第1章 白队介绍
白队作为彩虹架构中的一种角色,与建设者、攻击者和维护者一样重要。白队管理彩虹团队中所有颜色的团队,但不是直接作为其中之一。本章将对白队这一角色进行详细的介绍,帮助读者了解白队在安全运营中所起的作用及相关概念。
1.1 安全运营概念
1.1.1 安全运营背景
目前,安全运营在业界越来越流行,主要有以下四个层次的原因。
第一层次的原因是所面临的环境,即国内外的网络安全形势,迫使业界继续对安全工作进行进一步的迭代。
第二层次的原因是强化政策法规驱动的合规管控要求。通常,《信息安全技术网络安全等级保护基本要求》(简称等级保护2.0)中“一个中心,三重防御”,其中“一个中心”是指安全管理中心,基于安全运营的安全管理中心是其本质。
第三层次的原因是市场走势。随着信息技术的不断发展,城市信息化应用水平不断提高,智慧城市建设应运而生。建设智慧城市对于实现城市可持续发展、引领信息技术应用、提高城市综合竞争力具有重要意义。安全运营中心在智能城市中扮演着重要的角色,专业安全运营公司负责平台建设、人才输出、培训和运营。
第四层次的原因是常态化对抗下安全能力不足的现实问题。2007年以来,以合规为导向的安全建设进入了一个新阶段。各单位普遍开展了安全建设,购置了大量的安全设备,增加了安全岗位,甚至成立了安全保卫部。然而,由于各种因素的影响,专业人才的缺乏和专业技能的缺乏仍是各单位的痛点。近年来开展的红蓝对抗和高强度实战演练,暴露了运营商的核心安全能力,其人员、装备、流程、机制不能有机结合。我们要充分地认识到良好的安全操作能发挥工具和设备的最大价值,这样才能充分保证安全系统的高效运行。
1.1.1.1 国内外安全形势
首先,回顾一下2019年国内外发生的灾难性的信息泄露、网络攻击等案例。
1.维多利亚州政府3万名雇员的个人信息泄露
据美国广播公司2019年1月1日报道,在未知政党下载了一些维多利亚州政府目录后,3万名维多利亚州公务员的工作细节被盗。此政府雇员目录包含工作电子邮件、职务和工作电话号码。受数据泄露影响的员工通过电子邮件得知,通信簿中员工的电话号码可能已经泄露。工作人员被告知,数据泄露并不影响其个人银行和金融信息。总理府表示,已将泄密事件移交警方、澳大利亚网络安全中心和维多利亚州信息专员办公室调查。新闻部发言人表示,“为防止再次发生此类数据泄露事件,政府将妥善处理所有调查”。
2.万豪酒店5亿客户的数据泄露
酒店连锁巨头万豪国际酒店集团表示,旗下喜达屋酒店的客房预订数据库遭黑客入侵,经过取证和分析团队的仔细调查,发现其大数据泄露事件影响的客户数量已从5亿减至3.83亿,其中包括500多万个未加密的护照号和大约860万个加密信用卡号被盗。尽管万豪集团披露的最新数据低于此前数据,但这一事件仍然是历史上最大的个人数据泄露事件之一。万豪表示,喜达屋自2014年以来一直受到黑客攻击。万豪表示,如果受影响的客人证明自己是数据泄露的受害者,他们将支付新护照的费用,这可能会使万豪损失5.77亿美元。
3.超过10个iOS应用程序感染了安全恶意软件
北京时间2019年1月6日消息称,安全研究人员表示,他们已经发现10多个iPhone应用程序秘密向服务器传输与恶意软件Golduck相关的数据。Golduck于两年多前被发现。当时,Appthority公司发现Golduck会感染Google Play中的经典游戏,它在游戏中嵌入后门代码,并使恶意代码秘密感染设备。当时,这些恶意代码已感染了超过1000万名用户,并允许黑客以最高权限运行恶意命令,如在用户手机上发送付费短信牟利。研究人员说,与Golduck通信的iPhone应用程序也面临风险。
4.德国IT安全局回应数百名政客的私人信息泄露
根据美联社2019年1月6日的报道,德国信息技术安全局1月5日对数百名政客的私人信息泄露做出回应,此前立法者指责该局未能及时通知他们。德国信息技术安全局承认,2018年12月初,一名立法者曾就其私人电子邮件和社交媒体账户上的可疑活动与该局联系,但该局认为,他的经历是当时的一次意外。多达1000名德国政界人士和名人的私人信息被泄露,其中包括个人地址、手机号码、聊天记录和信用卡号码。德国信息技术安全局仍在调查是谁盗取并公布了这些信息,泄露这些信息的人不包括极右翼政党德国新选择党的成员。
