Made in Tencent
騰訊既是企業(yè)服務(wù)產(chǎn)品的服務(wù)商又是使用者,很多產(chǎn)品最原始的出發(fā)點(diǎn)最早只是為了解決騰訊自身某一個(gè)需求,經(jīng)過不斷地發(fā)展完善和業(yè)務(wù)場(chǎng)景錘煉,最終從進(jìn)化成一個(gè)成熟的企服產(chǎn)品。本系列文章講述的是這樣一組Made in Tencent故事,這是系列的第二篇。
由于攻防實(shí)力盛名在外,騰訊安全專家服務(wù)團(tuán)隊(duì)經(jīng)常需要扮演處理疑難雜癥“老中醫(yī)”的角色,為企業(yè)用戶解決各種棘手安全問題。
各類面向企業(yè)的攻擊事件層出不窮,勒索病毒、供應(yīng)鏈攻擊、數(shù)據(jù)竊取、挖礦木馬……救客戶之所急是騰訊安全職責(zé)所在,但是如果僅靠專家“人肉”處理,長(zhǎng)期以往會(huì)面臨幾個(gè)問題,一是攻擊事件只會(huì)持續(xù)增加,而專家精力有限;二是專家攻防經(jīng)驗(yàn)無法復(fù)刻和傳承。兩者加起來,造成的結(jié)果就是專家服務(wù)能力的瓶頸,如果再發(fā)生一次WannaCry這樣的全球性網(wǎng)絡(luò)安全事件,很多企業(yè)可能會(huì)束手無策。而且在供應(yīng)鏈攻擊大行其道的今天,WannaCry的重演是極有可能發(fā)生的。
如何解決這個(gè)問題?騰訊安全的答案是MSS——安全托管服務(wù)。
通常,一個(gè)典型的安全廠商研發(fā)一個(gè)新產(chǎn)品是這樣的流程:先做市場(chǎng)調(diào)研和客戶痛點(diǎn)分析,尋找到若干機(jī)會(huì)點(diǎn),再基于對(duì)自身優(yōu)勢(shì)能力的判斷,匹配適合自己企業(yè)的產(chǎn)品切入。但在騰訊情況稍有不同,某種意義上騰訊本身就是騰訊安全的客戶,所以很多情況下,騰訊安全產(chǎn)品的誕生是基于解決騰訊自身的訴求而萌生并逐漸成熟——騰訊安全MSS就是典型的這樣的情況。這要從騰訊云平臺(tái)本身的安全建設(shè)說起。
從2016年成立以來,騰訊安全云鼎實(shí)驗(yàn)室一直負(fù)責(zé)騰訊云的平臺(tái)安全保障,2019年,隨著數(shù)字化進(jìn)程加快,企業(yè)的核心資產(chǎn)上云,針對(duì)云上的攻擊量顯著增加,云鼎又增加了一項(xiàng)新職責(zé):承擔(dān)云上租戶的安全治理與應(yīng)急響應(yīng)工作。“雖然國(guó)際上的慣例是云平臺(tái)和云租戶‘責(zé)任共擔(dān)’,但一是在國(guó)內(nèi)這個(gè)理念尚沒有形成共識(shí),二是很多客戶信息化起步比較晚,也缺乏應(yīng)對(duì)云上風(fēng)險(xiǎn)的能力,所以那個(gè)階段需要云平臺(tái)去承擔(dān)一些租戶風(fēng)險(xiǎn)和漏洞收斂的工作。”騰訊云安全總經(jīng)理李濱介紹。
剛接手的時(shí)候,由于缺乏經(jīng)驗(yàn)和工具,云鼎實(shí)驗(yàn)室陷入了漏洞戰(zhàn)爭(zhēng)的汪洋大海中,每個(gè)人都滿負(fù)荷運(yùn)轉(zhuǎn),即便如此依然很吃力。“騰訊云在全球20多個(gè)國(guó)家和地區(qū)有八九十個(gè)數(shù)據(jù)中心分布,付費(fèi)用戶規(guī)模超過了100萬,要響應(yīng)這么龐大體量的云平臺(tái)和租戶的安全問題,每天面臨的安全事件數(shù)以億計(jì)。”李濱說。
但是,硬幣都有兩面,如果換一個(gè)視角看這些海量的攻擊事件,它也可以是一個(gè)“安全金礦”。“基于騰訊云在全球的節(jié)點(diǎn),我們可以看到全球安全態(tài)勢(shì)。今天很多攻擊是組織化、規(guī)?;?它也同樣會(huì)在全球范圍進(jìn)行嘗試,通過大數(shù)據(jù)分析和長(zhǎng)時(shí)間的人工智能的跟蹤,最終我們會(huì)知曉有什么攻擊源頭、控制了哪些惡意節(jié)點(diǎn)、對(duì)誰發(fā)生了怎樣的攻擊。”
在護(hù)航騰訊云平臺(tái)的經(jīng)驗(yàn)中,云鼎實(shí)驗(yàn)室發(fā)現(xiàn),雖然云上有海量的攻擊事件,但是它們其實(shí)是有限種類的攻擊事件的無限重復(fù),比如其中有大部分安全問題是由初級(jí)的配置錯(cuò)誤、密鑰泄露和已知漏洞等事件觸發(fā)的——其中密鑰泄露就占了22%,僅僅在騰訊云上,每年會(huì)發(fā)生數(shù)千起因開發(fā)人員把密鑰寫在代碼里分享到開源平臺(tái)上造成的信息泄露事件。
云鼎團(tuán)隊(duì)粗略算了一下,發(fā)現(xiàn)只需要通過一些技術(shù)手段——例如提取每一種事件的抽象特征,并把相對(duì)應(yīng)的專家處理流程用一種自動(dòng)化工作流的方法固定下來,通過機(jī)器的自動(dòng)化批量處理——把這些共性問題消除掉,就能將安全事件的處置效率提升80%。
基于這個(gè)觀察,云鼎實(shí)驗(yàn)室做了一系列工具構(gòu)建,整合集團(tuán)內(nèi)部、國(guó)內(nèi)外各類資產(chǎn)測(cè)繪、漏洞掃描、配置分析、泄漏監(jiān)測(cè)以及工單管理等模塊能力,同時(shí)也聯(lián)動(dòng)Gitbub做了密鑰泄露響應(yīng)的自動(dòng)化機(jī)制,從發(fā)現(xiàn)到通知用戶處置,整個(gè)周期能縮減到分鐘級(jí)別——而傳統(tǒng)的處理周期可能短輒以天為計(jì),并且前提是已經(jīng)發(fā)現(xiàn)了密鑰泄露。
對(duì)于那些重復(fù)性很高的的攻擊事件,云鼎采取的則是一種“拼積木”的方法來消減:
第一步:幾名工程師將事件處置所需的通用模塊能力進(jìn)行了提取和封裝,它們包含了常見安全掃描、工單、企業(yè)IM通知、開放API等在內(nèi)的幾十個(gè)模塊;
第二步:如何搭這些“積木”?雖然市面上已經(jīng)有SOAR,但是SOAR引擎一方面不透明,不利于調(diào)試流程,對(duì)業(yè)務(wù)的影響未知,另一方面開放性及靈活性不足,支撐場(chǎng)景有限,云鼎于是自己從0到1開發(fā)了一套流程編排引擎,把這幾十個(gè)“積木”按照不同的事件處置流程進(jìn)行編排,來實(shí)現(xiàn)一勞永逸。
這項(xiàng)工作讓團(tuán)隊(duì)的效率極大提升,專家也得以從重復(fù)勞動(dòng)中解放出來,去做更重要的工作。“通過自動(dòng)化工作流,在業(yè)務(wù)上線、重保值守期間事件的MTTD/MTTR(平均檢測(cè)時(shí)間/平均響應(yīng)時(shí)間)大大降低。”騰訊云鼎實(shí)驗(yàn)室高級(jí)安全專家劉志高提到,“有了這項(xiàng)能力,我們會(huì)有更多精力聚焦問題解決本身,想清楚用什么樣的能力和流程可以更好地解決或閉環(huán)某類事件,剩下要做的,就是借助工作流引擎對(duì)解決方案進(jìn)行快速落地和實(shí)踐運(yùn)營(yíng)。”
