安全运维,是企业安全管理中躲不开的一个环节,有一套良好的安全运维规范,可以帮助企业降低安全隐患。那么到底应该如何做好安全运维?近日安全牛有幸邀请到了行业资深专家杜建荣先生,从组织、流程、人员几个方面,围绕安全运维中的十个常见问题,来解答企业在安全运维中可能遇到的疑问,以下是主要内容:
杜建荣,2006年入行至今,技术出身,从事过甲乙双方的各个不同岗位,熟悉IT的各个领域。从2012年开始专注于信息安全领域,先后负责过安全运维、安全管理、制度建设、攻防、合规等不同工作。
一、企业安全运维的本质是什么?
杜建荣:安全运维包含两层意思,第一层意思是维护一个组织的信息安全管理体系,比如使用防火墙维护公司的安全域划分,使用堡垒机满足运维审计要求,使用漏扫挖掘漏洞风险等。第二层意思是在运维工作中落实安全管理要求,降低运维工作中的安全风险。
由此可见,第二层的意思立足于第一层,安全运维的前提是企业有明确的信息安全管理体系,信息系统有较合理的安全架构。
安全运维的主要工作模式也分为两种。一种是依靠信息安全管理团队的工作模式,组织建立信息安全管理体系,在信息系统建设时同步建设信息安全技术措施,敦促信息系统在建设中同步落实安全管理要求,利用安全产品开展管理与审计监督。另一种是依靠运维人员的工作模式,把安全赋能给运维人员,运维人员根据安全要求执行规范的运维规程。
安全运维需要将两种模式有机结合,不是信息安全团队或者运维人员的单打独斗,才能起到最好的效果。
二、如何做好安全运维?
杜建荣:在考虑安全运维之前,首先需要首先对企业的整体安全架构有一个全面、严谨的规划部署。做好一个良好的建设,后期通过安全运维严格执行,才能有好的效果。否则运维就只能像救火,头痛医头、脚痛医脚。安全运维的本质,就是通过规范的流程,落实贯彻企业既定的安全政策方针,推行企业设计好的安全架构。比如进行防火墙的运维,本质上是维护企业的安全域规划,如果在运维中不按规章胡乱开策略的话,用防火墙进行安全域隔离的初衷就等于形同虚设。安全策略一旦放行,日后要收回来就很不容易,任何弱点都能成为黑客攻击的目标。
三、安全运维的重点在哪里?
杜建荣:安全运维的重点是:遵循一个商定的标准严格执行运维,而不是随心所欲或者随机应变。安全运维不是攻防演练,不需要灵光一现的点子,变化越少越好。如果在运维过程发现需要放开越来越多的特例,那就证明当初商定的标准有问题,需要重新修订当初的标准。良好的安全运维标准应该是松紧有度,并在建立之初得到涉及的业务部门共识,有一套规范的流程而无需经常放行各种特例。
另一方面,安全运维需要分层分级,有的放矢。比如将重点的漏洞管理、防火墙、WAF、IPS、服务器EDR等运维,专门交给有丰富经验的人员负责;将技术含量稍低的VPN、堡垒机、办公电脑准入防病毒等重复繁琐的运维,交给稍低经验的人员处理;最好有专岗负责日志告警,分析溯源。如果把所有运维工作都集中在一两个人身上,将会不堪重负,每天大量繁琐的低级运维工作与需要细心集中的重点运维工作交杂在一起,会降低人的集中力,应付了事,从而忽视了真正的风险。
此外,针对运维人员的操作,也需要有精细的权限控制与完善的日志记录,并最好由上级领导或专门审计角色进行定期审计。
以上几点的集合才能最大程度的提高安全运维的准确率,降低安全风险。
四、安全运维分为几个阶段?
杜建荣:对于小型企业来说,往往没有专职的安全人员,安全建设通常由网络或基础架构部门兼任,安全运维往往只能依赖运维人员的能力。这种阶段下安全只是一个可有可无的附加值,并不能真正发挥它的作用。
发展到一定规模的中小型企业,招聘了安全专岗,但也往往只有一两个人,这种一个人的安全部模式,安全人员往往因为前期没有做好整体的安全规划而在运维上疲于奔命的救火。公司把信息安全的责任都放在安全人员身上。针对中小型企业,建议聘请安全公司的安服团队进行运维,让安全人员释放双手进行有效的安全规划与建设,才能逐渐走向正规。
对于大型企业,安全部门已逐渐成型,可能会有专人负责管理、制度建设、合规等工作;有专人负责运维工作。在这种模式下,建议参照上一点提到的重点,将运维工作分层分级给不同的人员处理,并将安全技能充分赋能给其他业务部门。如可以把终端杀毒、准入、VPN、防垃圾邮件等工作赋能给桌面运维团队;将堡垒机、服务器EDR等工作赋能给基础架构团队。真正的做到谁主管、谁负责;谁使用、谁负责、谁运营、谁负责。信息安全团队更可以集中精力在安全建设、日志监控、攻防等方面,同时提升了全公司的安全水平。
五、如何培养安全运维的人才(如何留住安全运维的人才)?
杜建荣:最近几年,专业的安全人才一票难求已经是公认的事实,未来很长一段时间这种趋势也会持续下去。这种情况下,应该如何培养安全运维的人才?私以为,将安全运维的能力分级,引入职业发展的路线,是一个很好的办法。比如从基础的终端安全运维岗开始,到网络安全运维岗,应用风控安全运维等,通过岗位轮动,培养全能的人才,同时也可以令更多其他运维岗学习安全技能,培养公司的后备人才。安全运维经验丰富以后,可以尝试编写脚本的自动化运维,培养开发方面的能力;或是走分析溯源路线。同时,这也是留住安全人才的方法,有一条清晰明确的职业发展路线,避免安全人才反复做低级的运维工作。
六、从事安全运维岗最重要的技能是什么?
杜建荣:我觉得是持之以恒的学习能力(其实很多岗位都需要,但安全尤甚),因为安全是跨领域的学科,在从业的路上需要不断学习和理解IT其他领域的知识范畴,不能只看到自己的一亩三分地。比如我本人就曾在数据库审计的运维工作中学习到大量的SQL语句与数据库结构;在业务上云的项目中恶补了大量公有云的知识体系。另一方面,还需要在工作中保持细致耐心,面对反复的策略调整,权限控制不厌其烦,同时也能从千百行日志中找到有价值的事件。
七、安全运维如何能避免成为背锅侠?
杜建荣:在安全方针政策的制定,安全架构的部署时,一定要与相关的业务部门形成共识,在大家的充分知情同意下制定出来,不能由安全部门单独拍板,在安全方针政策制定之初明确各自的责任担当,才不会在后续的运维工作中让安全运维成为背锅侠。以漏洞扫描这件事来打比方:在部署之初先规划好扫描频率、具体时间、谁来修复、有何潜在的风险、告警手段等等,并得到业务部门的同意认可。才不至于让业务方一有业务中断就怀疑是安全引起,也不会对发现的漏洞推三阻四不愿意修复,一旦被入侵又怪罪是安全的责任。
八、安全运维岗位的就业形势如何?这个职业会有瓶颈吗?
杜建荣:安全运维岗的就业形势相对其他网络或桌面运维还是很吃香的,虽然今年遭遇疫情,但从各大招聘平台上看,也有不少的岗位在求人。安全运维岗的瓶颈在于面对重复的工作容易有惰性,必须主动坚持学习才能有突破。现在很多如云安全运维、大数据安全运维、应用安全运维等岗位都需要积极学习新的知识来迎接。另一方面,也可以尝试学习开发能力,利用态势感知、SOC等平台,通过流程设计实现自动化运维。
九、企业需要态势感知吗?
杜建荣:态势感知是最近几年很火的一个概念,几乎所有的安全厂商都会推出自己的态势感知产品。但我认为,不要随便被销售忽悠,只有少量安全设备的中小企业是不需要态势感知的。态势感知的应用场景在于企业拥有大量安全设备,产生海量的日志,运维人员对于这些设备与日志疲于应付,误报漏报太多,响应缓慢,无法真正提炼出有价值的事件时,才有使用态势感知的价值。
十、态势感知会给安全运维带来什么帮助?
杜建荣:态势感知可以简化运维的工作量,更加聚焦于有价值的事件,令运维人员可以集中精力在溯源与分析上。同时,通过参与态势感知里安全告警的设计与提炼,也能提升运维人员的综合能力,帮助企业培养人才。
在未使用态势感知前,安全运维人员的工作可能是在每天的WAF、防火墙、IPS、服务器日志、漏洞报告中发现异常,再验证攻击是否已发生。但部署态势感知后,利用设计好的告警规则,可以迅速发现攻击的来源、路径,迅速修复漏洞,并不断优化告警规则。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】