“京東方不僅僅是傳統認知的一家科技制造企業,而且擴充出很多的業态,既包括小課屏、畫屏等面向C端的創新産品,也包括網際網路醫院、移動健康等智慧醫療服務。這就意味着我們的資訊系統和資料開放性更強,暴露面更廣,是以網絡安全面臨的挑戰也越來越嚴峻。”京東方安全中心負責人李楠這樣表示。
京東方科技集團股份有限公司(BOE)創立于1993年4月,是一家領先的物聯網創新企業,形成了以半導體顯示為核心,物聯網創新、傳感器及解決方案、MLED、智慧醫工融合發展的“1+4+N+生态鍊”業務架構。目前京東方在全國多個城市擁有制造基地,子公司遍布全球20個國家和地區,服務體系覆寫歐、美、亞、非等全球主要地區。
更開放的業态拓展,更廣泛的全球布局、更龐大的IT系統規模……都給京東方資訊系統的網絡安全提出了嚴峻挑戰。在這種情況下,從2018年起,京東方就啟動安全營運中心(SOC)建設,是國内最先部署SOC類産品的大型企業之一。經過多年建設,SOC的成熟度已經走在了行業前列,并屢獲權威機構的推薦。
啟動篇:以資産為抓手 破解“安全孤島”難題
據李楠回憶,京東方從早期就非常重視網絡安全,并在各個子產品都有齊全的防護措施,如資料安全方面有特權賬号管理,終端防禦、網絡防禦、主機防禦都有安全部署,可以應對正常的病毒木馬、資料洩露、非授權通路等正常威脅。
然而,随着集團資訊化建設不斷深入,業務系統資産及漏洞暴露面越來越大、大量日志資料孤島叢生缺少關聯及分析、安全措施各自為戰難以協同等問題也日益凸顯。同時,随着各類安全産品的不斷部署,海量安全日志無法得到合規存儲,不僅存在合規風險,也存在日志無法有效利用的營運瓶頸。
面對千絲萬縷、紛繁龐雜的集團網絡安全狀況,該如何破題?李楠團隊給出的答案是“着眼資産”,即以資産為抓手,盤清家底、統攬全局。
選擇資産為切入口,京東方在終端安全方面已經有了良好基礎,将終端資産作為安全管理的切入口,就變得順理成章、水到渠成。
在這種情況下,奇安信剛推出不久的态勢感覺與安全營運平台(NGSOC),走進了京東方的視野。尤其是該平台在資産發現、日志收集、關聯分析、伺服器脆弱性管理等功能,吸引了京東方的極大關注。
在李楠看來,資産是網絡安全營運管理非常重要的環節,第一階段的核心工作,是以資産為中心收集資産、脆弱性、日志、流量等基礎資料,并對資料進行分類梳理,對安全事件進行管理,以實作基礎運作,為運作可控打好基礎。從2018年到2019年,京東方依托态勢感覺平台完成了SOC建設的第一階段。
第一階段的建設從幾個層面展開:在資産層面,通過人工錄入、模闆導入、流量探針、主機安全管理、漏掃等措施,實作了梳理資産、摸清家底;在漏洞層面,通過定期脆弱性掃描、漏洞與資産自動比對、資産風險評估等機制,找出漏洞并有效管理;在日志留存層面,通過态勢感覺平台完成日志彙聚、資産安全事件回溯分析、審計合規等基礎性工作;在威脅發現層面,通過建立有效而全面的流量分析,有效發現大量透過防禦體系的安全風險;而在事件管理層面,通過大資料處理技術及威脅情報比對,以及資産資料資訊查詢責任人等,大大提高了安全事件的分析處置效率。
該階段建設的效果可謂立竿見影:在營運方面,實作了所有已知資産對應責任到人,高危漏洞有效管理,資産、漏洞、告警有效關聯,關鍵安全事件閉環解決率100%,安全事件響應時間節約90%以上,并可通過儀表闆、大屏等方式數字化展示集團網絡安全各次元關鍵名額。在合規方面,實作日志留存6個月以上,完全符合法規及等保要求,并支撐HR、ERP、畫屏及郵箱等系統順利完成等級保護測評。
完善篇:“多平台互聯互通建構安全中樞大腦”
“第一階段建設顯著提升了集團的安全水準,但随着SOC發揮的作用越來越大,我們也發現了新的問題,例如部分告警資産無法找到責任人,子公司告警無法有效定位,告警量大,告警流程手工處理慢等。”李楠表示。為此,從2019年開始,集團決定啟動SOC第二階段,即功能完善建設階段。
