“在网络安全运营这条道路上,国内几乎没有能借鉴的行业成熟先例,没有可参考的成功经验模式,只有通过自己的探索,才能找到适合集团自身的运营模式。”
国家电投集团信息技术有限公司网络安全部副总经理(国家电投集团网络信息安全实验室副主任)张萌多次提及“探索”这个词语,概括了这家清洁能源巨头在安全运营实践中的心路历程。
图片来源于网络
作为我国五大发电集团之一,国家电投集团(全称为国家电力投资集团有限公司),是中央直接管理的特大型国有重要骨干企业,肩负保障国家能源安全的重大责任,致力于建设具有全球竞争力的世界一流清洁能源企业。
2020年,国家电投在世界500强企业中位列316位,业务范围覆盖46个国家和地区,现有员工总数13万人,拥有62家二级单位,其中5家A股上市公司、1家香港红筹股公司和2家新三板挂牌交易公司。
在信息化和网络安全方面,国家电投一直按照价值导向、问题导向砥砺前行。早在2016年,当网络安全防护建设仍处于设备堆砌阶段之时,国家电投就已意识到运营的紧迫性和必要性,并率先开启了安全运营探索之路。
从产品堆叠到运营为先
2015到2016年,网络安全行业正在经历一场历史性的变革,以数据驱动为核心的安全理念,正式登上了历史舞台。适逢RSAC 2016提出“connect to protect(用连接去保护)”,以被动防御为核心、机械堆叠网络安全设备的方式逐渐走向了历史。
“在2016年以前,整个行业都普遍存在一个状况,虽然部署了很多网络安全设备,却无法回答集团领导的三个灵魂拷问:谁攻进来过?干过什么?什么东西被拿走了?即便是到现在,也有大量的机构不能回答这三个问题。” 回想当年的行业网络安全现状,张萌依然是记忆深刻。
“那些年,大家对网络安全建设都是以购买安全产品为主,没有安全运营的概念,大家基本上就是按照当时的等保合规等监管要求,安装防火墙、杀毒软件、入侵检测系统这些,再安排几个人,保证这些设备正常运转就可以了。”
然而在信息化建设和数字化转型不断深入,新型网络威胁尤其是APT攻击、勒索病毒等层出不穷的背景下,电力行业作为关键信息基础设施,其网络安全重要性日益凸显。越来越多企业意识到,即便堆砌再多的网络安全设备,也无法改变‘盲守’、被动挨打的情况,建立更积极主动的安全防护体系势在必行。
“和很多单位不同的是,从一开始,我们的理念就是以运营为核心,而不是仅仅按照合规的要求,部署相应的产品、平台或者工具。” 张萌表示。
图片来源于网络
在运营为先的思想指导下,2016年开始,国家电投逐步建立了覆盖全集团大部分单位的SIEM(安全信息和事件管理)平台,以大数据作为底层架构,采集全量系统日志,实现安全事件的监控和应急处理。
然而,安全团队很快发现,SIEM想要充分发挥自身的价值有着很大的局限性:作为彼时最炙手可热的安全产品和技术之一,SIEM需要依赖高质量的日志,从中找出潜在的非法行为。
很快一个难题就出现了,也就是日志采集。日志采集绝非“眉毛胡子一把抓”的过程,这其中涉及到日志的类型、内容、存储、检索、分析,以及跨部门的协调、管理等等诸多挑战,都需要安全团队一一解决。
“在当时的情况下,这些问题都很棘手。” 张萌表示,“不能否认SIEM是好产品,但缺乏有效的安全运营手段。就像一个厨师,应当按着自己心中的菜谱搭配食材,而不是对着杂乱无章的厨房,构思着虚无缥缈的满汉全席。”
从合规驱动到实战导向
到2019年,国家电投在思路上有了显着的变化。那一年,公安部提出了 “三化六防”新思想,以“实战化,体系化,常态化”为新理念,以“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”为新举措,构建国家网络安全综合防控系统,深入推进等级保护和关键信息基础设施保护的积极实践。
在网络安全防护体系建设中,国家电投不仅单纯考虑政策监管和合规需求,更要将 “三化六防”理念贯穿进去,其中率先落地的就是实战化和常态化。
“基于实战化的思想和需求,我们第一步要解决威胁检测的问题。比如我们拥有什么资产?这些资产有哪些脆弱点?是否被攻击?具体是什么攻击?攻击是否成功?攻击的影响是什么?该采取什么应对措施?应对措施是否有效?未被攻击的如何预防?这其实就是国家电投现在所说的安全运营要完成的工作。”
张萌认为,区别于过去面向合规的安全运维,安全运营更强调网络安全与信息化的融合,通过运营过程,让网络安全人员与设备发挥出应有的效果,从而实现网络安全风险可控可接受的目标。
在这一年,国家电投部署了奇安信态势感知与安全运营平台(NGSOC),以NGSOC做为安全运营工作的核心威胁感知支撑工具,在实战化安全运营方面迈出了重要一步。
“实战化安全运营体系的建设不是一蹴而就的,我们上线NGSOC,首先要解决谁来攻击,用什么方式的问题,让安全威胁可见、可知、可控。否则就是两眼一抹黑,看不到敌人、被动挨打。”
NGSOC上线的效果也是立竿见影。安全运营团队借助奇安信NGSOC平台的技术支撑能力,同期构建无缝协同联动机制,国家电投在安全监测预警、威胁分析和主动防御方面的能力大幅提升。自上线来,月均采集和存储约89亿条安全日志,月均发现约75起威胁攻击,包括webshell上传、挖矿木马、勒索软件、远控木马等破坏性强、影响范围大的高威胁安全事件。
图 国家电投综合安全态势大屏
在资产梳理及漏洞修复方面,NGSOC上线至今,持续梳理总部资产及下级单位资产、网段信息,对多个系统进行漏洞检测、修复及复测,修复率高达91%。
而在2020年网络攻防实战演习中,运营团队通过NGSOC对威胁告警进行监测分析,发现并处置安全威胁事件65件,结合威胁情报信息共封禁攻击IP地址74667个,提交防守报告16份,圆满完成了防守任务。
从局部实践到规模化推广
当国家电投通过集团数据中心以及数家二级单位,完成探索成功的第一步之后,下一步的任务,就是按照集团公司统筹规划,将该模式推广到整个集团。
图 国家电投安全运营框架图
据介绍,目前安全运营中心主要覆盖了数家单位,包括集团数据中心、中国电力、成套公司、山东核电、姚孟电厂、横琴热电、重燃公司等等。按照集团规划,2021年,计划在集团范围全面扩展覆盖,堪称近百倍级的量级扩张。
图片来源于网络
“量变势必带来质变,随着未来集团安全运营中心的建立,将面临效果和效率的双重挑战。”张萌表示。
首先是效率方面的挑战。
目前,网络安全运营在集团数据中心已经稳定,每天产生2亿多条日志,告警归并之后,大约2000多条告警。这些告警主要依赖于专业人员来分析处理,效率比较低。
在规模化后,预估日均告警数量将有数十倍甚至百倍的提升,投入数十倍的员工当然是不现实的,因此必须提升安全运营的效率。例如整合NGSOC平台和主机安全系统,实现安全威胁告警自动化分析判断;再例如面对历史同类的告警,系统按照现有的SOP执行自动化的分析判断。
“在这个问题上,我们也在测试最近比较火热的SOAR产品。从技术理念上来说,我们将所有的安全产品划分为三个阶段使用,‘ 感知’阶段、‘ 分析与辅助决策’阶段、‘ 行动’阶段。SOAR能提供自动化安全编排和响应能力,我们将SOAR定位为‘ 分析与辅助决策’阶段和‘ 行动’阶段的‘ 执行管家’,希望能在规模化运营时期,大幅度提升我们安全运营的分析与行动效率。”
第二是来自效果的挑战。
随着规模越来越大,网络环境越来越复杂,威胁数量、攻击形式都会激烈增加,安全运营需要对威胁预警和脆弱性,实现更全面、更精准的发现和处理。
如何解决这些问题,国家电投已探索了很多经验。举例来说,在日常和实战攻防演习期间,国家电投优先修补有公开POC或者EXP的漏洞(即已验证可被利用的漏洞),而不是追求大而全、修补所有漏洞,这样能在投入(工作量)和安全风险之间寻求相对平衡,在尽量降低安全风险的同时,又符合安全运营的投入产出比原则。
同时,国家电投非常注重场景积累和经验复用。张萌表示,没有绝对的网络安全,将所有未知的威胁全部阻断是非常不现实的,因此我们的重点目标,是避免系统被相同的攻击手法打穿两次,不能在一个问题上反复栽跟头。所以遇到一类问题,一类场景,都将其沉淀下来,形成标准化的SOP积累,为将来全面走向系统化提供基础。
图片
截至目前,国家电投安全运营团队总结出了12类大场景,若干个小场景,并将其运营工作固化下来,以便能够让新的安全运营人员快速上手复用,满足规模增长和人数增长的需求。同时为系统功能更新、SOAR自动化编排等做准备,实现自动化编排,显着提升效率。
图片
从能力输出到价值共鸣
“沿着旧地图,找不到新大陆”。
探索的道路注定布满荆棘,在网络安全运营这条路上,有国内领先安全企业的持续参与,国家电投走的并不孤独。
张萌表示,“我们选择合作伙伴,不单考虑对方的产品和技术能力,更要考虑双方是否有共同的运营价值观和运营理念。”
展望“十四五”期间,张萌提到,国家电投将继续坚持高标准要求、高目标定位、高水准建设理念,在“十三五”基础上,构建一体化的安全管控体系、安全技防体系、安全运行体系,全面实现“由被动防护转向主动防御、由静态保护转向动态保障、由加固监测转向安全可控”的三个转变,打造“精细化安全管控、体系化主动防御、实战化安全运行”的总体效果,为集团公司建设具有全球竞争力的世界一流清洁能源企业,提供强有力的支撑保障。