[[347059]]

0x00、前言

伴隨著新基建項目的不斷演進，IT信息安全業(yè)務(wù)也在不斷的變化，從前幾年的只銷售安全單品、安全服務(wù)、安全解決方案到現(xiàn)今的銷售基于IT基礎(chǔ)設(shè)施的安全服務(wù)。這種安全服務(wù)，安全能力不僅僅包含安全產(chǎn)品、純安全服務(wù)，還需要一整套基于IT基礎(chǔ)設(shè)施的自研的安全解決方案，有時候還需要配合外采服務(wù)滿足用戶需求，同時業(yè)務(wù)方面需要與大型商業(yè)活動結(jié)合，安全防護級別達到護網(wǎng)行動的級別，同時做好政府部門對接工作。只有這樣，我們才能把這種安全服務(wù)賣上500w~1000w價錢。

0x01、安全產(chǎn)品優(yōu)化

在對外銷售這種安全服務(wù)的時候，我們發(fā)現(xiàn)提升安全運營人員的工作效率是整個項目盈利的核心，安全產(chǎn)品優(yōu)化的好，我們能節(jié)省的人力成本的投入就會少，反之項目會虧損。簡單舉個例子：如果要提供7*24小時的安全運營服務(wù)，一個項目周期為7天，14人/天，后臺二線運營也至少2個人。如果安全運營人員都把時間浪費在給主機打補丁，處理防火墻策略，數(shù)據(jù)分級等基礎(chǔ)預(yù)防性工作，那你的工作無法集中到運營監(jiān)控方面，遇到問題也無法做深入思考，一旦發(fā)生入侵事件，無法有效的處理。這些前期工作都需要增加安全服務(wù)的工時。

那么針對安全解決方案，最快速搭建的方法就是使用公有云，公有云基礎(chǔ)設(shè)施比較完備，安全服務(wù)也齊全，包括：主機安全、云WAF、抗D、掃描器、態(tài)勢感知、數(shù)據(jù)庫審計、堡壘機等，那么在做護網(wǎng)行動前，我們要做的一些安全預(yù)防性工作包括：安全鏡像優(yōu)化、人工滲透測試、自動化滲透測試、主機/云產(chǎn)品基線、安全組ACL設(shè)置、數(shù)據(jù)分級等。

先以安全鏡像優(yōu)化為例：

自動化安全產(chǎn)品：主機安全中主機漏洞，

目前存在的問題：

@1、主機操作系統(tǒng)的鏡像制作周期一般一個季度制作一次，因為有幾十種操作系統(tǒng)版本，每個版本需要經(jīng)過嚴格的測試才能上線，從漏洞產(chǎn)生頻率上看，每個季度大約CVE，2000+，RHSA 50+ ,USN 150+ 從涉及到的軟件數(shù)量看，因為用戶安裝的軟件是不可控的狀態(tài)，五花八門的軟件都有，這些軟件的安裝都會帶來主機漏洞。

@2、漏洞庫爬取后，如何有效判別該漏洞是否符合產(chǎn)品漏洞庫的條件，靠人工方式確認，一般廠商也不會這么做，投入產(chǎn)出比太低。

@3、在護網(wǎng)期間，對配置變更服務(wù)器要有一定的審批流程。新加入的服務(wù)器，新安裝的軟件都要做嚴格的審查，業(yè)務(wù)方上線需要和安全有聯(lián)動，使用重保安全鏡像。同時在重保期間暫停漏洞庫的更新，針對一些特殊情況，例如：云服務(wù)器上運行著Kubernetes，Pod重啟會導(dǎo)致災(zāi)難性的后果。需要添加例外。

為啥要改產(chǎn)品：

@1、有些流程一旦被驗證，自動化會提升安全運營效率。

@2、用第三方安全產(chǎn)品，產(chǎn)品更改的難度很大，所以一般都是第三方安全廠商的售前或者產(chǎn)品經(jīng)理通過曲線救國的方式幫你變形解決相關(guān)問題。

