科技云報(bào)道原創(chuàng)。
如今,安全運(yùn)營(yíng)已成為高校網(wǎng)絡(luò)安全建設(shè)的必選項(xiàng),但所創(chuàng)造的護(hù)城河似乎并不夠?qū)拸V——二級(jí)單位業(yè)務(wù)與校園網(wǎng)的安全威脅,已成為懸在高校信息中心網(wǎng)安人員頭頂?shù)摹斑_(dá)摩克利斯之劍”。
二級(jí)單位和校園網(wǎng)“危機(jī)四伏”
隨著攻防演習(xí)和安全通報(bào)的常態(tài)化,高校網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)逐漸顯露。為應(yīng)對(duì)這些挑戰(zhàn),不少學(xué)校在遵循等保合規(guī)的基礎(chǔ)上,建設(shè)了安全運(yùn)營(yíng)中心,并取得了顯著成效:數(shù)據(jù)中心內(nèi)部的安全風(fēng)險(xiǎn)日益收斂。
然而根據(jù)木桶原理,一個(gè)組織的網(wǎng)絡(luò)安全水平是由最薄弱的環(huán)節(jié)決定的。高校二級(jí)單位和校園網(wǎng)作為安全“洼地”。越來(lái)越多的安全威脅、攻擊事件、安全通報(bào)等,來(lái)自二級(jí)單位和校園網(wǎng)的用戶和終端。于是,這些安全事件在高校中早已不是新聞:
二級(jí)單位自建業(yè)務(wù)系統(tǒng)被掃出漏洞,師生終端頻繁出現(xiàn)違規(guī)外聯(lián),被通報(bào);攻防實(shí)戰(zhàn)演習(xí)中因釣魚(yú)師生終端,數(shù)據(jù)中心被打穿,丟失靶標(biāo);二級(jí)單位系統(tǒng)遭受攻擊,黑客冒用賬號(hào)登錄學(xué)校VPN,進(jìn)而入侵?jǐn)?shù)據(jù)中心,造成大量數(shù)據(jù)泄露。……
以上困境,原因主要來(lái)自三個(gè)方面:安全技術(shù)、安全人員和流程制度。
從安全技術(shù)來(lái)看:現(xiàn)階段高校的安全關(guān)注點(diǎn)主要集中在數(shù)據(jù)中心,難以有效掌握二級(jí)單位和校園網(wǎng)的安全態(tài)勢(shì)。此外AI大模型降低了網(wǎng)絡(luò)攻擊門檻,增加了攻擊的隱匿性,使得檢測(cè)難度持續(xù)加大,傳統(tǒng)安全設(shè)備難以應(yīng)對(duì)各種新型高級(jí)攻擊手段。
安全人員配置上:大部分高校缺乏安全專職人員。根據(jù)賽爾網(wǎng)絡(luò)發(fā)布的《高校網(wǎng)絡(luò)服務(wù)情況和教育信息化需求調(diào)研報(bào)告 (2022年度)》,即使是網(wǎng)絡(luò)安全專職人員配置相對(duì)較多的雙一流高校,專職編制在2人以下的高校依然達(dá)到了65.6%。他們每天忙于處理數(shù)據(jù)中心的安全告警和事件,就已經(jīng)精疲力盡,很難分出精力來(lái)關(guān)注二級(jí)單位安全狀況。雪上加霜的是,二級(jí)單位網(wǎng)絡(luò)安全聯(lián)絡(luò)員,往往安全知識(shí)薄弱,導(dǎo)致他們對(duì)通報(bào)過(guò)來(lái)的安全問(wèn)題重視程度不夠,處置時(shí)常常不知所措。
流程制度層面:信息中心和二級(jí)單位權(quán)責(zé)劃分不清晰,在高校中一直都是一個(gè)老大難的問(wèn)題,信息中心在推動(dòng)二級(jí)單位安全問(wèn)題解決時(shí),經(jīng)常上演“皇帝不急太監(jiān)急”,二級(jí)單位的安全問(wèn)題難響應(yīng)、難閉環(huán)。
總之,二級(jí)單位和校園網(wǎng)暴露的安全風(fēng)險(xiǎn)顯著增長(zhǎng)。高校必須采取全面且前瞻性的安全措施,確保它們具備全局的網(wǎng)絡(luò)安全防御、監(jiān)測(cè)、預(yù)警、響應(yīng)處置的能力,以支撐業(yè)務(wù)持續(xù)增長(zhǎng)和創(chuàng)新。
真正能打的高校安全運(yùn)營(yíng)中心長(zhǎng)什么樣?
然而,想要解決上述問(wèn)題,打造一個(gè)真正能打的高校安全運(yùn)營(yíng)中心,卻并非易事。還是得哪疼從哪兒下手,進(jìn)行針對(duì)性的能力升級(jí)。
理想的狀態(tài)下:升級(jí)版的安全運(yùn)營(yíng)中心既能有效應(yīng)對(duì)0day、高混淆、以及利用AI生成的各類高級(jí)威脅攻擊,又能依靠少量的專職人員實(shí)現(xiàn)高效運(yùn)轉(zhuǎn),更重要的是還能厘清各院系部門權(quán)責(zé)、打通安全工作流程。既要又要還要,似乎是一個(gè)不可能完成的任務(wù)。
好消息是,隨著網(wǎng)絡(luò)安全威脅檢測(cè)與響應(yīng)技術(shù)的不斷進(jìn)步,早期割裂、孤立的安全設(shè)備逐漸朝著統(tǒng)一的、體系化的安全運(yùn)營(yíng)方向不斷迭代演進(jìn),AI技術(shù)也越來(lái)越多的應(yīng)用到了安全領(lǐng)域中,以XDR和安全GPT為代表的“后起之秀”開(kāi)始進(jìn)入大家的視線,為安全運(yùn)營(yíng)工作帶來(lái)了新的思路。
2021年7月,Gartner在《Hype Cycle for Security Operations, 2021》報(bào)告中,對(duì)主流的安全運(yùn)營(yíng)技術(shù)進(jìn)行了解讀,并預(yù)測(cè)XDR(可擴(kuò)展的檢測(cè)和響應(yīng)平臺(tái))作為新興技術(shù)點(diǎn)將成為新的安全趨勢(shì)。
從業(yè)內(nèi)主流產(chǎn)品來(lái)看,相比傳統(tǒng)的安全運(yùn)營(yíng)技術(shù)框架,XDR的核心優(yōu)勢(shì)在于深度集成多源、跨IT架構(gòu)的各類安全組件,打通各項(xiàng)安全數(shù)據(jù)與事件,配合AI等前沿分析手段實(shí)現(xiàn)關(guān)聯(lián)分析與自動(dòng)化響應(yīng)。供應(yīng)商通過(guò)XDR組件將各類安全工具進(jìn)行深度整合,關(guān)聯(lián)來(lái)自云、網(wǎng)、端的所有安全數(shù)據(jù)和警報(bào),以實(shí)現(xiàn)對(duì)整個(gè)攻擊面的全面監(jiān)測(cè)與自動(dòng)化響應(yīng)。
GPT更不陌生,近一年,以ChatGPT為代表的大模型發(fā)展如火如荼。在網(wǎng)安行業(yè),大模型也展現(xiàn)出強(qiáng)大的通用人工智能能力,成為解放生產(chǎn)力的重要工具,幫助網(wǎng)絡(luò)安全從業(yè)者簡(jiǎn)化工作任務(wù)量,節(jié)省大量基礎(chǔ)性、重復(fù)性工作時(shí)間。
安全GPT像是一個(gè)“iPhone”式的革新時(shí)刻。傳統(tǒng)檢測(cè)引擎在大模型的加持下,將實(shí)現(xiàn)更加高效率的檢出,帶動(dòng)整個(gè)行業(yè)生產(chǎn)力的提升:一是大幅加快事件響應(yīng)速度,自動(dòng)撰寫事件報(bào)告;二是提高威脅檢測(cè)和搜尋能力;三是緩解人才短缺問(wèn)題。
正因如此,XDR+GPT越來(lái)越受到教育行業(yè)的關(guān)注。特別是在提升安全運(yùn)營(yíng)效率,消弭二級(jí)單位和校園網(wǎng)暴露的安全風(fēng)險(xiǎn)方面,開(kāi)始發(fā)揮出重要價(jià)值。這套技術(shù)方案是如何對(duì)癥下藥,解決高校安全運(yùn)營(yíng)中的特定問(wèn)題,實(shí)際效果又如何呢?
高校落地實(shí)踐:XDR+GPT提升實(shí)戰(zhàn)效果和運(yùn)營(yíng)效率
以深信服在行業(yè)內(nèi)率先發(fā)布的高校安全運(yùn)營(yíng)2.0為例,它是以高質(zhì)量的遙測(cè)數(shù)據(jù)為基礎(chǔ),通過(guò)XDR、SOAR、ASM、MDR等新技術(shù)與云端服務(wù)的協(xié)同,同時(shí)疊加安全GPT技術(shù)應(yīng)用,實(shí)現(xiàn)安全運(yùn)營(yíng)“智能駕駛”,提升實(shí)戰(zhàn)效果和運(yùn)營(yíng)效率。
深信服高校安全運(yùn)營(yíng)2.0解決方案示意圖
技術(shù)方面:實(shí)戰(zhàn)有效、聯(lián)動(dòng)響應(yīng),大幅提升安全效果
近年來(lái),各地高校頻繁遭遇有組織、有計(jì)劃且針對(duì)性明確的攻擊活動(dòng)。在面對(duì)0day、高混淆等各類高級(jí)威脅攻擊時(shí),檢測(cè)能力是關(guān)鍵。
通過(guò)XDR+GPT對(duì)威脅檢測(cè)能力進(jìn)行提升,需要完成以下三個(gè)步驟。第一步需要在數(shù)據(jù)中心、二級(jí)單位、校園網(wǎng)部署各類組件,擴(kuò)展全校威脅數(shù)據(jù)來(lái)源,并為聯(lián)動(dòng)處置打好基礎(chǔ)。其后,利用XDR構(gòu)建實(shí)戰(zhàn)化檢測(cè)響應(yīng)平臺(tái),通過(guò)采集E+N數(shù)據(jù),結(jié)合ATTCK模型,提升檢測(cè)和溯源精度及能力。最后引入GPT檢測(cè)大模型賦能威脅檢測(cè),提升未知威脅檢測(cè)和0day攻擊的檢測(cè)效果。
用戶A是一所985大學(xué)。該校經(jīng)過(guò)三期建設(shè)將原有的NDR平臺(tái)升級(jí)為深信服XDR平臺(tái)。
在使用過(guò)程中,XDR將一周時(shí)間內(nèi)4000萬(wàn)條來(lái)自信息中心、二級(jí)單位托管主機(jī)、自有服務(wù)器的告警,通過(guò)E+N聚合成13起有效的安全攻擊事件,大幅提升安全運(yùn)維效率。今年年初,用戶開(kāi)始試用深信服安全檢測(cè)GPT賦能XDR做高級(jí)威脅檢測(cè)。期間獨(dú)報(bào)多起0day漏洞利用攻擊、Nday攻擊等行為,結(jié)合XDR形成完整攻擊故事線,幫助信息中心快速定性攻擊,排查威脅。
人員方面:云地協(xié)同、智能駕駛,降低安全運(yùn)營(yíng)工作壓力
大部分高校編制有限,短時(shí)間增加大量編制基本上是“天方夜譚”。因此通過(guò)MSS、GPT等技術(shù)手段對(duì)運(yùn)營(yíng)效率進(jìn)行提升,降低安全運(yùn)營(yíng)工作壓力,對(duì)于現(xiàn)階段的高校來(lái)說(shuō)是更加切實(shí)可行的辦法。
借助深信服MSS,云端在線專家與本地服務(wù)團(tuán)隊(duì)相得益彰、互為補(bǔ)充,高校在短時(shí)間內(nèi)就可以完善服務(wù)梯隊(duì),提升閉環(huán)響應(yīng)能力。而引入安全GPT虛擬運(yùn)營(yíng)專家后,高校也將實(shí)現(xiàn)針對(duì)低誤報(bào)事件的自主研判、智能值守,降低安全人員工作量,大幅提升安全運(yùn)營(yíng)效率。
用戶B是一所沿海高校,信息中心網(wǎng)絡(luò)安全的專職人員只有1人。四年前,學(xué)校通過(guò)外采駐場(chǎng)服務(wù)協(xié)助安全運(yùn)維,進(jìn)行安全策略配置、基線管理、安全監(jiān)管、自查報(bào)送、事件協(xié)助處置等。
但,隨著攻防演練常態(tài)化和重保時(shí)間加長(zhǎng),暴露了高階安全分析專家和夜間安全值守的不足。
引入深信服MSS安全托管服務(wù)后,該用戶迅速構(gòu)建起云地協(xié)同安全服務(wù)能力,為學(xué)校帶來(lái)了7*24小時(shí)持續(xù)守護(hù)、有效預(yù)防和主動(dòng)閉環(huán)的體系化安全運(yùn)營(yíng)效果。
此外,深信服安全GPT協(xié)助學(xué)校運(yùn)維老師實(shí)現(xiàn)事件研判、排查檢索和告警事件的值守處置,助力該校安全運(yùn)營(yíng)邁向“智能駕駛”。深信服GPT平臺(tái)也幫助學(xué)校安全團(tuán)隊(duì)學(xué)生迅速學(xué)習(xí)和掌握安全告警和事件的研判分析能力,從而能夠更深入學(xué)校的安全運(yùn)營(yíng)工作。
流程方面:運(yùn)營(yíng)閉環(huán)、安全有價(jià),實(shí)現(xiàn)二級(jí)單位/校園網(wǎng)高效管理
考慮到各大高校二級(jí)單位、校園網(wǎng)用戶和終端數(shù)量眾多,管理復(fù)雜。信息中心需厘清各院系部門權(quán)責(zé)、打通安全工作流程、實(shí)現(xiàn)安全評(píng)價(jià),讓安全工作事事有著落。XDR的工單能力,相比SOAR有了進(jìn)一步明顯提升,這讓信息中心在建立面向二級(jí)單位以及校園網(wǎng)的高效流程式管理時(shí),更易實(shí)現(xiàn)。
具體落地上,第一步需要構(gòu)建組織領(lǐng)導(dǎo)明確、責(zé)任分工清晰、統(tǒng)籌有力的安全運(yùn)營(yíng)團(tuán)隊(duì)。第二,創(chuàng)建各類從信息中心到二級(jí)單位,師生的運(yùn)營(yíng)流程,逐步完善融入到日常工作;深度融合流程與工具,實(shí)現(xiàn)智能化監(jiān)測(cè)、自動(dòng)化預(yù)警、全流程閉環(huán)管理,提升安全運(yùn)營(yíng)效率與管理能力。第三,建設(shè)安全評(píng)價(jià)體系,明確考核指標(biāo),優(yōu)化安全工作;結(jié)合安全指標(biāo)、定期展示各項(xiàng)安全成果和排名,讓安全工作方向更明確。
用戶C是一所北京知名高校,在2年前發(fā)布了網(wǎng)絡(luò)安全責(zé)任制規(guī)范,明確了二級(jí)單位及直附屬單位的網(wǎng)絡(luò)安全第一責(zé)任人,信息與網(wǎng)絡(luò)中心提供技術(shù)手段保障安全監(jiān)測(cè)和處置指導(dǎo)。
深信服協(xié)助該校整合了通報(bào)預(yù)警、業(yè)務(wù)上線評(píng)估、資產(chǎn)上線、資產(chǎn)變更、告警處置、漏洞管理等多個(gè)工單流程,通過(guò)XDR的工單子系統(tǒng)在校內(nèi)流轉(zhuǎn),實(shí)現(xiàn)信息中心到二級(jí)單位的預(yù)警通報(bào)閉環(huán)管理。
基于流程工單和特殊安全事件,學(xué)校構(gòu)建了多個(gè)處置劇本(如釣魚(yú)、失陷外聯(lián)、內(nèi)網(wǎng)橫向攻擊、漏洞管理),結(jié)合工單流程,輔助實(shí)現(xiàn)大部分安全事件的協(xié)同處置,實(shí)現(xiàn)信息中心和二級(jí)單位的協(xié)同響應(yīng)。
最后通過(guò)XDR績(jī)效考核模塊,從工單處置率、安全漏洞處置率等多個(gè)維度對(duì)二級(jí)單位進(jìn)行安全工作考核評(píng)價(jià),實(shí)現(xiàn)以評(píng)促管、安全有價(jià)。
如何選擇更符合教育場(chǎng)景的?安全運(yùn)營(yíng)中心?
通過(guò)行業(yè)內(nèi)大量用戶的實(shí)踐效果證明,XDR+安全GPT是當(dāng)前高校安全運(yùn)營(yíng)建設(shè)的最優(yōu)解。那么如何選擇更符合行業(yè)場(chǎng)景的新型安全運(yùn)營(yíng)中心?
由于XDR融合了多項(xiàng)安全技術(shù),涉及多平臺(tái)數(shù)據(jù)聚合、計(jì)算、分析,對(duì)服務(wù)商的安全技術(shù)能力和安全產(chǎn)品供應(yīng)鏈管理能力,提出了很高的要求。XDR的引入更面臨著對(duì)NDR、SOC等技術(shù)框架的全面兼容或替換,對(duì)其落地的可行性和改造成本的考量缺一不可,各個(gè)廠商之間的GPT實(shí)際效果更是有著云泥之別。在此情況下用戶選擇靠譜的安全廠商顯得更加重要。
高校在選擇供應(yīng)商時(shí),有以下幾點(diǎn)需要重點(diǎn)考量:
平臺(tái)的開(kāi)放和兼容性:雖然主流XDR廠商都可以提供各類原生安全組件,考慮到高校原有的安全建設(shè)及未來(lái)需求,在選擇供應(yīng)商時(shí),需要考量該廠商平臺(tái)對(duì)各類安全組件及原有平臺(tái)的支持,在盡可能利舊原有資產(chǎn)、保護(hù)IT投資的同時(shí),獲得更加先進(jìn)的安全能力。
可持續(xù)生長(zhǎng)的安全能力:攻防的本質(zhì)在于持續(xù)的對(duì)抗,道高一尺魔高一丈。再先進(jìn)的檢測(cè)和防御技術(shù)可能都會(huì)被新的攻擊技術(shù)繞過(guò)。在選擇供應(yīng)商時(shí),還得同步考量其安全可生長(zhǎng)的能力,包括云端威脅情報(bào)、云端高級(jí)安全專家、云端安全檢測(cè)模型的更迭等能力。
AI技術(shù)沉淀和持續(xù)投入的堅(jiān)定性:GPT的能力最終是構(gòu)建在算力、數(shù)據(jù)、算法的基礎(chǔ)上,這對(duì)應(yīng)的是考量安全供應(yīng)商在智算資源的持續(xù)投入、安全數(shù)據(jù)的沉淀和優(yōu)化、AI和安全人才的儲(chǔ)備。在選擇供應(yīng)商時(shí)需要考量其在AI能力上的沉淀和未來(lái)持續(xù)大規(guī)模投入的能力和決心。
對(duì)教育行業(yè)的理解:教育行業(yè)因其開(kāi)放自由的辦學(xué)理念,對(duì)用戶的管理很難達(dá)到其他行業(yè)的細(xì)粒度程度。龐大的終端和自治性較強(qiáng)的二級(jí)單位,也對(duì)教育行業(yè)的安全管理提出了很大挑戰(zhàn)。供應(yīng)商給學(xué)校交付的不應(yīng)是一個(gè)產(chǎn)品,而是一個(gè)可落地的解決方案,基于此在選擇供應(yīng)商時(shí),需考量其在教育行業(yè)的深耕程度。
一直以來(lái),深信服重視教育與科研數(shù)字化,且具有行業(yè)優(yōu)勢(shì)。從行業(yè)內(nèi)調(diào)研來(lái)看,國(guó)內(nèi)其他廠商在教育投入相對(duì)保守,深信服則是國(guó)內(nèi)唯一專注教育安全運(yùn)營(yíng)中心XDR+安全GPT落地的廠商,對(duì)教育行業(yè)的安全能力構(gòu)建有著獨(dú)到見(jiàn)解。
憑借出色的安全防護(hù)和運(yùn)營(yíng)效果,其安全運(yùn)營(yíng)中心方案獲得CELTSC(教育部教育信息化技術(shù)標(biāo)準(zhǔn)委員會(huì))認(rèn)可,獲評(píng)《高等學(xué)校數(shù)字校園建設(shè)規(guī)范》優(yōu)秀應(yīng)用案例,成為高?!皵?shù)字校園”安全運(yùn)營(yíng)建設(shè)的共同選擇。
如今,多起高校案例證實(shí)了XDR+安全GPT賦能下的安全運(yùn)營(yíng)中心成功有效。而更多的成功案例也增強(qiáng)了深信服持續(xù)投入教育行業(yè)安全運(yùn)營(yíng)中心的動(dòng)力,持續(xù)推進(jìn)高校“數(shù)字校園”安全規(guī)劃、建設(shè)和運(yùn)營(yíng)工作的全面落地。
免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個(gè)人觀點(diǎn),與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 算力荒緩解,自主化智算還有必要嗎?
- 波司登千元鵝絨褲僅3克鵝絨,警惕被“國(guó)貨品牌”割韭菜
- 中國(guó)電車進(jìn)入10萬(wàn)級(jí)時(shí)代,2025年決生死,但日本車先頂不住了
- 中國(guó)存儲(chǔ)芯片大舉圍剿美日韓芯片,外媒確認(rèn)在技術(shù)上進(jìn)一步突破
- 谷歌成為手機(jī)市場(chǎng)的殺手,國(guó)產(chǎn)手機(jī)或被迫擁護(hù)國(guó)產(chǎn)操作系統(tǒng)
- 折疊屏2024的新東西、好東西、舊東西
- 董明珠與小米的二次戰(zhàn)爭(zhēng)
- 芯片不賣中國(guó),美芯無(wú)處賣了,本來(lái)不要的市場(chǎng)偷偷地賣,后悔莫及
- 僅售999元 月底開(kāi)售 閃極打響AI眼鏡量產(chǎn)發(fā)令槍
- 蘿卜快跑走紅、滴滴加碼,中國(guó)Robotaxi大戰(zhàn)升級(jí)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。