事前、事中以及事后的风险管理,并为企业的抗网络安全风险能力提供一定程度的背书。通过将保险与专业的安全能力和丰富安全服务经验结合,不仅可以在核保阶段通过数据采集和评估服务结合的手段,提供短平快的核保体验,更可在事件发生的第一时间为应急响应以及后续的鉴证、定损等工作保障专业的技术支持。此外,结合绿盟科技在威胁情报方面的能力优势,贴合保险责任,在事前协助客户进行合理的风险规避,降低出险的概率,在事中助力客户进行快速响应,这对投保客户、保险公司和安全公司而言是一种三方的共赢。
张炯也坦言,网络安全保险目前整体还处于探索阶段,能够提供的保障还相对受限。比如要求事件可被证实,保障对象无法囊括工控系统、物联网等场景,经济损失要求可衡量,对大面积系统性网络安全风险缺乏有效抵御能力等。但总体来看,网络安全保险通过必要的、基于风险视角的全面勘评,定期对投保对象及其供应链整体的安全风险评估,对企业事件响应流程的重新梳理等技术手段和能力的引入,无疑会对企业原有风险管理体系带来积极的影响,提升整体对重大网络安全事件的应对能力。
体系化建设与常态化运营并重
从两化融合(工业化与信息化)到新基建,IT已经从提高工业效率的工具成长为工业创新发展的动力。网络安全等级保护制度也始终适应着IT的发展,逐步演进。网络安全保护工作不仅要立足实战,还要进行体系化的网络安全能力建设,以及常态化的安全运营。绿盟科技集团首席行业专家张智南在等级保护2.0主题论坛上,分享了绿盟科技《常态化趋势下的网络安全体系建设思路与实践》。
绿盟科技集团首席行业专家 张智南
没有规矩,不成方圆。体系化的安全能力建设,需要有明确要求和标准作为支撑。在《中华人民共和国网络安全法》、等级保护2.0制度的背景下,网络运营者应依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,梳理分析是否全面覆盖了网络安全等级保护的基线要求,并结合等级测评过程中发现的安全隐患,按照“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”这一核心要义,构建面向风险的纵深防御体系。
在常态化的安全运营方面,特别是重点行业的关键单位,张智南表示,应积极配合行业主管单位以及公安机关的安全监测、通报预警等工作,落实7x24小时值班值守的常态化措施,同时从安全意识、资产和脆弱性管理、威胁情报、实战对抗、全流量分析、未知威胁发现、自动化处置等方面着手,完善安全运营的能力框架。绿盟科技的“云地人机”协同机制,是实现有效安全运营的重要保障。
在实践方面,绿盟科技作为等级保护安全建设服务机构,始终践行网络安全等级保护制度,将多年积累的安全能力和等级保护标准体系相结合,并充分考虑行业特性,推出了囊括通用安全、云计算安全、工控安全等场景的“绿盟科技等级保护2.0系列解决方案”。此外,针对中小企业通用场景下的等级保护建设,绿盟科技还发布了 “等保一体机”,作为等保2.0系列解决方案重要补充,以防御、监测、响应、评估为核心能力,助力客户高效地完成等保合规建设。