這個(gè)時(shí)間段,網(wǎng)絡(luò)安全產(chǎn)業(yè)也在發(fā)生一些顯著的變化。2020年前后,在上一輪IT和信息化建設(shè)的高峰過去后,企業(yè)對(duì)于網(wǎng)絡(luò)安全已經(jīng)主要不再是買買買的需求,而是如何讓采購的若干種網(wǎng)絡(luò)安全產(chǎn)品和工具真正產(chǎn)生效用、規(guī)則生效起來,很多研究機(jī)構(gòu)都不約而同地認(rèn)為,未來網(wǎng)絡(luò)安全產(chǎn)品服務(wù)化是一個(gè)發(fā)展趨勢(shì)。騰訊安全服務(wù)總監(jiān)曾勇江判斷,平臺(tái)交付、安全運(yùn)營(yíng)托管化將是企業(yè)應(yīng)對(duì)未來安全挑戰(zhàn)的主流方向。
這意味著,云鼎構(gòu)建的這些工具不僅僅可以為騰訊集團(tuán)內(nèi)部各安全運(yùn)營(yíng)團(tuán)隊(duì)所用,也有機(jī)會(huì)成為一個(gè)企業(yè)服務(wù)產(chǎn)品,被更多企業(yè)客戶使用。
但如果要作為一種企業(yè)服務(wù)級(jí)的產(chǎn)品,僅僅做到這些還不足夠。在很多次重保、客戶應(yīng)急響應(yīng)的交流中,騰訊安全專家服務(wù)團(tuán)隊(duì)發(fā)現(xiàn)很多客戶對(duì)于安全管理有一個(gè)切膚之痛——不僅僅是系統(tǒng)被攻陷了,而且是在很多情況下,安全部門對(duì)于系統(tǒng)是如何被攻陷的、處置進(jìn)度到了哪里無從知曉,他們面前是一個(gè)黑盒。“一個(gè)人處理攻擊事件,一群人圍觀”是客戶應(yīng)急現(xiàn)場(chǎng)的常態(tài),因?yàn)樵跊]有工具可以讓他們洞悉處置進(jìn)度的情況下,客戶只能通過“在場(chǎng)”的方式緩解焦慮。
云鼎實(shí)驗(yàn)室決定要把這個(gè)工具進(jìn)一步完善。首先是在平臺(tái)上引入更多高級(jí)安全能力,比如業(yè)務(wù)基線行為檢測(cè)、漏洞情報(bào)、ASM(資產(chǎn)測(cè)繪)——其中不乏一些騰訊安全研究團(tuán)隊(duì)專家自研的獨(dú)門工具;此外是不得不提的BAS(入侵與攻擊模擬),騰訊安全聯(lián)合實(shí)驗(yàn)室集結(jié)了業(yè)內(nèi)一流的安全攻防專家,對(duì)于各種攻擊手法了如指掌,為了達(dá)到“以攻促防”的目的,他們將實(shí)戰(zhàn)中的攻擊方式寫成“攻擊劇本”,用自動(dòng)化工作流編排之后,去驗(yàn)證客戶的WAF能不能被繞過、防火墻的策略是不是嚴(yán)謹(jǐn)、主機(jī)安全Agent功能有效性——以從安全有效性驗(yàn)證的角度幫用戶發(fā)現(xiàn)更深層次的安全問題。
騰訊安全服務(wù)團(tuán)隊(duì)每年要做100多場(chǎng)重保、打十幾次攻防演練,在這個(gè)過程中積累了一整套完整的流程。“一場(chǎng)重保項(xiàng)目開始之前,什么時(shí)間安全團(tuán)隊(duì)需要入場(chǎng),了解和分析整個(gè)系統(tǒng)架構(gòu),什么時(shí)候做系統(tǒng)安全檢測(cè)、代碼檢測(cè),什么時(shí)候要進(jìn)行紅藍(lán)對(duì)抗的演練、應(yīng)急演練,要進(jìn)行幾輪,需要留多長(zhǎng)的事件進(jìn)行漏洞整改,什么時(shí)候進(jìn)行最終的復(fù)測(cè)、系統(tǒng)的封閉,開始轉(zhuǎn)入持續(xù)的監(jiān)控的階段。監(jiān)控階段我們可能有一系列表和流程,什么事件觸發(fā)什么樣的信號(hào)、應(yīng)該怎么樣處置,哪些是聯(lián)動(dòng)到情報(bào)中心,情報(bào)中心區(qū)分哪些信號(hào)要及時(shí)應(yīng)急,等等。”李濱說。
