以前，雷鋒網(wǎng)客頻道曾撰文稱“CSO（首席安全官）是企業(yè)的背鍋俠”。玩笑歸玩笑，事實上，企業(yè)打造安全框架有三類人：高管層、中間管理層、一線技術(shù)人員，這三類人各司其職，也有不同的安全需求。

不久前，剛剛獲得新一輪融資的愛加密召開了一場媒體溝通會，愛加密技術(shù)副總裁程智力重新介紹了其已發(fā)布半年的重磅產(chǎn)品 MSOC，并對雷鋒網(wǎng)闡述了他對企業(yè)三類人的安全需求以及打造企業(yè)安全網(wǎng)絡(luò)的看法。 

口述：程智力 | 整理：李勤

三類人的安全需求

對高管層來說，他們主要關(guān)心的其實就是法規(guī)遵從或法律免責(zé)，企業(yè)做安全，本身不產(chǎn)生任何經(jīng)濟(jì)效益，所以，他們第一關(guān)心的是如果出現(xiàn)問題，是否需要承擔(dān)責(zé)任。

管理層關(guān)心的是，保證企業(yè)的核心業(yè)務(wù)不受到安全威脅的影響，上線新業(yè)務(wù)后，如何與原有安全架構(gòu)整合，是否需要運用新技術(shù)打造彈性可拓展的安全平臺。

如果真的要建設(shè)一種這樣的平臺，還要考慮兩點，第一，安全工作的量化——匯報時能明明白白告訴老板安全投入在哪里，產(chǎn)生了什么效果。第二，優(yōu)化運維，讓看上去一團(tuán)雜亂的安全工作高效、有序。

對于技術(shù)人員，他們關(guān)心的是，出現(xiàn)風(fēng)險后，如何跟蹤問題，直到解決問題；如果要建立移動互聯(lián)網(wǎng)的安全，如何與傳統(tǒng)的IT架構(gòu)整合。

三個層次的防護(hù)體系

基于這個需求，建立企業(yè)安全的防護(hù)體系，我們通常分為三個層次。任何一個防護(hù)安全體系都不是一蹴而就建設(shè)而來，需要一個統(tǒng)一的規(guī)劃，再逐步建設(shè)。

第一，建立從靜態(tài)到動態(tài)再到實時的防護(hù)防護(hù)體系，符合國家網(wǎng)安法和等級保護(hù)2.0的基本要求。

去年頒布的網(wǎng)安法明確要求企業(yè)建立威脅預(yù)警和響應(yīng)機(jī)制，本質(zhì)就是要求企業(yè)建立主動實時的安全防護(hù)體系。而等保2.0通過對移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制的擴(kuò)展，要求企業(yè)建立管理和技術(shù)并重的實時安全防護(hù)架構(gòu)。。

第二，動態(tài)保護(hù)就是企業(yè)運轉(zhuǎn)起來。

第三，實時保護(hù)就是要做主動和提前防御。實時保護(hù)實際落地就是實踐從被動到主動的原則，這個原則說起來很簡單，是一個指導(dǎo)規(guī)范，但是應(yīng)該怎么落地？要做基礎(chǔ)建設(shè)，即從終端到網(wǎng)絡(luò)再到服務(wù)器，整體安全保護(hù)架構(gòu)要是齊全的，而這要求我們要有一個基本的平臺。

我們要建立一個基本的平臺，平臺是企業(yè)統(tǒng)一的標(biāo)準(zhǔn)、接口和入口，其意義在于，企業(yè)一開始規(guī)劃這樣一個安全計劃規(guī)范時，就要通過平臺建立統(tǒng)一的標(biāo)準(zhǔn)或者統(tǒng)一的接口，所有的安全建設(shè)都在這個平臺之上，通過模塊化的方式增加，就可以保障所有的投資在每一步都可以得到保護(hù)。

也就是說投資之后，只要是基礎(chǔ)沒有變化，它可以一直用，不會被淘汰，所以這是我們要建設(shè)的基礎(chǔ)架構(gòu)。當(dāng)然，缺什么還要建什么。比如，移動安全從安全開發(fā)到安全應(yīng)用，中間的所有的環(huán)節(jié)都需要進(jìn)行保護(hù)，那么需要去進(jìn)行建設(shè)包括物聯(lián)網(wǎng)、云、大數(shù)據(jù)等方面的安全。

建設(shè)時，強(qiáng)調(diào)的是把異構(gòu)的安全防護(hù)系統(tǒng)融合在統(tǒng)一的平臺上，形成異構(gòu)管理。

我們還要做融合，因為我們要保護(hù)的不是基于某一個的單一系統(tǒng)，它是基于業(yè)務(wù)的，安全保護(hù)要基于業(yè)務(wù)進(jìn)行防護(hù)，針對終端、網(wǎng)絡(luò)、服務(wù)器和后臺數(shù)據(jù)庫的防護(hù)的系統(tǒng)在底層都要融合。

這種融合主要是數(shù)據(jù)的融合，只有把數(shù)據(jù)融合在一起，才能夠有主動防御的前提和可能。所謂的數(shù)據(jù)融合，就是要和傳統(tǒng) IT 框架融合，在移動互聯(lián)網(wǎng)環(huán)境，或是物聯(lián)網(wǎng)云計算環(huán)境下給我們帶來新的防護(hù)體系，新的防護(hù)體系如何和原來的 IT 防護(hù)的系統(tǒng)進(jìn)行融合，包括對用戶的融合，還有跟安全風(fēng)險管理流程的融合，問題跟蹤的融合，這些都需要考慮，在底層設(shè)計的時候一并考慮。

