按关键词阅读:
“你只有探索,才能知道答案 。 ”
——法国作家儒勒·凡尔纳
“在网络安全运营这条道路上 , 国内几乎没有能借鉴的行业成熟先例 , 没有可参考的成功经验模式 , 只有通过自己的探索 , 才能找到适合集团自身的运营模式 。 ” 国家电投集团信息技术有限公司网络安全部副总经理(国家电投集团网络信息安全实验室副主任)张萌多次提及“探索”这个词语 , 概括了这家清洁能源巨头在安全运营实践中的心路历程 。
作为我国五大发电集团之一 , 国家电投集团(全称为国家电力投资集团有限公司) , 是中央直接管理的特大型国有重要骨干企业 , 肩负保障国家能源安全的重大责任 , 致力于建设具有全球竞争力的世界一流清洁能源企业 。 2020年 , 国家电投在世界500强企业中位列316位 , 业务范围覆盖46个国家和地区 , 现有员工总数13万人 , 拥有62家二级单位 , 其中5家A股上市公司、1家香港红筹股公司和2家新三板挂牌交易公司 。
在信息化和网络安全方面 , 国家电投一直按照价值导向、问题导向砥砺前行 。 早在2016年 , 当网络安全防护建设仍处于设备堆砌阶段之时 , 国家电投就已意识到运营的紧迫性和必要性 , 并率先开启了安全运营探索之路 。
从产品堆叠到运营为先
2015到2016年 , 网络安全行业正在经历一场历史性的变革 , 以数据驱动为核心的安全理念 , 正式登上了历史舞台 。 适逢RSAC 2016提出“connecttoprotect(用连接去保护)” , 以被动防御为核心、机械堆叠网络安全设备的方式逐渐走向了历史 。
“在2016年以前 , 整个行业都普遍存在一个状况 , 虽然部署了很多网络安全设备 , 却无法回答集团领导的三个灵魂拷问:谁攻进来过?干过什么?什么东西被拿走了?即便是到现在 , 也有大量的机构不能回答这三个问题 。 ” 回想当年的行业网络安全现状 , 张萌依然是记忆深刻 。
“那些年 , 大家对网络安全建设都是以购买安全产品为主 , 没有安全运营的概念 , 大家基本上就是按照当时的等保合规等监管要求 , 安装防火墙、杀毒软件、入侵检测系统这些 , 再安排几个人 , 保证这些设备正常运转就可以了 。 ”
然而在信息化建设和数字化转型不断深入 , 新型网络威胁尤其是APT攻击、勒索病毒等层出不穷的背景下 , 电力行业作为关键信息基础设施 , 其网络安全重要性日益凸显 。 越来越多企业意识到 , 即便堆砌再多的网络安全设备 , 也无法改变‘盲守’、被动挨打的情况 , 建立更积极主动的安全防护体系势在必行 。
“和很多单位不同的是 , 从一开始 , 我们的理念就是以运营为核心 , 而不是仅仅按照合规的要求 , 部署相应的产品、平台或者工具 。 ” 张萌表示 。
在运营为先的思想指导下 , 2016年开始 , 国家电投逐步建立了覆盖全集团大部分单位的SIEM(安全信息和事件管理)平台 , 以大数据作为底层架构 , 采集全量系统日志 , 实现安全事件的监控和应急处理 。
然而 , 安全团队很快发现 , SIEM想要充分发挥自身的价值有着很大的局限性:作为彼时最炙手可热的安全产品和技术之一 , SIEM需要依赖高质量的日志 , 从中找出潜在的非法行为 。 很快一个难题就出现了 , 也就是日志采集 。 日志采集绝非“眉毛胡子一把抓”的过程 , 这其中涉及到日志的类型、内容、存储、检索、分析 , 以及跨部门的协调、管理等等诸多挑战 , 都需要安全团队一一解决 。
“在当时的情况下 , 这些问题都很棘手 。 ”张萌表示 , “不能否认SIEM是好产品 , 但缺乏有效的安全运营手段 。 就像一个厨师 , 应当按着自己心中的菜谱搭配食材 , 而不是对着杂乱无章的厨房 , 构思着虚无缥缈的满汉全席 。 ”
【四个转变 看能源巨头国家电投的网络安全运营之路】从合规驱动到实战导向
到2019年 , 国家电投在思路上有了显著的变化 。 那一年 , 公安部提出了 “三化六防”新思想 , 以“实战化 , 体系化 , 常态化”为新理念 , 以“动态防御 , 主动防御 , 纵深防御 , 精准防护 , 整体防护 , 联防联控”为新举措 , 构建国家网络安全综合防控系统 , 深入推进等级保护和关键信息基础设施保护的积极实践 。 在网络安全防护体系建设中 , 国家电投不仅单纯考虑政策监管和合规需求 , 更要将 “三化六防”理念贯穿进去 , 其中率先落地的就是实战化和常态化 。
“基于实战化的思想和需求 , 我们第一步要解决威胁检测的问题 。 比如我们拥有什么资产?这些资产有哪些脆弱点?是否被攻击?具体是什么攻击?攻击是否成功?攻击的影响是什么?该采取什么应对措施?应对措施是否有效?未被攻击的如何预防?这其实就是国家电投现在所说的安全运营要完成的工作 。 ”分页标题#e#
张萌认为 , 区别于过去面向合规的安全运维 , 安全运营更强调网络安全与信息化的融合 , 通过运营过程 , 让网络安全人员与设备发挥出应有的效果 , 从而实现网络安全风险可控可接受的目标 。
在这一年 , 国家电投部署了奇安信态势感知与安全运营平台(NGSOC) , 以NGSOC做为安全运营工作的核心威胁感知支撑工具 , 在实战化安全运营方面迈出了重要一步 。
“实战化安全运营体系的建设不是一蹴而就的 , 我们上线NGSOC , 首先要解决谁来攻击 , 用什么方式的问题 , 让安全威胁可见、可知、可控 。 否则就是两眼一抹黑 , 看不到敌人、被动挨打 。 ”
NGSOC上线的效果也是立竿见影 。 安全运营团队借助奇安信NGSOC平台的技术支撑能力 , 同期构建无缝协同联动机制 , 国家电投在安全监测预警、威胁分析和主动防御方面的能力大幅提升 。 自上线来 , 月均采集和存储约89亿条安全日志 , 月均发现约75起威胁攻击 , 包括webshell上传、挖矿木马、勒索软件、远控木马等破坏性强、影响范围大的高威胁安全事件 。
文章插图
图:国家电投综合安全态势大屏
在资产梳理及漏洞修复方面 , NGSOC上线至今 , 持续梳理总部资产及下级单位资产、网段信息 , 对多个系统进行漏洞检测、修复及复测 , 修复率高达91% 。
而在2020年网络攻防实战演习中 , 运营团队通过NGSOC对威胁告警进行监测分析 , 发现并处置安全威胁事件65件 , 结合威胁情报信息共封禁攻击IP地址74667个 , 提交防守报告16份 , 圆满完成了防守任务 。
从局部实践到规模化推广
当国家电投通过集团数据中心以及数家二级单位 , 完成探索成功的第一步之后 , 下一步的任务 , 就是按照集团公司统筹规划 , 将该模式推广到整个集团 。
文章插图
图:国家电投安全运营框架图
据介绍 , 目前安全运营中心主要覆盖了数家单位 , 包括集团数据中心、中国电力、成套公司、山东核电、姚孟电厂、横琴热电、重燃公司等等 。 按照集团规划 , 2021年 , 计划在集团范围全面扩展覆盖 , 堪称近百倍级的量级扩张 。
“量变势必带来质变 , 随着未来集团安全运营中心的建立 , 将面临效果和效率的双重挑战 。 ”张萌表示 。
首先是效率方面的挑战 。 目前 , 网络安全运营在集团数据中心已经稳定 , 每天产生2亿多条日志 , 告警归并之后 , 大约2000多条告警 。 这些告警主要依赖于专业人员来分析处理 , 效率比较低 。 在规模化后 , 预估日均告警数量将有数十倍甚至百倍的提升 , 投入数十倍的员工当然是不现实的 , 因此必须提升安全运营的效率 。 例如整合NGSOC平台和主机安全系统 , 实现安全威胁告警自动化分析判断;再例如面对历史同类的告警 , 系统按照现有的SOP执行自动化的分析判断 。
“在这个问题上 , 我们也在测试最近比较火热的SOAR产品 。 从技术理念上来说 , 我们将所有的安全产品划分为三个阶段使用 , ‘ 感知’阶段、‘ 分析与辅助决策’阶段、‘ 行动’阶段 。 SOAR能提供自动化安全编排和响应能力 , 我们将SOAR定位为‘ 分析与辅助决策’阶段和‘ 行动’阶段的‘ 执行管家’ , 希望能在规模化运营时期 , 大幅度提升我们安全运营的分析与行动效率 。 ”
第二是来自效果的挑战 。 随着规模越来越大 , 网络环境越来越复杂 , 威胁数量、攻击形式都会激烈增加 , 安全运营需要对威胁预警和脆弱性 , 实现更全面、更精准的发现和处理 。
如何解决这些问题 , 国家电投已探索了很多经验 。 举例来说 , 在日常和实战攻防演习期间 , 国家电投优先修补有公开POC或者EXP的漏洞(即已验证可被利用的漏洞) , 而不是追求大而全、修补所有漏洞 , 这样能在投入(工作量)和安全风险之间寻求相对平衡 , 在尽量降低安全风险的同时 , 又符合安全运营的投入产出比原则 。
同时 , 国家电投非常注重场景积累和经验复用 。 张萌表示 , 没有绝对的网络安全 , 将所有未知的威胁全部阻断是非常不现实的 , 因此我们的重点目标 , 是避免系统被相同的攻击手法打穿两次 , 不能在一个问题上反复栽跟头 。 所以遇到一类问题 , 一类场景 , 都将其沉淀下来 , 形成标准化的SOP积累 , 为将来全面走向系统化提供基础 。
截至目前 , 国家电投安全运营团队总结出了12类大场景 , 若干个小场景 , 并将其运营工作固化下来 , 以便能够让新的安全运营人员快速上手复用 , 满足规模增长和人数增长的需求 。 同时为系统功能更新、SOAR自动化编排等做准备 , 实现自动化编排 , 显著提升效率 。分页标题#e#
从能力输出到价值共鸣
“沿着旧地图 , 找不到新大陆” 。 探索的道路注定布满荆棘 , 在网络安全运营这条路上 , 有国内领先安全企业的持续参与 , 国家电投走的并不孤独 。 张萌表示 , “我们选择合作伙伴 , 不单考虑对方的产品和技术能力 , 更要考虑双方是否有共同的运营价值观和运营理念 。 ”
展望“十四五”期间 , 张萌提到 , 国家电投将继续坚持高标准要求、高目标定位、高水准建设理念 , 在“十三五”基础上 , 构建一体化的安全管控体系、安全技防体系、安全运行体系 , 全面实现“由被动防护转向主动防御、由静态保护转向动态保障、由加固监测转向安全可控”的三个转变 , 打造“精细化安全管控、体系化主动防御、实战化安全运行”的总体效果 , 为集团公司建设具有全球竞争力的世界一流清洁能源企业 , 提供强有力的支撑保障 。 (李经)
来源: 光明网-IT频道
来源:(未知)
【】网址:/a/2021/0302/kd755516.html
标题:四个转变 看能源巨头国家电投的网络安全运营之路