@3、目前大部分安全產(chǎn)品沒有針對護網(wǎng)的需求，做出產(chǎn)品化的調(diào)整。用戶需要護網(wǎng)模式的產(chǎn)品。

其次消耗安全運營人員精力的是：配置安全組和ACL策略。

由于在公有云上防火墻策略已經(jīng)與安全組和ACL策略耦合在一起，同時，業(yè)務(wù)系統(tǒng)在不斷的變更，上線下線，給安全風(fēng)險管控帶來的諸多不便。今天哪個部門上了一個應(yīng)用，需要開TCP8080端口對外服務(wù)，也不知會安全人員，系統(tǒng)測試發(fā)現(xiàn)上一直不通，查來查去，最后發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)訪問的數(shù)據(jù)庫端口沒有加入到安全組的開放列表中，這種崩潰的事情，在護網(wǎng)前期時時刻刻再發(fā)生。。。沒有一個整體安全可視化的網(wǎng)絡(luò)資產(chǎn)管理模塊，幫助用戶圖形化管理安全組或者ACL策略。

產(chǎn)品解決方案：微隔離可視化管理

通過微隔離可視化技術(shù)幫助用戶業(yè)務(wù)人員在上線業(yè)務(wù)的同時，做好安全控制。既提高了配置工作效率，也防止高危端口暴露在外，給紅隊小伙伴可乘之機。

產(chǎn)品的核心是可視化：

@1、需要支持自定義分組，例如：按照業(yè)務(wù)分組等，同時支持各種角色組，例如：數(shù)據(jù)庫角色，web服務(wù)角色。

@2、工作負載與訪問關(guān)系展示。

@3、訪問邊聚合的連接，以及訪問方向和屬性。

第三部分，就是存在公有云上的關(guān)鍵數(shù)據(jù)的分級分類整理，什么樣的數(shù)據(jù)需要哪種級別管理，這部分早期護網(wǎng)行動中涉及的比較少，但是伴隨著護網(wǎng)的深逐年入，拿到用戶數(shù)據(jù)的情況也越來越多，據(jù)了解阿里云2020年護網(wǎng)行動中拿下所有目標的用戶數(shù)據(jù)。

還有一種情況是，很多用戶特別是大型用戶上公有云后，在公有云上常年積累了很多數(shù)據(jù)，散落在對象存儲，RDS數(shù)據(jù)庫，大數(shù)據(jù)存儲引擎中，，再加上各種應(yīng)用在調(diào)用這些數(shù)據(jù)，短期內(nèi)很難做分級分類處理，這就需要有一套自動化產(chǎn)品幫助用戶梳理，保護。

產(chǎn)品解決方案：敏感數(shù)據(jù)保護系統(tǒng)

@1、敏感數(shù)據(jù)識別

@2、數(shù)據(jù)安全審計(主要包括對象存儲和RDS)

@3、數(shù)據(jù)脫敏

數(shù)據(jù)分級是在數(shù)據(jù)防泄漏項目中最重要的一步，這一步的智能化程度高低代表安全運營工作效率快慢。特別是在護網(wǎng)前期準備階段，需要對數(shù)據(jù)進行分級，最終決定數(shù)據(jù)保護的級別。比如用戶比較關(guān)注自己CRM會員系統(tǒng)，一旦出現(xiàn)數(shù)據(jù)外泄，整個護網(wǎng)行動功虧一簣。

0x02、重新定義安全服務(wù)

這種安全服務(wù)，包含的安全產(chǎn)品需要為整體的安全服務(wù)效率負責(zé)，這里定義的安全服務(wù)，也不僅僅是人工滲透測試服務(wù)，還包含：業(yè)務(wù)安全規(guī)劃、項目實施、應(yīng)急演練、壓測、復(fù)盤、線上護網(wǎng)級別的重保、網(wǎng)安國安政府對接事務(wù)性工作;同時，安全產(chǎn)品近期的規(guī)劃也需要一個“護網(wǎng)模式”，通過安全能力產(chǎn)品化的方式賺錢，越來越難了，通過托管服務(wù)方式對外輸出安全能力的時代將來臨。