新基建带来全新机遇的同时,企业如何在更加复杂的数字化环境中守好安全关?
在近日召开的“湾区创见·2020网络安全大会”上,腾讯企业IT部安全运营中心总监蔡晨基于腾讯内网的安全建设经验,分享了企业安全运营中心在大数据、行为分析、应急响应、反向校验四个方面的建设新思路和创新实践,为企业构建更加智能和高效的安全运营体系提供了腾讯样本参考。
“与看不见的攻击者对抗,注定会失败”。在海量数据充斥的网络环境中,高效的安全数据处理能力是企业安全运营中心运转的起点。蔡晨表示,安全大数据能力要兼具数据广度和 。广度上需要全覆盖所保护资产, 上则需要和攻击者保持同一个 或者更深,否则就会出现看不到已有攻击情况。目前腾讯企业IT的安全运营中心已具备日处理千亿条数据、千种数据类别的处理与分析能力。
如何通过情报发现安全威胁的踪迹同样是至关重要的一步。腾讯企业IT的做法是“专家规则+机器学习”双管齐下,充分融合人脑和机器的优势,通过行为分析,让隐藏在海量威胁情报中的敌人行为动向无可藏匿。其中,腾讯专家规则经过十余年沉淀,形成了从“初始访问-执行-驻留-提权-收集-横向移动-窃密-远控”入侵全链路的覆盖,并建立了针对单行为、多行为、行为链的定制化规则。
除此之外,企业安全运营中心建设还需要构建有效及时的应急响应体系。一方面为安全人员提供规则告警、处置工具、样本分析、入侵溯源等平台化工具,支持其在每一个流程环节能实时处置安全威胁;另一方面,也需要借助SOAR的思想,支持非安全人员开展安全运营,通过内置的安全编排响应剧本,对安全事件进行自动化响应处置并提供响应报告详情,提升安全事件响应处置效率。
安全对抗终究是人与人之间的对抗,成熟的安全运营中心需要持续性的迭代和进化,而这需要引入常态化的红蓝对抗机制。蔡晨在大会现场也分享了腾讯企业IT的红蓝对抗经验——蓝军要边缘突破,迂回作战,避开正面对抗;红军要拒绝被动,反客为主,高维防御,“每一次攻防对抗演习,都完全模拟全链路的真实入侵,希望以攻促防,提升安全水位”。
基于以上四大建设思路的牵引,腾讯云安全运营中心的成功经验和能力也正在各行各业复用,通过将安全运营体系分为事前安全预防、事中威胁检测和事后响应处置三个部分,结合全局安全态势的可视体系,帮助运维人员更加简洁明了地认知和构建智能的企业安全运营体系。
在大型国企的应用实例中,腾讯云安全运营中心凭借满足合规硬性要求的安全管理和自动化评估功能,帮助该企业顺利通过了等保2.0合规测评;在智慧城市蓝图中,腾讯安全运营中心(专有云)推出了面向城市安全运营的定制化版本,在数字广东、长沙等逐步落地,从城市安全运营层面助力智慧城市的建设。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )
