2020护网行动 观察与践行

GTI广州科宸(点击观看原文)

大家早上好。

5月15日，在国新办新闻发布会上，4月主要经济数据出炉。国家统计局新闻发言人刘爱华表示，“4月份总体经济延续了3月份以来恢复改善的势头，主要指标呈现积极变化，转型升级态势持续。”工业生产逐步恢复，服务业降幅收窄，其中高技术制造业增加值同比增长10.5%，增速比上月加快1.6个百分点。

高技术行业是离不开人才辛勤的劳动。我看到身边和周围的技术大咖们一边抗疫，一边坚持工作岗位迎难而上，为各自所属行业的数字化经济转型升级添砖加瓦，展示着自己的聪明才智。我在这里给您们加油和点赞！

突如其来的疫情，并不能阻挡各行业所进行的数字化转型趋势。伴随当前“大佬+网红”直播带货的兴起，数字经济正在蓬勃发展。在未来滚滚商业数字化潮流中，谁能做到跑得更快和管理好风险，就能占据领先的地位。

最近2-3个月我身边的交通央企、芯片设计国企、保险金融的大咖朋友们，非常忙碌和辛苦，因为他们参与了2020年的护网行动。他们正在为各自的企业和组织保驾护航和争取荣誉，管理着数字化快速转型旅程中所遇到的风险，发挥着关键性的作用。他们既是专业的“背锅侠”，又是企业组织的中坚力量，义无反顾地承担着义务和责任。他们所流露出来的责任和担当让我感动，激励着我与我们的团队与他们一起前行，倍感荣耀。

护网行动下个月（正式护网阶段）即将开始。分享一下我们团队的观察和践行（自查整改阶段）。这里归纳总结主要是我们所接触和经历到的，鉴于水平和能力之限，不足和遗漏之处在所难免，望指正。

观察：

• 员工（全员）签署责任书
• 落实责任人
• 定位 - 中、上游
• 自我安全评估

践行：

• 双因素认证 - 多场景
• 安全态势感知平台
• Tie2 - 异构防火墙

希望对明年要参与护网行动的新、老朋友有所帮助，同时也对老朋友表达感激之情。有困难我们一起抗，坚决地与大家携手应对，共克时艰。

向逆向而行、坚守岗位、

如疫情的联防联控，需要人人参与一样，搞好企业组织的网络安全是需要全体员工的积极参与。譬如钓鱼邮件，真的是需要员工具备一定安全意识不能随意点击。再如公司重要应用系统的密码真的是需要好好的保护起来，以及在固定周期内进行变更。所以普遍参与护网行动的企业都采取全员线上签署网络安全责任书的措施进行安全意识教育，引起全员的重视，并提供了非常便利的参与工具。

压实网络安全主体责任，提升重点单位的安全防护水平是护网行动的目的。几乎所有企业组织都是坚持“谁主管谁负责，谁运营谁负责，谁被突破谁担责”的责任分工和赏罚原则，明确护网结果纳入年度信息化考核。

• 作战指挥部 - 建立护网行动专项小组
• 设立：溯源分析组，应急处置组，业务组，监测预警组，保障组，报告组，等
• 三个保障：组织保障、资金及场地保障、技术保障

护网完毕后公安部会在总结材料中通报部分网络安全工作开展不力，护网效果不好的单位，并呈上级领导批阅示。企业组织的各级领导对此次行动重视程度很高，所以信息化和网络安全部门压力和责任是巨大的。

工作目标：确保所选定参演目标系统的安全性，避免发生大范围攻陷情况，确保公司在行业内处于较好水平，处于中、上游水平。同时借助这次行动的契机，提升网络安全的防护水平，在未来数字化转型升级的旅程中管理好风险。

• 敏感信息梳理
• 收敛供给面
• 资产脆弱性检测与加固
• 网络纵深防御
• 安全防护覆盖面及有效性验证
• 集权系统重点防护
• 安全培训

普遍的共性结论是当前在互联网出口集中防护、数据中心安全域改造和态势感知、多场景的双因素认证、保障团队规模等当面仍存在短板。有幸我们的安全团队参与三个安全整改项目的实践。

• 双因素认证 - 多场景
• 安全态势感知平台
• Tie2 - 异构防火墙

挑战、痛点：

• VPN接入(Palo Alto，深信服)、虚拟化应用/桌面(Citrix VA/VD，Citrix Gateway)、等；
• OWA、Office365(中国和国际版)、邮件系统、SSO、等；
• WiFi、有线网络接入、等；
• 私有云基础设施：堡垒机(齐治)、虚拟化(vCenter)、交换机(Cisco)、等；
• 公有云Azure基础设施：Azure AD、管理Portal、等；
• 注重使用的体验，保持原有使用习惯。

实践：

 

挑战、痛点：

• 集团下属单位反馈安全告警事件数量（成千上万）过多；
• 安全事件的准确性不高，误报率高；
• 安全事件的调查需要的天数（4-5天）过多；
• 孤立的工具，复杂且手动任务耗时过长；
• 仅能提供监控，不支持联动和阻断威胁的功能；
• 自动化响应几乎没有，完全靠人工手动；
• 对于现有基础架构团队的技能要求过高；
• 缺少低门槛的安全运维平台；
• 给实际网络责任人提供合适的工具。

应对、方案：

鉴于以上痛点，下属单位会再部署一套Tie2 异构的安全态势平台，主要目的是能够充分运用本单位现有基础架构队伍人力资源，尽可能覆盖当前所遇到的挑战。

GTI网络安全团队所践行的解决方案为Palo Alto Cortex 2.0。通过统一网络、端点和云数据找到并阻止隐蔽性攻击，平台扩展的检测和响应功能帮助用户的团队排除干扰，专注于应对真实威胁。其优点如下：

• 利用分析检测高级攻击：通过 AI、行为分析和自定义检测发现威胁；
• 警报频率降低 50 倍：颠覆传统的统一事件引擎可以将相关警报进行智能分组，避免产生警报疲劳；
• 调查速度提高 8 倍：利用根本原因分析全面掌握攻击情况，快速验证威胁；
• 阻止攻击的同时不降低性能：使用轻量级代理可获得最有效的端点防护；
• 最大化投资回报率：使用现有基础架构进行数据收集和控制，将成本降低44%。

在 MITRE ATT&CK™ 评估的第二轮中，Cortex XDR再次受到考验，这一次是针对被称为APT29 aka Cozy Bear 或者 The Dukes 的威胁组织所使用的战术和技术，该组织以其隐蔽、复杂和高度定制的攻击而闻名。评估涉及两个完整的攻击场景，利用 MITRE ATT&CK™ 框架中的58种独特技术。在这次评估中，没有其他供应商比Cortex XDR更能实现更高的攻击技术覆盖率，因为Cortex XDR管理的威胁搜索服务将自动产品检测和浓缩功能强大地结合在一起。（如下图）

https://blog.paloaltonetworks.com/2020/04/cortex-mitre/

打个比方，为控制疫情的大面积爆发，就是严格的执行了所有交通对人流的检测和控制（网络，Palo Alto和Check Point、Fortinet、Cisco FW），所有社区内部对人流的检测控制（端点 Traps），这两者的信息检测和控制数据汇总到了大数据平台（Cortex XDR），很好的实现了数据的多样性和完整性，从而才能分析出专业可靠的结论，为人员的疫情控制策略发布（威胁处置）提供了重要决策依据。重点再重复一次，该安全运营平台具备了隔离、阻断的能力。

 实践：

经过实践后客户一致把建设安全运营平台设为目标，根据自身具体情况分阶段来建设。除了向客户提供 Palo Alto 安全运营平台外，我们网络安全团队可为客户交付如下安全管理服务。

• 全年全天候监控和警报管理；
• 调查 Cortex XDR 生成的每个警报和时间；
• 了解您所处环境的专注、主动的威胁搜寻专家；
• 指导性或完成的威胁补救措施；
• 减少 MTTD 和 MTTR；
• 自定义调整 Cortex XDR 以增强防御能力、可视性和检测能力；
• 直接与我们的分析人员和取证专家联系； 跨网络、端点和云资源的可视性和覆盖范围。

挑战、痛点：

• 经过多年的沉淀，互联网区域各种类型安全设备太多；
• 面对互联网的出入口，如何确认安全设备的“前/后”位置；
• 安全区域如何划分更加合理，更方便运维和排错；
• 面对新型网络攻击，传统端口防御方式无效；
• 关于零信任网络策略该如何落地；
• 如何与态势感知平台集成联动。

应对、方案：

Tie2 异构防火墙并不是新话题，GTI网络安全团队推荐的解决方案是Palo Alto NGFW （硬件、虚拟机、公有云版）。随着业务和技术的发展和更新，在整改和建设的过程中原则更新如下：

• 将互联网流量按照“入/出”进行分离，采用不同的安全等级防护（“严进宽出”），同时考虑便于运维和排错；
• 一层为传统端口型4层防火墙，一层为7层防火墙（NGFW）。既能提高检测能力，又能降低投资成本；
• NGFW 必配 IPS 和防病毒功能； 根据业务类型，应用数据的敏感性划分不同安全等级的区域；
• 关键性区域实施零信任安全策略（解密、应用ID、用户ID、内容ID），对所经过的网络流量始终检测并仅赋予最小权限；
• 同时具备检测已知、未知威胁、监测与分析APT攻击的能力；
• 防火墙既作为网络上探针，又能扮演阻断设备，与态势感知平台实现无缝集成； 整体方案既能在私有云交付，也能在公有云中落地，并保持安全策略的一致性。

实践：

 保护从本地基础架构到云、端点和 IoT 的所有方面，确保交付有品质的管理服务和业务高可用性、以及主动合规。