根據規劃,SOC第二階段的任務,主要是完善并實時了解資産屬性資訊變化,屬地公司部署流量探針,集團完成平台擴容,和周邊裝置做資料打通,對關聯規則告警進行優化降噪,網絡安全數字化展示等,進而支撐資産、事件、漏洞全生命周期管理。主要圍繞以下幾個方面:
首先是更精細化的資産管理。一期工程盡管實作了有效的資産發現及資産管理,但由于所管理的組織過于龐大,資産責任部門及責任人時常動态變化,故存在一些在網裝置無法實時準确對應責任部門及責任人的問題。同時資産缺少入網、退網狀态管理。該階段,京東方通過定制化開發完成SOC平台和CMDB(資産管理系統)資料的實時打通,給每個資産賦予BMC編号,并通過API接口完成态勢感覺平台及CMDB資産資料之間的實時同步,以應對組織及人員變化對資産準确性的影響。通過自定義資産屬性字段增加入網、退網标簽,并通過“資産發現确認”流程,對入網/退網資産進行管理。真正實作了從看見發現,到清晰識别和實時掌控。
其次是建立集團化安全營運。作為分支機構遍布全國各地的大型集團企業,京東方對于大型屬地公司和小型屬地公司采取不同的部署、營運和賬号權限政策。集團可通過級聯管理及分權分域管理向屬地機關下發針對性關聯分析規則及預警通報,以對下級機關進行賦能。基于平台計算存儲所需資源,态勢感覺平台伺服器叢集也在随着資料量的增加而增加。
再次是和周邊裝置完成資料拉通,夯實安全大腦定位。通過定制化開發及API接口的對接,京東方先後完成和多個産品間的資料打通。例如,和主機CWPP對接自動擷取伺服器資産及配置基線資料;和資産管理系統對接完成全集團資産資料資訊的實時同步;和漏掃裝置對接,實作直接在态勢感覺平台調用漏掃裝置下發掃描政策進行掃描并自動導入漏掃結果;和第三方威脅情報平台對接,完成雙威脅情報比對,為自動化處置打下基礎;和ITSM系統對接,實作手動或部分确認性告警及脆弱性風險自動派單,縮短人員處置響應時間;和使用者中台對接,從使用者中台同步使用者資訊實作SOC平台的單點認證登入;和短信及移動門戶平台對接,實作告警及風險的消息提醒;和工控安全産品對接,實作IOT裝置資料一體化分析、管理和展現等。
再者是更加持續優化的安全營運。李楠做了一個比喻,NGSOC在整個安全營運中就如同“大腦中樞”,它一方面“眼觀六路、耳聽八方”,打通集團各類平台并彙聚分析集團資産、漏洞、日志、流量、告警等各類資料。另一方面,要“知行合一”,通過新增“告警處理流程”、“漏洞處置流程”,實作對告警處理閉環和漏洞生命周期管理,避免對安全風險出現“跟丢跑飛”的情況。對于告警量過大的通病,京東方通過各種技術手段進行篩選,結合長時間的風險修複營運,告警量已從最初的每日上萬級下降到每日上百級,達到人工可逐一分析處理的水準。
最後是更為靈活多元的安全态勢展現。一期工程由于缺少相應資料及功能支撐, 僅有外部威脅态勢、内部威脅态勢、資産風險态勢、安全營運态勢等部分大屏。持續優化之後,增加了包括資産态勢、全網脆弱性态勢、攻擊者态勢、業務外聯态勢、威脅預警态勢、攻防演練态勢、綜合安全态勢、漏洞生命周期态勢、全球BOE裝置及流量監控态勢、應用系統安全态勢等大屏展示場景,進而更加數字化、專題化、精細化的展示京東方整體網絡安全态勢。
通過該階段的功能完善,京東方SOC的資産管理更加契合自身安全管理屬性,并實作了告警處理閉環和漏洞生命周期管理。尤其在告警準确及風險閉環方面,京東方走在了國内前列。
優化篇:深入業務威脅模組化夯實風險管理屏障
階段一和階段二建設完成後,整體安全營運架構搭建完畢,安全營運體系基本形成。但随着集團數字化轉型的持續開展,業務系統和安全要素的融合越來越密切,各類新的問題也開始出現,比較明顯的主要是兩方面:基于業務場景的關聯規則分析能力不足,SOC特定的告警處置占用了安全人員大量時間。
“安全人員不懂業務,業務模組化有難度,是紅藍雙方共同的痛點。”京東方SOC建設負責人張森對打通安全和業務的難度,有着深刻了解。為了強化基于業務場景的關聯規則分析能力,京東方開展業務模組化工作,通過深入分析業務安全需求,實作了業務名額和IT名額的深度綁定。
以釣魚郵件為例,過去僅有釣魚郵件告警這一粗粒度的IT名額,業務模組化之後,細化為釣魚郵件收取率、打開率、URL點選率等業務名額;同樣,邊界安全的防火牆IP阻斷/允許次數,轉化為關鍵業務攻擊量。基于業務場景制定了大量關聯分析及基線分析規則,包括賬号新增、賬号鎖定、釣魚郵件、運維審計等等。通過該項工作,最終實作了以資産、業務為核心的全集團風險管理并積累了大量安全營運知識庫。
除了推動業務模組化之外,京東方營運團隊和奇安信一起,重點推動了海量告警的合并降噪。具體采取了定期梳理資産、告警歸并、告警降噪、建立營運模式等多項措施,通過明确責任人以治降噪,對具有相同屬性的告警資料根據特定邏輯進行歸并,過濾明顯的無效資料,通過威脅情報進行二次校驗,對營運知識積累形成知識庫等措施,大幅度減少低價值告警數量,實作了營運效率的顯著提升。
效率篇:NGSOC+SOAR雙劍合璧自動化響應提質增效
完成前三個階段之後,京東方SOC已經具備了體系營運的基礎,在成熟度層面逐漸成為行業翹楚。從2022年開始,京東方将安全自動化響應提上了日程。“安全營運人員的精力和時間是寶貴的,我們希望他們從繁瑣事務中解放出來,投入到事件研判、溯源追蹤等更高價值、更高技術含量的工作之中。”
具體實作上,京東方針對通用的、大批量的、固定流程的告警,以及運維人員告警處置過程等形成SOP。并在NGSOC基礎上,通過定制安全自動化編排與響應工具(SOAR),內建多類自動化通知,将人工處理的過程定義成劇本,實作告警自動化處理。
通過SOAR劇本的編排,最終大幅度縮短了SOC響應和處置時間,提升了效率。從實際效果來看,自動化處置和人工處置相比,在NGSOC中發現同類告警,時間從3分鐘縮短到不到10秒鐘;根據告警查詢檔案信譽/檔案資訊,時間從5分鐘縮短到5秒;下載下傳檔案和上傳檔案檢測内容,時間從5分鐘縮短到10秒以内;而發送告警處置結果通知,時間從2分鐘縮短到5秒以内),整體的響應處置時間從15分鐘縮短至30秒,效率提升幅度達到96.7%。
更重要的是,NGSOC和SOAR的強強聯合,可形成“采集-分析-響應-複盤-總結”的持續動态閉環,解決了安全營運的最後一公裡落地問題。對于漏洞管理可以實作全流程閉環管理,能夠追責到資産漏洞責任人,并進行告警狀态調整。針對自動工單派發,在NGSOC中産生的告警,由人工派單轉換為自動下發處置工單,并可通過郵件、短信、内部通信工具等方式通知資産責任人,加快整體派單效率,相關方可持續跟蹤工單處置狀态。
李楠總結道:“通過自動化響應、自動派單的安全營運模式,我們可以在實踐中不斷的複盤整改,讓營運人員騰出精力去做更隐蔽的攻擊行為分析或漏洞研究,反哺平台的告警分析規則,最終形成一個‘告警處置越來越智能,平台營運越來越省心,風險識别越來越精準’的良性循環,推動SOC真正邁入高成熟度的體系營運階段。”
結束語:
根據賽迪顧問釋出的《2021-2022中國安全營運中心調研分析報告》(簡稱:《報告》)顯示,國内企業安全營運中心建成率已接近九成,但有高達65.5%的受訪企業僅處于一、二級成熟度區間”,大多數企業安全營運中心的成熟度還比較低。《報告》重點推薦了京東方的安全營運中心的建設案例,按照賽迪顧問的成熟度模型,京東方已接近實作了四級的體系營運,并向最進階——五級的深度營運逐漸靠近,在國内大型企業中處于領先水準。
“路雖遠,行則将至;事雖難,做則必成”。京東方SOC能取得安全營運成熟度行業領先的成績,歸其原因,不僅僅是布局早、規劃清晰,更重要的是将規劃目标的每一項任務分解都落到了實處,每一個細微工作都做到了極緻,拾級而上、聚沙成塔, 經過5年持之以恒、日積月累的分階段建設,分步驟實施,京東方的安全營運中心,最終成為全行業的重要标杆。
本文源自金融界資訊