文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

【安全说】策略可视化在挂图作战中的实践与思考

2024-12-03 03:22

关注

好看的皮囊千篇一律,

有趣的灵魂万里挑一。

抛开现象看本质,

网络安全的灵魂是什么?

如果把防火墙等硬件看作皮囊的话,

它们的灵魂就是安全策略,

没有灵魂的防火墙是脆弱的、无用的,

也是孤独的。

基于对当前防火墙策略管理现状的分析,

我们总结了九大“孤独问题”。

第四期【安全说】邀你探讨这“独孤九式”,

以下欢迎欣赏。

 

 

讲师简介:李源,20年网络安全领域从业经验,长期担任中国人民大学MBA学位评审委员,现任北京安博通科技股份有限公司资深顾问。

 

 

凡是不以策略管理为目的的防火墙,都是“耍流氓”。

这些打引号的“流氓行为”包括:策略只增不减,有人开通,无人回收,日积月累产生大量无用策略。政策落地难,由于缺少自动化工具,实践中较难达成策略最小化与合规性要求。需要大量试错成本,策略变更过程中,经常出现策略不生效、影响其他策略等问题。无力精细化管理,在不了解网络全貌的情况下,很难精细到端口和协议。

 

 

IDC早在2018年,就建议安全厂商重视策略管理。Gartner在2019年预测“到2023年,99%的防火墙缺口/被突破是由防火墙配置错误引起的,而不是防火墙自身缺陷”,并定义了网络安全策略管理技术(NSPM)。在等保2.0中,也对策略管理有着明确要求。

从某种角度讲,防守者需要的不是防火墙,而是一套访问控制管理机制,防火墙只是这套机制的载体。我们将访问控制的决策心智,称为“策略中台”,或安全策略智能运维平台。

平台的目标是:实现全网异构设备访问控制策略的一体化全生命周期管理;实现面向业务视角的全局网络安全域拓扑架构可视;实现全流程访问控制策略自动化运维;加速数字转型的自动化、集约化、智能化进程,全面提升安全运维及防护保障能力。

 

 

平台采用大数据典型的三层架构模型:数据采集层、数据建模层和数据展示层,打通以资产、策略、路径、风险为核心的四大流程,且可以无缝对接第三方安全管理平台。

平台具备一个安全策略全局建模核心算法,以及多源异构设备的适配与管理、安全域拓扑建模、攻击面量化评估和无风险策略运维四大创新能力。

 

 

当我们从“以设备为中心”走向“以策略为中心”的管理模式,一切开始改变。有效解决了策略只增不减、访问控制关系不清、合规检查无从下手、策略最小化沦为空谈等长期痛点问题,通过安全策略的智能化运维,可以持续高效地控制风险并加以缓解。

作为可视化网络安全技术创新者,安博通多年来持续深入用户一线场景,特别是网络攻防实战场景,结合业务流程与管理规范,不断丰富着实践,已连续四年获得工信部网络安全试点示范项目,并在政府、军队、企业等多个行业获得成功应用。

 

 

安全策略智能运维平台已帮助用户管理超过25种品牌、10000台网络安全设备。据不完全统计,将应急响应效率提升了31%,策略合规性提升了49%,安全运维复杂度降低了35% 。

通过对安全本质的深刻分析,我们看到:安全是一种持续的过程,只是反映某个时间点和空间点的暂时状态,终极安全结果很难达到,这一点引发着我们的持续思考。

从军事思想出发,OODA是全球公认的军事作战方法论,虽然它完全起源于军事领域,但同样适用于网络攻防领域,美军的网络安全建设思路就很大程度上依据了OODA模型。从中可以得到几点启示:1、缩减攻击面是安全防护永恒的主题。在漏洞必然存在的情况下,降低安全风险的有效方法是缩小攻击面,安全防护体系不断完善的过程,就是攻击面不断缩小的过程。2、纵深防御永不过时。3、安全配置管理(SCM)是十年磨一剑的重要基础工作。SCM是安全能力的基础,缺少它一切只是空中楼阁。4、打仗靠地图。

 

 

在挂图作战中,我们需要将网络空间中的防护对象和防护措施可视化,从而打造全局视角,完善整体防护、纵深防御和主动防御体系。我们还需要融合空间地图、安全数据和安全能力,形成基于战术级地形分析的动态防御、联防联控和精准防护作战体系。

看过《三体》的朋友都知道,在空间带来的降维打击面前,一切都显得微不足道。回想过去多年的网络攻防对抗经历,或许只是在二维世界中竭尽全力,我们应该有人去仰望星空,去探索更高维度的攻防之道……

凯文·凯利曾在《失控》一书中写到:最稳定的状态,不是一成不变,而是总处于摇摇欲坠中。控制与失控,恰恰就是不断推动网络安全产业前进的动力。未来,我们将继续把失控领域的新发现和控制领域的新探索分享给各位,欢迎继续关注【安全说】,下次见。 

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