我們正在處于整個社會的數字化轉型過程中,需要被保護的系統和資產越來越多,網絡安全大廠紛紛開始注意到MSS(安全托管服務)的重要性與市場價值。騰訊安全作為中國網絡安全市場中的戰略布局者,也在MSS方面有很深的布局,并于近日發布了其全新的MSS產品。
騰訊云安全總經理李濱在新品發布會上介紹了騰訊MSS新品的發布思路,分析了新時代安全運營的發展趨勢和面臨挑戰。原文如下:
今天我們分享的主題是云原生時代的安全托管服務。現在由于環境、技術、國際大的經濟環境的變革,以及國際各個地區法律法規的逐步健全對企業發展做出了新的規定,這些都使得網絡空間安全面臨新的產業升級和變革。在這樣的經濟時代下,我們面臨一個非常核心的問題——網絡空間安全成為了整個企業發展的關鍵命題。
企業安全運營管理的
變革和挑戰
第一,計算技術和基礎架構的變革。傳統IT架構中硬件交付的生命周期是1—3個月,軟件交付是以“月”到“年”為單位的,而今天云上虛擬主機在5分鐘內就可以部署,最高可以達到3毫秒左右。這對我們所處的安全環境會帶來什么樣的威脅呢?傳統IT系統的服務器是3到5年的資產壽命周期,網絡設備是5到10年;今天在云上的計算資源,最短的周期是100毫秒。由于整個計算資源的粒度越來越細,周期越來越小,導致我們企業在整個管理、生產、運營的模型上產生非常大的變化。
對于傳統IT架構來說,成本模型是高CAPEX,低OPEX,這代表企業的試錯成本非常高。而在云計算架構中,我們有訂閱付費的模式,還有大量的試錯機會,也有比較平穩的資金周期,這是一個新的運營的模式。
在建設方法上,傳統IT架構的模式更注重規劃、資產,因為它有非常高的失敗風險,而云計算架構是輕資產,可即開即用、按需付費、快速試錯。
在責任邊界劃分上,傳統IT架構的所有權、控制權、管理權和組織模型是一致的,而云計算架構下是閉環一致的,是責任共擔模型。
治理模型和權責邊界的變化,會帶來本身治理方式、安全管理方式的變化。系統生命周期的變化,可能會導致我們在新的環境下面,很多的傳統的安全方法、理論、模型和管理方式都是失效的。
第二,IT建設和運營模式的變革。傳統的IT架構其實是一個層次架構,它的物理架構和模型架構是相對比較一致的。云本質的核心技術包括計算的虛擬化和網絡的虛擬化,它具有多層次的結構、整個設計復雜得多,這導致基于傳統硬件的安全技術在云上面是失效的。
第三,企業研發模式變革。整個IT信息、IT建設的模式以及整個資源能力的技術變化,帶來研發模式的變革。
傳統研發模式的生命周期,從設計、開發、測試、交付到運營,每個階段是非常清晰和匹配的。今天由于整個基礎設施等資源的利用更加細致,可以采用新的服務和新的生產模式,如今越來越多的系統采用DevSecOps,基本上是2到4周為一個單位。
產業數字化在升級,基礎設施、IT治理以及企業的開發模式等整個流程都在升級,這意味著我們的安全能力必須要與時俱進。
根據前面幾年一些重要的安全趨勢,我總結了當下所有企業在安全運營管理變革中面臨的核心挑戰。
第一個挑戰,大概從2017、2018年以來,數據泄露事件大概在整個安全事件里占比22%,個人信息和商業數據泄露已成為非常重要安全風險。另外是商業間諜和有組織攻擊的犯罪,同時一些傳統的攻擊威脅并沒有減少,所以整體的網絡空間局勢是非常的嚴峻的。
第二個挑戰,云計算、邊緣計算以及IoT新技術在快速的發展和應用,今天整個網絡攻擊存在矩陣化、網格化的發展趨勢。這意味著如今的網絡空間技術和行為需要足夠深入和專業的安全服務才能應對。
第三個挑戰,由于安全事件數量劇增,企業安全管理及運營變得復雜。企業每天基本會面臨至少千萬級以上的安全事件,有效應對海量的安全事件、設計處置方案需要足夠的專業深度和大量的資源投入。
最后一個也是最大的挑戰,就是企業安全能力在需求側和供給側存在一個巨大的差異。在需求側來說,攻擊越來越多意味著需要更專業的人和大量的投入,但是企業沒有這種資源;從供給側來說,我們觀察到,到今天為止國內在服務人力資源和能力模型上存在雙重缺口。國內規模億以上的大型私有云會在1000朵以上,而一朵這樣規模的云,僅僅在安全運營方面,至少需要儲備30人以上的團隊,這就存在3萬人以上的安全運營缺口。另外,整個研發隊伍中30%的人需具備安全技能,這意味著安全研發人才也面臨巨大的缺口。
所以,我們面臨的核心問題是,企業要上云、要用好云,但是又缺乏懂云的安全助手。
騰訊安全托管服務
核心理念及價值主張
騰訊云和騰訊安全在今天正式推出騰訊云安全托管服務,具有以下核心理念:
第一:攻防驅動。攻防對抗是安全的核心,持續性的攻防已成為非常關鍵的命題。當下企業面臨的實時存在的安全攻擊,對安全防護提出一個準實時、持續對抗和防護的要求。
第二,情報驅動。我們今天面臨海量的資產、海量的設備,如果僅僅依賴于被動的監控和發現是不夠的。MSS能夠有效地消解海量的雜亂事件來提取有效的信息,反過來通過數據和情報來增強整個響應有效性和及時性。
最后,數據驅動。我們把多年資深的安全運營管理經驗歸納成具體的流程,以指標化的方式呈現給客戶,幫助用戶建立一個云原生的安全運營能力。
接下來,我講一下騰訊云安全托管服務的價值主張——知攻更懂防,服務看得見。
過去,國外更多的托管服務是依托于人來交付的,對于留存、自動化以及大數據技術的應用相對比較少。如今,根據云的場景,我們把所有的服務歸納為八個主要的核心工作流程,同時成為工作流,透明開放。用戶通過我們安全服務的門戶網站,可以看到自身的安全狀況、安全的結果、總體的風險態勢。
這是MSS的整個服務框架,最上層給用戶交付的主要是兩個方面,一是基于用戶KPI視角——服務結果可視化,另一個是基于專家經驗沉淀——服務過程可視化。中間是我們在實踐中積累和梳理的自動化的工作流平臺。專門的運營中心通過對實踐以及事件情報持續的分析,積累新的實踐策略。下一層是數字化運營的一系列工具和能力的集合,包括日常安全運營的管理,運營風險評估和應急響應。
在最底層建立了兩個核心平臺,一個是安全服務的管理平臺MSP,另一個是云安全運營分析的大數據平臺。通過分析整個騰訊云自身分布在全球的處理中心采集到的安全威脅,形成相應的事件和策略,再把這些作為情報輸出給用戶,最終由MSP平臺來協調整個服務的資源、人力和自動化工作流,進行處置和響應。
這是我們更詳細的防護體系,防護內容涵蓋用戶從風險的識別、風險的檢測與防護到響應恢復等所有環節。根據不同的服務級別,打包成兩個核心的服務品類。一個是日常運營的服務品類,主要是針對企業常態化的安全運營和管理,為企業減負。另一個是基于攻防實戰能力構建的重保護航品類,可以給企業提供7×24小時的全方位最高級別的安全保護。
此外,我們還有特色的云原生的能力,包括資產管理和漏洞管理等。如果使用騰訊云的公有云平臺,我們會直接將這些能力集成到云本身的能力中,最高效快速的發現資產。
從實際案例來看,云上面大概有22%的安全事件是數據泄露的事件,我們2019年底曾建立了一項小的、免費提供的服務,就是監測云上的開發人員由于意識疏忽導致密鑰等敏感信息泄露的服務。僅這一項能力,我們在過去兩年以內,每年大概檢測出4700以上的相關泄露事件,并進行及時預警和止損,為用戶挽回的損失累計超過10億元。
除了云原生的威脅和漏洞管理以外,在事件管理方面,我們通過兩個機制來持續實現事件管理的優化以及快速響應。一是通過本身的大數據能力實現事件的快速識別、有效消解。二是通過大數據分析的方式,聯動整個云的智能化響應機制,每天幫整個云的用戶消除了30%的攻擊威脅。最后是服務過程用戶可見,可知,服務結果指標化。
對于托管服務來說,人始終是服務中一個非常重要的核心,所以我們做的服務是一個人、工具和新的智能技術的有機結合,策略是通過大數據來提取最有效的防護策略,通過自動化的工作流提高響應機制,通過多級分工,減低安全服務投入成本的同時,提升安全服務效率,并針對客戶需求提供個性化服務和定制服務。
整體來講,我們整個MSS托管服務采用的是多級服務專家結構,支持現場交付、遠程交付,另外還有服務咨詢團隊以及線上的專屬專家進行一對一的定制化策略指導。
托管服務的響應時間、效率、成本以及高可用性,是非常關鍵的命題,尤其是受當前疫情的影響,一個服務型企業或者公司來的服務可用性非常重要。MSS在國內建立了三大安全運營中心以及N家T2合作伙伴,擁有全國最高效的服務能力。該服務的能力分為三級,核心是騰訊安全能力中心,包括全國的安全能力、應急專家能力和大數據分析和中心,提供遠程的情報信息和炮火及響應。
MSS在國內建立了三大安全運營中心以及N家T2合作伙伴,擁有全國最高效的服務能力。該服務的能力分為三級,核心是騰訊安全能力中心,包括全國的安全能力、應急專家能力和大數據分析和中心,提供遠程的情報信息和炮火及響應。
對比傳統的服務模式,安全托管服務對于需要多少成本、多少人力、多少時間資源是可以看到的,我們最終希望實現安全廠商和客戶雙方的資源和成本優化,給企業的安全建設‘減負’,讓企業把重心和思考放在業務上。