而這些寶貴的專家經(jīng)驗(yàn)也以工作流的方式沉淀在騰訊安全MSS中,企業(yè)只需要根據(jù)自己的實(shí)際IT情況配置參數(shù),就可以開展安全運(yùn)營(yíng)工作。在MSS平臺(tái)上,企業(yè)可以“看見”自己安全狀況,以及處置進(jìn)度。
網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗,對(duì)抗形式是一直在變化的。對(duì)于一個(gè)好的MSS服務(wù)來說,在一系列的自動(dòng)化工具之外,還需要有一個(gè)“專家智囊團(tuán)”實(shí)時(shí)去維護(hù)攻擊劇本、漏洞庫、情報(bào),這也正是騰訊安全的長(zhǎng)處。在自身的海量業(yè)務(wù)體量下,騰訊天然需要保持對(duì)于各種攻擊態(tài)勢(shì)的感知。
網(wǎng)絡(luò)安全攻和守之間永遠(yuǎn)都存在不公平的較量,對(duì)于攻擊者來說,攻擊就是往芝麻里撒一把沙子,輕而易舉;而防守方則需要把沙子從芝麻里找出來。數(shù)字化以摧枯拉朽的方式席卷了每一個(gè)行業(yè),所有企業(yè)必然都要走向數(shù)字化,但是否每一個(gè)企業(yè)都做好了準(zhǔn)備?對(duì)于那些沒有專業(yè)安全團(tuán)隊(duì)的企業(yè)來說,他們?nèi)绾尾拍艿謸踹@樣的不公平較量?
MSS,也許是一個(gè)答案。對(duì)于大企業(yè)來說,它可以用MSS補(bǔ)齊安全體系建設(shè)中薄弱的地方,或通過MSS團(tuán)隊(duì)的平臺(tái)工具能力提升自身運(yùn)營(yíng)能力,在自己的安全團(tuán)隊(duì)之外獲得一個(gè)強(qiáng)援;對(duì)于業(yè)務(wù)托管在公有云上的小企業(yè)來說,則可以以很低的成本獲取到和大企業(yè)一樣的安全服務(wù)。
MSS(托管安全服務(wù))最早起源于上世紀(jì)90年代,北美的運(yùn)營(yíng)商、云廠商和安全廠商率先推行,近幾年在中國(guó)網(wǎng)絡(luò)安全市場(chǎng)也呈現(xiàn)顯著的增長(zhǎng)趨勢(shì)。IDC數(shù)據(jù)顯示,2020年安全托管服務(wù)市場(chǎng)成為全球網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)市場(chǎng)中最大的子市場(chǎng),占比超過20%;2021年至2025年,中國(guó)安全托管服務(wù)市場(chǎng)將保持39%的復(fù)合增長(zhǎng)率。
百川入海。對(duì)于云鼎實(shí)驗(yàn)室來說,也許它最早并沒有預(yù)期要做一個(gè)next big thing,它只是從簡(jiǎn)單地解決自己和客戶的痛點(diǎn)需求出發(fā),但最后也走向了一個(gè)冉冉升起的大藍(lán)海市場(chǎng)。
“目前,騰訊安全MSS已經(jīng)服務(wù)于數(shù)字廣東、廣交會(huì)、中海地產(chǎn)、一汽大眾、暢游、中旅集團(tuán)等多個(gè)企業(yè)中,保障了第七次全國(guó)人口普查、央視頻春晚重保等重大時(shí)刻的0事故、0風(fēng)險(xiǎn)。”曾勇江說。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )