Made in Tencent
騰訊既是企業服務產品的服務商又是使用者,很多產品最原始的出發點最早只是為了解決騰訊自身某一個需求,經過不斷地發展完善和業務場景錘煉,最終從進化成一個成熟的企服產品。本系列文章講述的是這樣一組Made in Tencent故事,這是系列的第二篇。
由于攻防實力盛名在外,騰訊安全專家服務團隊經常需要扮演處理疑難雜癥“老中醫”的角色,為企業用戶解決各種棘手安全問題。
(資料圖)
各類面向企業的攻擊事件層出不窮,勒索病毒、供應鏈攻擊、數據竊取、挖礦木馬……救客戶之所急是騰訊安全職責所在,但是如果僅靠專家“人肉”處理,長期以往會面臨幾個問題,一是攻擊事件只會持續增加,而專家精力有限;二是專家攻防經驗無法復刻和傳承。兩者加起來,造成的結果就是專家服務能力的瓶頸,如果再發生一次WannaCry這樣的全球性網絡安全事件,很多企業可能會束手無策。而且在供應鏈攻擊大行其道的今天,WannaCry的重演是極有可能發生的。
如何解決這個問題?騰訊安全的答案是MSS——安全托管服務。
通常,一個典型的安全廠商研發一個新產品是這樣的流程:先做市場調研和客戶痛點分析,尋找到若干機會點,再基于對自身優勢能力的判斷,匹配適合自己企業的產品切入。但在騰訊情況稍有不同,某種意義上騰訊本身就是騰訊安全的客戶,所以很多情況下,騰訊安全產品的誕生是基于解決騰訊自身的訴求而萌生并逐漸成熟——騰訊安全MSS就是典型的這樣的情況。這要從騰訊云平臺本身的安全建設說起。
從2016年成立以來,騰訊安全云鼎實驗室一直負責騰訊云的平臺安全保障,2019年,隨著數字化進程加快,企業的核心資產上云,針對云上的攻擊量顯著增加,云鼎又增加了一項新職責:承擔云上租戶的安全治理與應急響應工作。“雖然國際上的慣例是云平臺和云租戶‘責任共擔’,但一是在國內這個理念尚沒有形成共識,二是很多客戶信息化起步比較晚,也缺乏應對云上風險的能力,所以那個階段需要云平臺去承擔一些租戶風險和漏洞收斂的工作。”騰訊云安全總經理李濱介紹。
剛接手的時候,由于缺乏經驗和工具,云鼎實驗室陷入了漏洞戰爭的**大海中,每個人都滿負荷運轉,即便如此依然很吃力。“騰訊云在全球20多個國家和地區有八九十個數據中心分布,付費用戶規模超過了100萬,要響應這么龐大體量的云平臺和租戶的安全問題,每天面臨的安全事件數以億計。”李濱說。
但是,硬幣都有兩面,如果換一個視角看這些海量的攻擊事件,它也可以是一個“安全金礦”。“基于騰訊云在全球的節點,我們可以看到全球安全態勢。今天很多攻擊是組織化、規模化的,它也同樣會在全球范圍進行嘗試,通過大數據分析和長時間的人工智能的跟蹤,最終我們會知曉有什么攻擊源頭、控制了哪些惡意節點、對誰發生了怎樣的攻擊。”
在護航騰訊云平臺的經驗中,云鼎實驗室發現,雖然云上有海量的攻擊事件,但是它們其實是有限種類的攻擊事件的無限重復,比如其中有大部分安全問題是由初級的配置錯誤、密鑰泄露和已知漏洞等事件觸發的——其中密鑰泄露就占了22%,僅僅在騰訊云上,每年會發生數千起因開發人員把密鑰寫在代碼里分享到開源平臺上造成的信息泄露事件。
云鼎團隊粗略算了一下,發現只需要通過一些技術手段——例如提取每一種事件的抽象特征,并把相對應的專家處理流程用一種自動化工作流的方法固定下來,通過機器的自動化批量處理——把這些共性問題消除掉,就能將安全事件的處置效率提升80%。
基于這個觀察,云鼎實驗室做了一系列工具構建,整合集團內部、國內外各類資產測繪、漏洞掃描、配置分析、泄漏監測以及工單管理等模塊能力,同時也聯動Gitbub做了密鑰泄露響應的自動化機制,從發現到通知用戶處置,整個周期能縮減到分鐘級別——而傳統的處理周期可能短輒以天為計,并且前提是已經發現了密鑰泄露。
對于那些重復性很高的的攻擊事件,云鼎采取的則是一種“拼積木”的方法來消減:
第一步:幾名工程師將事件處置所需的通用模塊能力進行了提取和封裝,它們包含了常見安全掃描、工單、企業IM通知、開放API等在內的幾十個模塊;
第二步:如何搭這些“積木”?雖然市面上已經有SOAR,但是SOAR引擎一方面不透明,不利于調試流程,對業務的影響未知,另一方面開放性及靈活性不足,支撐場景有限,云鼎于是自己從0到1開發了一套流程編排引擎,把這幾十個“積木”按照不同的事件處置流程進行編排,來實現一勞永逸。
這項工作讓團隊的效率極大提升,專家也得以從重復勞動中解放出來,去做更重要的工作。“通過自動化工作流,在業務上線、重保值守期間事件的MTTD/MTTR(平均檢測時間/平均響應時間)大大降低。”騰訊云鼎實驗室高級安全專家劉志高提到,“有了這項能力,我們會有更多精力聚焦問題解決本身,想清楚用什么樣的能力和流程可以更好地解決或閉環某類事件,剩下要做的,就是借助工作流引擎對解決方案進行快速落地和實踐運營。”
這個時間段,網絡安全產業也在發生一些顯著的變化。2020年前后,在上一輪IT和信息化建設的高峰過去后,企業對于網絡安全已經主要不再是買買買的需求,而是如何讓采購的若干種網絡安全產品和工具真正產生效用、規則生效起來,很多研究機構都不約而同地認為,未來網絡安全產品服務化是一個發展趨勢。騰訊安全服務總監曾勇江判斷,平臺交付、安全運營托管化將是企業應對未來安全挑戰的主流方向。
這意味著,云鼎構建的這些工具不僅僅可以為騰訊集團內部各安全運營團隊所用,也有機會成為一個企業服務產品,被更多企業客戶使用。
但如果要作為一種企業服務級的產品,僅僅做到這些還不足夠。在很多次重保、客戶應急響應的交流中,騰訊安全專家服務團隊發現很多客戶對于安全管理有一個切膚之痛——不僅僅是系統被攻陷了,而且是在很多情況下,安全部門對于系統是如何被攻陷的、處置進度到了哪里無從知曉,他們面前是一個黑盒。“一個人處理攻擊事件,一群人圍觀”是客戶應急現場的常態,因為在沒有工具可以讓他們洞悉處置進度的情況下,客戶只能通過“在場”的方式緩解焦慮。
云鼎實驗室決定要把這個工具進一步完善。首先是在平臺上引入更多高級安全能力,比如業務基線行為檢測、漏洞情報、ASM(資產測繪)——其中不乏一些騰訊安全研究團隊專家自研的獨門工具;此外是不得不提的BAS(入侵與攻擊模擬),騰訊安全聯合實驗室集結了業內一流的安全攻防專家,對于各種攻擊手法了如指掌,為了達到“以攻促防”的目的,他們將實戰中的攻擊方式寫成“攻擊劇本”,用自動化工作流編排之后,去驗證客戶的WAF能不能被繞過、防火墻的策略是不是嚴謹、主機安全Agent功能有效性——以從安全有效性驗證的角度幫用戶發現更深層次的安全問題。
騰訊安全服務團隊每年要做100多場重保、打十幾次攻防演練,在這個過程中積累了一整套完整的流程。“一場重保項目開始之前,什么時間安全團隊需要入場,了解和分析整個系統架構,什么時候做系統安全檢測、代碼檢測,什么時候要進行紅藍對抗的演練、應急演練,要進行幾輪,需要留多長的事件進行漏洞整改,什么時候進行最終的復測、系統的封閉,開始轉入持續的監控的階段。監控階段我們可能有一系列表和流程,什么事件觸發什么樣的信號、應該怎么樣處置,哪些是聯動到情報中心,情報中心區分哪些信號要及時應急,等等。”李濱說。
而這些寶貴的專家經驗也以工作流的方式沉淀在騰訊安全MSS中,企業只需要根據自己的實際IT情況配置參數,就可以開展安全運營工作。在MSS平臺上,企業可以“看見”自己安全狀況,以及處置進度。
網絡安全的本質是對抗,對抗形式是一直在變化的。對于一個好的MSS服務來說,在一系列的自動化工具之外,還需要有一個“專家智囊團”實時去維護攻擊劇本、漏洞庫、情報,這也正是騰訊安全的長處。在自身的海量業務體量下,騰訊天然需要保持對于各種攻擊態勢的感知。
網絡安全攻和守之間永遠都存在不公平的較量,對于攻擊者來說,攻擊就是往芝麻里撒一把沙子,輕而易舉;而防守方則需要把沙子從芝麻里找出來。數字化以摧枯拉朽的方式席卷了每一個行業,所有企業必然都要走向數字化,但是否每一個企業都做好了準備?對于那些沒有專業安全團隊的企業來說,他們如何才能抵擋這樣的不公平較量?
MSS,也許是一個答案。對于大企業來說,它可以用MSS補齊安全體系建設中薄弱的地方,或通過MSS團隊的平臺工具能力提升自身運營能力,在自己的安全團隊之外獲得一個強援;對于業務托管在公有云上的小企業來說,則可以以很低的成本獲取到和大企業一樣的安全服務。
MSS(托管安全服務)最早起源于上世紀90年代,北美的運營商、云廠商和安全廠商率先推行,近幾年在中國網絡安全市場也呈現顯著的增長趨勢。IDC數據顯示,2020年安全托管服務市場成為全球網絡安全產品與服務市場中最大的子市場,占比超過20%;2021年至2025年,中國安全托管服務市場將保持39%的復合增長率。
百川入海。對于云鼎實驗室來說,也許它最早并沒有預期要做一個next big thing,它只是從簡單地解決自己和客戶的痛點需求出發,但最后也走向了一個冉冉升起的大藍海市場。
“目前,騰訊安全MSS已經服務于數字廣東、廣交會、中海地產、一汽大眾、暢游、中旅集團等多個企業中,保障了第七次全國人口普查、央視頻春晚重保等重大時刻的0事故、0風險。”曾勇江說。
(免責聲明:此文內容為廣告,相關素材由廣告主提供,廣告主對本廣告內容的真實性負責。本網發布目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責,請自行核實相關內容。廣告內容僅供讀者參考。)
(責任編輯:張曉波 )關鍵詞:
