安博通薛洪亮:以“中台化”视角看安全运营的变革与发展

为了应对日益严峻的网络安全新形势,现代企业已经逐渐认识到,需要通过一套机制整合分散的各个安全孤岛的数据,快速构建更强大的网络安全能力,为企业网络安全决策、常态化安全运营和网络安全应急保障提供支撑。

本文来自微信公众号“安全牛”。

访谈嘉宾:安博通副总裁薛洪亮

分析师:王剑桥

随着我国企业数字化转型的深入,企业的IT网络中部署了大量安全防护工具和系统,这产生并加剧了网络安全数据的孤岛问题。在各个分散的安全系统中存储了大量数据,安全运营人员必须通过多个系统查询数据才能对安全事件进行分析评估,导致很多数据没有得到及时有效的利用。

为了应对日益严峻的网络安全新形势,现代企业已经逐渐认识到,需要通过一套机制整合分散的各个安全孤岛的数据,快速构建更强大的网络安全能力,为企业网络安全决策、常态化安全运营和网络安全应急保障提供支撑。由此,安全业务中台的设计理念应运而生,即调动一切的积极因素,把网络安全平台、设备、队伍、流程等统筹起来,并不断的进行安全防控与管理、做到动态地持续改进。

本期牛人访谈我们邀请到了安博通副总裁薛洪亮,就“新一代安全业务中台”的价值、落地、挑战及未来趋势展开探讨。薛洪亮认为:新一代的安全业务中台建设不仅要满足客户安全管理需求、支撑起客户安全管理工作,还要解决传统平台无法解决的问题和挑战。安全业务中台建设的核心目标就是提升用户的网络安全效能,更好地保障用户数字化业务持续、规模化地创新发展。通过安全业务中台,企业一方面可以有效地整合已建设的各种安全能力,另一方面也可以真正做到将安全能力与数字化业务需求的持续对接。

10cc1ff9abd24c50ba6b4889bf9e4457.jpg

薛洪亮

北京安博通科技股份有限公司副总裁,中国信息协会信息安全专业委员会行业云安全联盟专家、公共安全行业标准制定参与人。在IT行业工作十余年,主要进行网络通信、网络安全与智能化领域的技术研究,具备深厚的技术积累。曾参与金融、运营商等行业典型客户的网络安全整体方案设计,拥有丰富的场景实践经验。

01

安全牛

加强安全运营能力建设已经成为企业做好网络安全工作的关键,但是目前以SOC、SOAR、态势感知等为代表平台型安全运营技术方案,在应用实践中的效果却并不理想,原因是什么?

薛洪亮

以SOC为代表的平台型安全运营产品,在落地部署中会遇到很多困难,导致实际应用效果并不理想,我们认为原因主要包括兼容性、可视化、自动化与场景化4个方面。

兼容性方面:用户现有网络中的设备数量多、品牌杂,接口开放程度与形式参差不齐,平台型产品实现集中管理的难度大、成本高,需要平台厂商能够提供更丰富的对接方式,并附加大量的适配开发工作。

可视化方面:缺少网络结构的自动化建模与可视化呈现的能力。一方面,网络物理拓扑不完善,由于管理协议的不完全标准化,导致物理拓扑的兼容性与自动化存在严重问题,很多用户只能通过Visio图管理网络;另一方面,网络逻辑路径、应用连接关系以及数据动态流转所定义的网络高维拓扑不可见,导致资产、脆弱性、暴露风险与安全事件不能基于网络结构实现关联分析与呈现。

自动化方面:用户在实际攻防演练、安全运营、应急响应等工作中发现存在海量的基础性工作,如恶意域名与IP的应急封堵、漏洞与脆弱性的日常处置、告警的调查分析与响应等,亟需相应的技术手段把一些重复性的工作实现自动化。

场景化方面:从目前的产品开发和用户业务需求实际情况来看,很难以完全的产品形式满足用户安全运营管理平台的建设需求。几乎每个项目都要进行大量的定制化开发,甚至还要提供人员服务,最终才能实现闭环。

02

安全牛

企业应该如何解决以上安全运营工作中存在的困难和挑战呢?

薛洪亮

为了帮助企业构建更有效的安全运营能力,我们在现有安全运营技术方案的基础上,提出“安全业务中台”的理念与方案。

第一,将用户现在的网络设备、安全能力、业务系统、管理平台进行标准化整合,并能在此基础上支持不同种类安全能力的协同、不同性质平台系统的联动与不同岗位工作人员的协同;

第二,为用户提供定制化服务。尽量将中下层系统或者数据标准化,南向对设备进行管理,北向开放API接口,从中台层面尽可能做到标准化、组件化,从整体交付来说,又可以通过定制化开发在实际场景中进行业务落地,把核心产品研发和定制化开发分清楚。

概括来说,新一代安全业务中台,就是基于物理网络、逻辑网络、应用网络、数据网络四维网络仿真技术,构建网络基础架构孪生,通过丰富的接口技术连接用户的网络资产与安全能力,面向不同场景实现灵活的业务流程编排以及自动化,赋能用户安全运营业务。

新一代安全业务中台并不是要一揽子解决用户安全运营管理平台建设的问题,它聚焦的是用户网络资产、安全能力、业务系统之间联系协同的问题,致力于帮助用户提升安全检测与分析的能力、提高事件处置与运营工作的效率、降低平台建设成本与缩短部署周期。

03

安全牛

安全业务中台目前的技术成熟度如何?是否可以在企业安全运营环境中实际有效的落地应用?目前是否有成功应用的真实案例?

薛洪亮

目前,“新一代安全业务中台”在运营商、交通、电力、大型企业等行业用户中已经有了大量的实际应用。一方面,通过安全业务中台建设,可以帮助用户建立全网网络节点设备管理的动态基础数据库,辅助IT运维和安全管理工作;另一方面,安全业务中台还可以与用户已有的态势感知平台、决策指挥平台进行对接,实现局域网或广域网网络安全设备的统一管理与安全策略的集中管控。

以我们最新交付的某部委客户为例,“新一代安全业务中台”作为安全运营管理整体平台中的“中间件”进行部署,北向对接用户已经建设的IT运维平台、安全大数据分析平台与决策指挥平台,南向集中对接管理各品牌的网络与安全设备,实现配置自动采集与解析、设备状态监测、配置集中下发。对于上层业务平台,“新一代安全业务中台”很好地解决了设备管理的异构性,并且针对不同性质的上层业务平台进行能力输出,向IT运维管理平台输出设备信息采集与配置下发的能力;同时,可以向安全大数据分析平台输出业务访问关系与攻击路径分析的能力;此外,还可以向决策指挥平台输出安全事件响应处置的能力,实现了用户现有的各安全业务平台连接与协同,有力的支持了用户安全能力提升的目标。

实际上,“新一代安全业务中台”具有较强的普适性,如果用户已建设了态势感知平台,我们就可以为其提供网络基础架构;如果用户已建设了安全大数据分析平台,就可以为其提供相关的安全分析数据与检测能力;如果用户已建设了决策指挥平台,就可以为其提供联动处置、流量编排、SOAR等能力;如果用户的安全管理建设属于初期阶段,还可以为其提供整体的安全数据中台与安全能力中台,在应用形式上十分灵活。

04

安全牛

从实际应用的角度,安全业务中台的价值及具体的技术实现。

薛洪亮

1.对网络结构的高度可见是安全检测与分析的重要基础,新一代安全业务中台能够综合采集解析多维的网络拓扑。可以帮助用户从内外两个视角看清网络攻击面与网络暴露面,看清正常的应用访问与数据访问行为。在发生安全事件时帮助用户看清攻击路径与影响范围,更精确的提取相关数据,降低输入数据噪声,从而提升检测分析的速度与效率。

2.用户在安全运营过程中存在大量常态化的工作,新一代安全业务中台基于自定义工作流引擎。可以将日常中可以固化流程的工作,抽象转化到平台上编排成一个有向无环流程图来完成自动化执行。还可根据场景不同来设置不同的触发条件,做到自动无值守,实现从人工处置到自动化剧本的转化与积累。

3.新一代安全业务中台提供应用接入自动化引擎,该引擎是中台与第三方服务应用的触手,是中台无缝衔接各类具体业务实现的基础。可不限接入类别,实现标准化按需接口集成;提供统一的标准接入方法,是一个半自动化高效接入方法。新一代安全业务中台还内置了关联分析引擎与AI学习引擎,能够快速对接入的数据进行清洗、分析并向上层应用、业务输出。基于上述提到的自定义工作流引擎,根据用户业务需求,基于低代码的方式,进行业务逻辑编排,使得场景化落地的周期更短、成本更低,也使得后续业务的调整与演进更加灵活。

05

安全牛

在未来企业的安全运营体系中,安全业务中台会承担什么角色?未来业务中台的发展方向是什么?

薛洪亮

新一代安全业务中台的终极目标是成为数字化时代网络安全运营的“中枢神经”,但这个目标角色不是一蹴而就的。平台自身的技术能力是一个发展的过程,同时也要匹配用户安全运营体系的不同建设阶段与不同的业务关注点。在用户平台初期建设阶段,我们做好“基础底座”的角色,在用户平台能力提升的阶段我们做好“引擎与能力供应”的角色,在用户平台整合协同阶段我们做好“中间件”的角色。

新一代安全业务中台未来的发展方向就是网络安全网格。Gartner提出的安全网格核心思想是要面向业务系统可装配,即真正面向业务系统,通过标准化的接口,去编排自己的一些能力。只有把这些基本的日志、API、配置数据以及SOAR做好以后,才可能做好安全网格。同时,安全网格要求实现“集中式策略管理”,这需要深刻理解网络基础架构,并对全局访问进行有效控制才可能实现。在引入安全业务中台的技术理念后,安全网格有望得到真正的实现和支撑。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论