企业安全建设之矩阵式监控提升安全有效性实践

释放双眼,带上耳机,听听看~!

引言


利用工作生活之余的闲暇时间,我维护了“君哥的体历”公众号和“金融业企业安全建设”微信群(文末有入群方式),将我从业十余年的一些体验和经历分享出来,纯粹是自己人生迷茫看不清方向时的一种坚持,坚持沉淀分享,哪怕不知目标在何方。这过程中,会有欣赏、感谢,也会有抱怨、想法……


这种分享,我理解为也是一种“开源”精神,代码和项目开源很常见,体验和经历开源不多见,尤其是比较体系化的将如何在企业做安全建设的思路和实践开源,需要自己静下心来归纳总结提炼,在平常繁重的工作任务和需要全身心投入陪伴俩娃的同时,要做好“企业安全建设”这个开源项目,难度和挑战更大。过程中,有西湖惬意的微风,也有沙漠般的烈日当头。不忘初心,方得始终。初心易得,始终难守。


好在,选择了,就不怕远。


问题和目标

监控系统是确保系统正常提供功能的“眼睛”,通过持续不断收集系统的状态信息,能够快速发现系统异常,快速响应和应急处理,尽可能降低系统承载业务影响时间,将损失降到最低。

企业安全建设中安全感知能力依赖于部署在网络层、系统层、应用层、数据层、用户层等不同层级的安全监控系统,如防病毒系统、服务器安全客户端系统、蜜罐系统、IPS系统、安全总控中心系统等。在实际中发现由于安全监控系统失效导致安全防线被突破的情况占安全事件原因的比例很高,也是红蓝对抗中防守方失败的主要原因:

  1. 资产管理工具和机制落后,未纳入集中统一管理的设备数量多,导致资产管理效果很差,基本依赖于系统管理员、安全管理员的责任心和运气;

  2. 各类安全监控系统的监控标准不明确,不统一,甚至没有,基本依赖于各安全监控系统管理员的责任心和运气;

  3. 新增设备没有纳入安全监控,安全监控系统无法与资产系统进行关联,确保监控全覆盖。没有好的技术手段和监控措施发现安全监控失效情况发生,基本依赖于人员责任心和运气;

  4. 各类监控系统无法进行整合,统一展现。从设备或监控系统单个维度呈现的结果不够准确,人工逐个系统检查的方式需要耗费大量人力,无法可持续进行运营;

  5. 如何保障监控结果的持续跟踪,确保所有已发现的监控失效问题得到整改?没有固化的流程跟踪缺失的监控,基本依赖于人员责任心和运气。

 

从2012年底开始,笔者所在团队开始研究上述问题的解决思路,创造性提出矩阵式监控思路,并进行了一年多实际部署,将团队中全部种类和数量的设备纳入矩阵式监控,发现了较多监控整改项,最终实现由于安全监控系统失效的事件大大降低,提升了安全有效性。

 

方案和实践

矩阵式监控其实就是监控的监控,主要方案和实践如下:

  1. 资产准确性

要想确保监控全覆盖,首先必须保证资产的准确性,要与资产清单相关联才能得到最准确的结果。我们建立了一套资产管理平台,将资产管理系统化,摆脱了过去通过excel文件增量更新的土办法。同时和分配IP地址的系统关联,自动获得本团队新增的IP资产,放入资产管理平台中。这块还可以再和自动化扫描和资产识别的工具关联,让资产管理更加自动化和准确。

   2. 明确监控标准

梳理在用的主要监控系统类别,明确各类安全监控系统需要部署的监控标准,如下所示:

 

备注:该图仅列举了部分系统类型和监控项,实际中系统类型有10项,监控类型9项。

   3. 部署矩阵式监控

什么是矩阵式监控?矩阵式监控主要通过横向和纵向两个维度的结果,进行比对,确保结果的准确。

横向维度指的是从上表中的横向系统出发,通过分析系统的配置、进程和服务情况,判断该系统是否添加了相应的监控手段,再和资产清单比对,形成横向的汇总报表。

纵向维度指的是从上表中的纵向监控系统出发,通过导出每套监控系统中添加的设备列表,再和资产清单比对,形成纵向的汇总报表。

最后将横向报表和纵向报表进行比对,形成矩阵式监控报表。只有当横向和纵向结果中都显示监控正常,才认为是监控正常,否则均认为是有问题的,需要进行整改,确保不会遗漏。矩阵式监控报表的产生涉及到众多系统类型和监控类型,很多都没有现成的报表功能,都需要通过开发程序和工具来实现,实际中开发了20多个工具程序。

 

1)  横向维度:通过检查各系统的配置,或者Windows和Linux的进程,服务等,生成监控结果。

 

 

2)  纵向维度:从各监控系统中导出纳入管控的设备,生成监控结果。

 

3)  开发程序,将横向结果与纵向结果进行比对,生成比对结果,通过交叉验证,确保结果准确性。

 

 

4)  将横向结果、纵向结果和比对结果与资产清单关联,发现资产清单中未部署监控的设备,从而保证监控系统全覆盖。

如何确保新增的设备都纳入了监控?通过矩阵式监控报表与资产清单的比对,可以发现新上的设备,未在资产管理系统中添加设备的情况,只要这台设备添加了任何一种监控方式,但是它没在资产清单中,可以很快被矩阵式监控发现,并显示事件,这样可以确保资产的及时更新,并确保新上设备的其它监控方式也全部添加。

   4. 持续跟踪整改

如何保证矩阵式监控的结果持续跟踪,及时整改?

每天生成一份矩阵式监控报表,对存在的问题划分优先级,优先级高的纳入督办整改。在矩阵式监控实施之前,我们只零星发现一些监控缺失情况,对监控覆盖率还是有些信心。生成报表后发现问题隐患还是比较多,整改任务比较艰巨,花了N多精力和时间把监控这项基础工作做好做全面。通过矩阵式监控结果也发现资产清单的很多错误情况。

我们将矩阵式监控的日报与日常值班检查的监控界面进行集成,将不合规的项在监控界面上图形化展示,每天值班人员进行检查,并在值班记录中登记详细情况,第二天安全事件晨会Review值班记录,团队负责人督导不合规项的整改,如果没有及时整改,以后每天都会在值班可视化监控平台中持续亮红,通过持续Review和跟踪,确保整改到位。

 

矩阵式监控结果可视化展现


备注:绿色表示该管理员负责系统或设备矩阵式监控检查全部合格,红色表示不合格,数字表示不合格项数量。

收益和体会

通过矩阵式监控的实施和长期运营,目前除了一些PC终端偶尔出现服务停止等不稳定因素外,监控覆盖率接近100%,监控出现缺失或监控服务出现异常,一个工作日之内可以发现,并迅速修复。资产清单准确性也大大提升,不再单纯依靠人员的责任心和运气,而是通过资产缺失的自动发现机制,来督促大家及时更新资产。目前这套矩阵式监控机制运转良好,提升了安全监控的覆盖率和有效性。

矩阵式监控的方法具有普遍适用性,可用性监控等都可以参考借鉴,技术实现上来说没有任何问题。可视化发现问题和后续持续改进跟踪的机制不仅确保安全运营有效性和可持续性,也适用于绝大多数运营领域。

矩阵式监控解决的问题,本质上属于防止人因误操作领域,有关如何更专业的避免人为因素导致的生产故障,请了解“核电厂人因管理”,国内该领域研究走在前列的是南华大学的人因研究所,某些金融机构已经在向该领域最专业行业跨界学习。

两点体会:

  1. 再NB的安全技术也要做到尽可能实现SB也能运营。安全产品或安全措施,要像电视一样,80岁老人会开,2岁小朋友也会开。如果动不动有强前置条件,比如需要能看懂告警的安全人员才能维护,那这个安全产品或安全措施还不如不要,没法持续安全运营。企业安全建设中,技术往往不是最头疼或首要考虑的问题(往往也不是问题),首要考虑的是是否能够有效发挥功能。再有效的监测技术,没有安全运营,没有坚持安全运营,就是马奇诺防线,好看不顶用,接地气的“笨办法”往往最有效。安全负责人对安全产品和厂商少一些抱怨,多一些坚持和笨办法。

  2. 矩阵式监控思路实现中,最终展现在一线人员前的只有几个小人图标(红色或绿色),这是复杂设计后的简单展现,让不具备太强安全能力的人员也能成为对抗攻击者的力量,这是安全工程化的能力,安全应尽可能的展现简单之美。

笔者有幸参与了安全团队矩阵式思路和实践的过程,致谢团队成员(未列出全部):zdlh、snow、xysky。

———————————————-

有兴趣加入的朋友请关注微信公众号“君哥的体历”,扫描下方二维码加我微信,留言 微信号+公司名称,验证身份后入群。


本群主要用于探讨金融行业企业安全建设的实践,主要讨论如何做好安全运营、安全攻防,安全嵌入业务、安全考核、安全度量、安全如何体现价值、安全汇报,安全内控,更低的成本实现安全合规等最佳实践,解决安全在企业落地的最后一公里的问题,希望大家踊跃提问,发言,分享体历。进群的朋友先修改备注,姓名-公司。进群新人先做自我介绍,禁止一切广告,不提倡红包。为保障群质量,禁止推荐和自己利益相关的产品厂商,群成员应保持发言活跃度,定期清理人员,谢谢。



附注:

  • 聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。

  • 本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。



长按识别二维码,和我交流。

该文如对你有一点帮助,请我一杯咖啡

本文源自微信公众号:君哥的体历

人已赞赏
安全工具安全建设

再谈安全运营

2019-10-16 17:32:42

安全工具

小白应知的“黑客术语”

2019-10-16 17:32:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索