护网活动中的安全产品优化

发布时间：2021-11-13 11:55 所属栏目：53 来源：互联网

导读：0x00、前言伴随着新基建项目的不断演进，IT信息安全业务也在不断的变化，从前几年的只销售安全单品、安全服务、安全解决方案到现今的销售基于IT基础设施的安全服务。这种安全服务，安全能力不仅仅包含安全产品、纯安全服务，还需要一整套基于IT基础设施的自

0x00、前言

伴随着新基建项目的不断演进，IT信息安全业务也在不断的变化，从前几年的只销售安全单品、安全服务、安全解决方案到现今的销售基于IT基础设施的安全服务。这种安全服务，安全能力不仅仅包含安全产品、纯安全服务，还需要一整套基于IT基础设施的自研的安全解决方案，有时候还需要配合外采服务满足用户需求，同时业务方面需要与大型商业活动结合，安全防护级别达到护网行动的级别，同时做好政府部门对接工作。只有这样，我们才能把这种安全服务卖上500w~1000w价钱。

0x01、安全产品优化

在对外销售这种安全服务的时候，我们发现提升安全运营人员的工作效率是整个项目盈利的核心，安全产品优化的好，我们能节省的人力成本的投入就会少，反之项目会亏损。简单举个例子：如果要提供7*24小时的安全运营服务，一个项目周期为7天，14人/天，后台二线运营也至少2个人。如果安全运营人员都把时间浪费在给主机打补丁，处理防火墙策略，数据分级等基础预防性工作，那你的工作无法集中到运营监控方面，遇到问题也无法做深入思考，一旦发生入侵事件，无法有效的处理。这些前期工作都需要增加安全服务的工时。

那么针对安全解决方案，最快速搭建的方法就是使用公有云，公有云基础设施比较完备，安全服务也齐全，包括：主机安全、云WAF、抗D、扫描器、态势感知、数据库审计、堡垒机等，那么在做护网行动前，我们要做的一些安全预防性工作包括：安全镜像优化、人工渗透测试、自动化渗透测试、主机/云产品基线、安全组ACL设置、数据分级等。

先以安全镜像优化为例：

自动化安全产品：主机安全中主机漏洞，

目前存在的问题：

@1、主机操作系统的镜像制作周期一般一个季度制作一次，因为有几十种操作系统版本，每个版本需要经过严格的测试才能上线，从漏洞产生频率上看，每个季度大约CVE，2000+，RHSA 50+ ,USN 150+ 从涉及到的软件数量看，因为用户安装的软件是不可控的状态，五花八门的软件都有，这些软件的安装都会带来主机漏洞。

@2、漏洞库爬取后，如何有效判别该漏洞是否符合产品漏洞库的条件，靠人工方式确认，一般厂商也不会这么做，投入产出比太低。

@3、在护网期间，对配置变更服务器要有一定的审批流程。新加入的服务器，新安装的软件都要做严格的审查，业务方上线需要和安全有联动，使用重保安全镜像。同时在重保期间暂停漏洞库的更新，针对一些特殊情况，例如：云服务器上运行着Kubernetes，Pod重启会导致灾难性的后果。需要添加例外。

为啥要改产品：

@1、有些流程一旦被验证，自动化会提升安全运营效率。

@2、用第三方安全产品，产品更改的难度很大，所以一般都是第三方安全厂商的售前或者产品经理通过曲线救国的方式帮你变形解决相关问题。

@3、目前大部分安全产品没有针对护网的需求，做出产品化的调整。用户需要护网模式的产品。

其次消耗安全运营人员精力的是：配置安全组和ACL策略。

由于在公有云上防火墙策略已经与安全组和ACL策略耦合在一起，同时，业务系统在不断的变更，上线下线，给安全风险管控带来的诸多不便。今天哪个部门上了一个应用，需要开TCP8080端口对外服务，也不知会安全人员，系统测试发现上一直不通，查来查去，最后发现业务系统访问的数据库端口没有加入到安全组的开放列表中，这种崩溃的事情，在护网前期时时刻刻再发生。。。没有一个整体安全可视化的网络资产管理模块，帮助用户图形化管理安全组或者ACL策略。

产品解决方案：微隔离可视化管理

通过微隔离可视化技术帮助用户业务人员在上线业务的同时，做好安全控制。既提高了配置工作效率，也防止高危端口暴露在外，给红队小伙伴可乘之机。

产品的核心是可视化：

@1、需要支持自定义分组，例如：按照业务分组等，同时支持各种角色组，例如：数据库角色，web服务角色。

（编辑：ASP站长网）