除了保護(hù)內(nèi)部之外，還需要考量外部互聯(lián)網(wǎng)環(huán)境的風(fēng)險。所以需要跟第三方威脅庫融合，通過引入第三方威脅情報來獲取外部的相關(guān)風(fēng)險情況。

舉個很簡單的例子，假如客戶是一個銀行，銀行在看內(nèi)部風(fēng)險時，如果說有一個第三方風(fēng)險情報告訴你，銀行業(yè)相關(guān)的應(yīng)用目前正在遭受某一種惡意代碼的攻擊，雖然你沒有遭受這種攻擊，但是由于企業(yè)自身的行業(yè)歸屬，遭受這個攻擊的可能性比較高，如果拿到這些數(shù)據(jù)，可以提前對威脅進(jìn)行預(yù)防式防御，未來可能出現(xiàn)這種風(fēng)險時，免遭危害。

我們要跟安全態(tài)勢進(jìn)行融合，這種怎么做？在展示風(fēng)險時，要做到對現(xiàn)在的移動端、云端、物聯(lián)網(wǎng)端的風(fēng)險進(jìn)行統(tǒng)一展示，所以這種融合要打通數(shù)據(jù)底層。

第四，要做智能防御，因為讓所有的安全系統(tǒng)在一個平臺之上進(jìn)行管理，所有數(shù)據(jù)做了融合，然后就是利用機(jī)器學(xué)習(xí)相關(guān)的技術(shù)幫助我們主動從數(shù)據(jù)中分析潛在的風(fēng)險和威脅，智能防御或者主動防御的前提就是要能感知威脅。除了收集數(shù)據(jù)，我們需要通過人工智能技術(shù)幫助我們做感知的這種操作，進(jìn)行自動化響應(yīng)。

總結(jié)一下，其實就是重感知、重響應(yīng)、全防護(hù)。

 

四個原則

針對 MSOC 的設(shè)計，結(jié)合上述的想法，需要遵循四個原則。

第一，因為傳統(tǒng) SOC 的融合是通過 API 的方式，通過 API 的融合其功能是有限制的，只能局限于 API 范圍之內(nèi)，第二，融合時間很長，一般來說，API 的融合少則1、2周，多則一個月，而且它會涉及到修改兩個系統(tǒng)的架構(gòu)。

不通過 API ，那用什么？我們使用一個個類似虛擬機(jī)的容器，把系統(tǒng)直接裝在這個容器里，實現(xiàn)安全系統(tǒng)的融合和集成。這樣可以打到“使用 API 的痛處”，短時間內(nèi)實現(xiàn)平臺和底層數(shù)據(jù)層面的融合。

所以，我們做的統(tǒng)一融合可以實現(xiàn)非常簡單的融合，只要半天的時間，就可以部署一個新系統(tǒng)的融合，這種融合賦予了平臺一個非常強(qiáng)大的擴(kuò)展能力。

第二，做彈性的擴(kuò)展，以后企業(yè)的系統(tǒng)越來越多，我要達(dá)到的是功能和性能上的擴(kuò)展，通過拋棄 API 的模式，可以形成無縫的擴(kuò)展，不管是用 BS 的架構(gòu)、CS 的架構(gòu)，甚至是一個命令行的架構(gòu)，都沒關(guān)系，我們要求這個擴(kuò)展實現(xiàn)起來非?？旌秃唵?。

第三，平臺的管理都是數(shù)據(jù)驅(qū)動。例如，當(dāng)我們自動掃描一個APP，出現(xiàn)風(fēng)險時，我們會自動要求這個 APP 進(jìn)行加固，這個加固策略基于掃描的報告自動形成，我們的架構(gòu)策略是抵御這樣一種檢測中的問題和漏洞，這個過程不要求有人工干預(yù)。

如果發(fā)現(xiàn)外部的攻擊，比如來自云端 WAF 的設(shè)備，這個設(shè)備來自于一個移動端，攻擊來了之后要把風(fēng)險對應(yīng)到 APP，如果有問題要求它自動進(jìn)行修復(fù)，外部的風(fēng)險驅(qū)動同樣也是數(shù)據(jù)驅(qū)動。

不管是對內(nèi)還是對外，我們要求它都是數(shù)據(jù)驅(qū)動，完全自動化。所以，我們就要有數(shù)據(jù)，這個數(shù)據(jù)一是自己產(chǎn)生的，第二就是感知來的數(shù)據(jù)，所以感知數(shù)據(jù)越全面，對風(fēng)險或者威脅的預(yù)警能力越強(qiáng)。

第四步，智能連接。很早就有很多企業(yè)提出要建立安全聯(lián)盟，安全聯(lián)盟當(dāng)時要做的就是不同的異構(gòu)設(shè)備之間的聯(lián)動，但是這么長時間過去了，我沒有看到基于 SOC 的很成功的聯(lián)動案例。

為什么沒有？因為他們的數(shù)據(jù)沒辦法無縫融合在一起，不同安全的威脅架構(gòu)，其數(shù)據(jù)的格式是異構(gòu)的，只有同一廠商才能做到一定程度上的連接，但是現(xiàn)在講智能連接，就是要打通移動企業(yè)的各個環(huán)節(jié)，要求底層的產(chǎn)品做到無縫連接，我們要做數(shù)據(jù)層面的融合，把所有數(shù)據(jù)都融合在一起，通過這種方式才能做到智能。

了解更多網(wǎng)絡(luò)安全的信息？歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”（微信ID：letshome）。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。