5.TLS 1.2协议漏洞,近3000个网站受到影响
据雷锋网2019年2月12日报道,Citrix公司在TLS 1.2协议中发现了一个漏洞,该漏洞使得攻击者能够滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。Tripwire漏洞挖掘研究小组的计算机安全研究员Craig Yang说:“TLS 1.2中存在漏洞的主要原因是它继续支持一种过时已久的加密方法:密码块链接(Cipher Block Chaining,CBC)。”该漏洞允许类似于SSL POODLE的攻击。此外,该漏洞允许中间人攻击(称为“MITM攻击”)加密用户的Web和VPN会话。
6.印度国有天然气公司再次泄露数百万客户的敏感信息
据国外媒体报道,由于网络安全措施不到位,印度国有天然气公司(Indane公司)再次泄露了数以百万计的Aadhaar生物特征数据库信息。问题出在,Indane的网站为分销商和渠道商提供服务,而其中的一些内容已经被谷歌编入索引,因此每个人都可以绕过登录页面获得访问权限。
7.俄罗斯50多家大公司遭不明攻击者勒索
2019年3月2日,Rostelecom-Solar的网络安全专家记录了对俄罗斯公司的大规模网络攻击。这次攻击使用物联网设备,特别是路由器,通过伪装为50多家知名公司(如Auchan、Magnet、Slavnyov)发送钓鱼电子邮件,借助勒索软件对公司人员进行攻击。追踪被黑客攻击的网络设备比服务器要困难得多,使用物联网设备的攻击对入侵者来说更简单、更安全。专家说,任何可以发送电子邮件的设备,如调制解调器、路由器、网络存储、智能家居生态系统和其他小工具,都可以用于网络钓鱼攻击。
8.伊朗黑客组织攻击澳大利亚议会和英国议会
2019年3月2日,总部位于洛杉矶的网络安全公司Resecurity表示,2019年2月初,澳大利亚议会的网络攻击是伊朗黑客组织铱星“多年网络间谍行动”的一部分,且2017年对英国议会的网络攻击也是该组织进行的。此外,该组织还针对澳大利亚、加拿大、新西兰、英国和美国的政府、外交和军事组织进行网络攻击。在这两起事件中,黑客使用暴力攻击从立法者那里获取个人数据,窃取了包括议会成员的姓名、电子邮件和出生日期在内的千条记录。据研究人员称,黑客集团真正的目的是“战略信息收集”。
9.英特尔CPU再现高风险漏洞,并被正式确认泄露私人数据
北京时间2019年3月6日消息,美国伍斯特理工学院的研究人员在英特尔处理器中发现了扰流器(Spoiler)的高风险漏洞。与之前发现的Spectre类似,Spoiler会泄露用户的私人数据。虽然Spoiler也依赖于预测执行技术,但是现有的解决方案对修复Spoiler的漏洞没有任何作用。对于英特尔及其客户来说,Spoiler的出现并不是一个好消息。研究论文明确指出,“Spoiler不是Spectre攻击,Spoiler的根本原因是英特尔内存子系统实现中地址预测技术的缺陷。现有的Spectre补丁对Spoiler无效”。
面对日益严峻的网络空间安全威胁,美国、德国、英国、法国等世界主要发达国家纷纷发布国家网络安全战略,明确了网络空间的战略地位,并提出将采取外交、军事、经济等政策及保障网络空间安全的各种手段。2011年4月,美国发布了《网络空间可信身份国家战略》,首次将网络空间的身份管理提升到国家战略的高度,并着手构建网络身份生态系统。这一战略的出台表明,美国高度认识到网络身份安全在确保网络空间安全中的重要战略地位。从各国战略规划的内容来看,一方面,政府希望通过制定顶层安全战略来引导本国安全产业的发展;另一方面,网络空间保护也逐渐上升到了与传统的领土防卫相同的地位。网络安全部队将加快发展军事信息安全攻防,积极应对未来可能发生的网络战争。严峻的网络安全形势正推动着安全市场的快速发展。2016年,全球安全产业规模达到928亿美元,比2015年增长8.2%。数字企业的多个要素正日益推动全球对信息安全的关注,特别是云计算、移动计算和物联网,而复杂且影响重大的目标攻击也发挥了推动作用。
长期以来,我国网络安全的核心技术一直被其他国家所控制。在网络攻防技术飞速发展的今天,我国应对网络安全威胁的能力与发达国家相比仍处于劣势。首先是信息技术安全监控能力不强。我国对进口网络信息技术和产品的监测与分析主要基于合规性评价,很少涉及软件核心技术。其次是大规模协同漏洞分析评估能力较低,产品安全漏洞和“后门”难以发现,大数据分析、可信云计算、安全智能联动等技术力量不足,使新兴信息技术产品的安全监控难以应对。最后是网络攻击缺乏可追踪性。目前,我国对海量网络数据缺乏有效的分析方法,对APT等新的安全威胁的监测技术还不成熟。即使检测到此类威胁,也会由于缺乏回溯方法而很难找到攻击源。
此外,我国的网络可信身份生态建设仍需加强。
一是网络可信身份系统建设没有顶层设计,总体规划布局不明确。我国没有明确将网络身份管理纳入国家安全战略,也没有形成推进网络可信身份体系建设的总体框架和具体路径。
二是基于身份资源没有得到广泛的互联互通,重复建设基础设施的现象严重。由于缺乏战略设计和总体规划,我国网络可信身份基础设施共享合作相对滞后,导致基础可信身份资源库尚未实现广泛的互操作和共享,使得数据验证成本越来越高,而效率越来越低。
三是认证技术发展滞后,不能满足新兴技术和应用的要求。云计算、大数据、移动互联网、工业互联网等新一代信息技术不断涌现。在新兴技术和应用环境中,传统技术和应用在数据传输、存储与处理方面存在重大差异。现有的认证技术、手段和机制还不足以支持新技术和新应用的发展。因此,迫切需要开展有针对性的研究,尽快制定国家网络身份可信战略,打造可信的网络空间。
1.1.1.2 政策法规
2012年,党的十八大报告中强调,要高度关注网络空间安全,并将网络空间安全、海洋安全、太空安全置于同一战略高度。2013年,党的十八届三中全会也再次指出,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全。2015年7月,全国人民代表大会常务委员会通过了《中华人民共和国国家安全法》,并于2015年7月1日开始实施,首次将网络空间正式上升为我国继陆、海、空、天后的第五疆域。2015年10月,《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》指出,实施网络强国战略,加快构建高速、移动、安全、泛在的新一代信息基础设施。
2016年11月,全国人大常委会通过了《中华人民共和国网络安全法》,该法于2017年6月1日起正式施行,并建议“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、入侵、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。它强调了金融、能源、交通、电子政务等行业网络安全等级保障体系的建设。
我国最近执行的重要政策是供给侧结构性改革。供给侧结构性改革旨在调整经济结构,实现要素的优化配置,提高经济增长的质量和数量。行业对安全运行的重视,类似于实施“供给侧改革”,调整安全工作重点,充分优化安全要素配置,大幅提升安全能力,在常态化对抗中赢得先机。此外,《中华人民共和国网络安全法》和新《信息安全技术 网络安全等级保护基本要求》都明确提出了安全监测和处置要求,这是安全运营的重要组成部分。安全运营是企业做好网络安全工作的重要出发点,特别是“等级保护2.0”所要求的安全管理中心,表明安全运营管理也是一个明确的合规要求。
1.1.1.3 市场规划
智慧城市是在城市各行业中运用新一代信息技术,基于知识社会形成的下一代创新型城市信息化的高级形式。智慧城市有助于实现信息化、工业化、城市化的深度融合,有利于缓解“大城市病”,提高城市化质量,实现精细化、动态化管理,提高城市管理效能,提高市民生活质量。
2010年,IBM正式提出“智慧城市”愿景,希望为世界和中国城市的发展贡献自己的力量。根据IBM的研究,城市由与城市主要功能相关的六个不同类型网络、基础设施和环境核心系统组成,其中包括:组织(人员)、商业/政府、交通、通信、水和能源。这些系统不是分散的,而是以协作的方式相互连接的。城市本身就是由这些系统组成的宏观系统。
安全运营中心将为智慧城市提供帮助,集中承载政府和企业网络安全服务,为客户提供有效的整体安全服务。安全运营中心具有7×24小时的安全监控、智能感知、响应处置和运营管理能力,在城市间的区域安全运营中心建立横向联动机制。同时,结合安全咨询制定运营中心应急响应体系,有效提高防范网络安全事件的能力,确保政府机关和企业信息系统正常、可持续运行。
1.1.1.4 用户需求
随着我国网络安全防护措施的不断完善,网络安全防护水平进一步提高。然而,与信息技术创新和发展相关的安全威胁与传统安全问题交织在一起,使得网络空间安全问题日益复杂和隐蔽。我们所面临的网络安全风险越来越大,各类网络攻击事件层出不穷。国家互联网应急中心在2019年上半年我国互联网网络安全态势报告中称,我国移动互联网恶意程序数量持续快速增长,营利明显;针对境外网站的攻击事件在我国频繁发生;互联智能设备被恶意控制并用于发起大流量分布式拒绝服务攻击现象更加严重;网站数据和个人信息泄露造成的危害不断扩大;欺诈勒索软件在互联网上肆虐;具有国家背景的黑客组织发起的APT攻击直接威胁国家的安全稳定。
面对日益复杂的网络环境和无休止的网络攻击,对海量数据分析、主动安全防御、便捷高效的安全工作的需求日益增加,安全操作市场逐渐增多,现有的安全产品本身已不能满足现代的保护需求。现有的安全产品主要存在效率低、不专业、成本高三个方面的问题。
(1)效率低。目前,各种安全产品被用来检测网络上的攻击威胁,以维护网络的安全运行。然而,这些安全方法一般只能在一定范围内发挥特定的作用,缺乏有效的数据融合和协同管理机制。面对大量零散的信息,用户无法快速、全面、直观地了解系统的安全漏洞、整体攻击状态及安全防护效果。另外,随着攻击手段的不断变化,一些先进的攻击手段目前高度隐蔽,很难通过单独的安全产品进行检测和防护。这就需要对用户网络中的所有安全事件信息、威胁信息和相关数据进行汇总,结合知识库和网络智能数据库,快速准确地发现网络异常和高级威胁。同时,通过通知用户或与网络中的安全设备互操作,达到智能检测和防范高级威胁的目的。
(2)不专业。随着我国信息产业和网络技术的不断发展,网络安全服务市场发展速度加快。传统的网络信息安全产品很难适应日新月异、复杂多变的网络空间。新形势下,产品与服务的联系更加紧密,安全服务正逐步从产品配套的角色发生转变,成为安全产品实现最佳性能的必要条件。安全保卫工作必须有专业的运营分析团队支持,提供持续的分析和服务。2017年,我国网络安全领域面临的人才缺口已达70万人,缺口率达95%。到2020年,这一数字将增至140万人。
(3)成本高。许多企业存在重复规划建设、向多家厂家采购产品和服务、管理成本增加、分析转化成本增加、售后问题未解决、沟通成本高等问题。要通过统一的安全管理框架对各种系统、应用、设备、安全产品实施集中管理和监控,提高分析转化效率,在安全产品和安全服务一体化管理的基础上降低管理成本,解决售后多接口、多通信的成本问题。
1.1.2 安全运营的定义
接下来将从下面几个问题逐步明确安全运营的定义。
问题一:什么是运营?
管理学中对运营的定义:“运营就是对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称。”企业为了达到自身的经营目的,对技术、财务会计、市场营销、生产运营、人力资源管理五大职能进行统筹管理,这种管理就是运营。总体来说,运营就是以目的为导向的统筹管理。
问题二:什么是安全运营?
一般来说,安全运营被定义为以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
以运营的概念为基础,安全运营是以用户网络的最终安全为目的,实现运营过程的统筹管理。本质上,安全运营是一个技术、流程和人有机结合的复杂的系统工程,包含产品、服务、运维、研发等,通过对已有的安全工具、安全服务产出的数据进行有效的分析,持续输出价值,解决安全风险,从而实现安全的最终目标。其模式是用“服务模式”开展合作,以“安全能力”进行赋能,以“安全数据”提供决策,以“运营能力”作为交付,通过该运营模式来发现问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化。
1.2 白队概念
白队对人的综合素质要求非常高,需要了解技术、熟悉项目、知晓产品、精通输出,甚至还要懂得品牌与生态运营,涵盖了安全领域的各个方面。了解技术,不仅包括对技术本身的了解,如主要应用领域、最佳实践、未来发展方向,还需要了解某项技术中最强的企业、最强的人;熟悉项目,需了解项目的流程、各阶段的模板、依据的规范、各阶段的难点及如何推动;知晓产品,需了解产品的应用领域、能解决什么问题、优势和劣势及用户反馈;精通输出,可以将安全技术通过项目或产品输出到其他部门或行业,解决具体的企业问题和行业痛点,将能力变现,促进安全生态链发展;品牌与生态运营,能够建立企业自己的安全品牌,对应各类安全公关事件,并积极运营安全生态,维护社区、挖掘人才,和大家互利共赢。白队的工作职责大致可以分为以下几个方向。
整合:安全工作不只是一个企业内部的工作,安全工作覆盖整个行业,依赖于各类安全企业、安全机构共同交流合作,共同探讨技术和解决方案,互利共生,共同发展。而安全运营在其中起到了决定性作用,优秀的安全运营将成为各企业坚韧的纽带,从提出新颖的想法,到通过独特的形式在适合的时间将各企业联合在一起,做出影响整个行业也有利于本企业的安全大事。
管理:包括对人、项目、技术、产品等各类资源的管理,梳理和制定标准流程与规范,组织团队,制订计划并监督进展。对于项目、技术、产品这类资源的管理首先在于制定标准流程和模板,通过安全运营平台实现线下能力线上化,提高工作效率及安全工作可视化,并且通过统一的平台实现知识共享;其次在于评价体系的建立,基于平台收集各相关方对项目、计划、产品的评价,协助各负责人、产品经理优化项目或产品。人力资源的管理包括人力资本与人本管理、工作分析、人力资源规划、员工招聘、员工培训与开发、运营绩效考评、薪酬管理。
建立安全知识体系:实现知识的量化和质化,建立知识管理体系、制定知识管理制度、构建知识管理考评体系,建立企业知识库,让企业中的知识与情报通过记录、整合、分享、更新、创造等过程,不断地回馈到知识库内形成企业安全知识库,主要通过知识积累使知识在企业组织中成为管理与应用的智慧资本,协助企业决策。
安全合规:安全运营需要依据国家相关法律法规,结合企业所处的行业位置及企业性质,建立企业自身的安全合规机制,促使安全合规趋向规范化和标准化,协助企业规范化工作,配合公安部、工业和信息化部、互联网信息部等国家机关和其他国家单位的国家检查。在信息安全合规项目实施和检查过程中,在项目范围、时间、成本“三重约束”下,在满足信息安全合规要求的同时综合权衡多个决策目标,制订最理想的安全方案,实施安全工程是实施此类项目管理所追求的目标。
安全品牌、安全生态运营:安全品牌是企业宝贵的无形资产和经营资源,也是企业在激烈的市场竞争中的制胜法宝,企业不仅需要通过核心产品和技术形成自身的竞争优势,也需要不断地保持品牌自身的竞争优势,在取得市场占有率的同时能为消费者提供标准,使其产品在市场上与同类产品有差异化优势。专业的白队能够帮助企业建立自己的安全品牌,并在企业发生重大与重要事件时,做好相应的公关宣传工作,并且积极运营安全生态。安全生态也是一个生态圈,其核心是人。人的力量是无限的、是动态的。每个人的潜力都不可低估。因此,关注安全生态系统关乎人的动态发展,而关注人则是通过挖掘和管理每个人的潜在力量来帮助公司实现自身安全。通过对安全生态系统成员画像进行分析,挖掘出不同层次的可用资源。
白队包含所有颜色,是彩虹架构中的运营者,在IT全生命周期中负责整合和运营,构建安全运营体系、安全知识体系,融合、增强安全能力,实现安全的共同目标。安全运营介于管理层的管理人员和技术层的技术人员之间,需要同时拥有管理层的大局意识和技术人员的逻辑思维,为两者进行翻译。首先,白队贯穿于各队工作的始终,起到指引整体方向的作用,整合和管理技术资源、产品资源、人力资源、项目资源,沟通协调各队工作,将资源的利用率达到最高,从而把控和监督各类安全工作的整体质量;其次,白队基于国家相关法律法规,建立企业自身的合规机制,实现安全合规的规范化和标准化;最后,白队应对各类公关事件,协助企业的管理者建立自身安全品牌。