简介:网络安全策略管理,司玉琨已经驾轻就熟。2004年,赋予防火墙灵魂的力量。
好看的皮囊千篇一律,司玉琨研究生毕业后,
有趣的灵魂万里挑一。
抛开现象看本质,成为了青岛海关的一名技术人员,
网络安全的灵魂是什么?
如果把防火墙等硬件看作皮囊的话,学数学的他愣是靠着拼搏的毅力从一名技术小白成长为技术专家,
它们的灵魂就是安全策略,参与全国多项重信息工程,
没有灵魂的防火墙是脆弱的、无用的,先后荣立个人三等功1次,
也是孤独的。
基于对当前防火墙策略管理现状的分析,个人嘉奖3次,
安博通总结了“孤独问题”。
【安全说】邀你探讨这“独孤九式”,集二等功1次。因为出色的业务能力,
以下欢迎欣赏。
讲师简介:李源,2017年,20年网络安全领域从业经验,南海新区聘用司玉琨为国企公司——佳德信息技术的总经理,长期担任学MBA学位评审,现任北京安博通科技股份有限公司资深顾问。
凡是不以策略管理为目的的防火墙,都是“耍流氓”。
这些打引号的“流氓行为”包括:策略只增不减,有人开通,无人回收,日积月累产生量无用策略。政策落地难,由于缺少自动化工具,实践中较难达成策略最小化与合规性要求。需要量试错成本,策略变更过程中,经常出现策略不生效、影响其他策略等问题。无力精细化管理,在不了解网络全貌的情况下,很难精细到端口和协议。
IDC早在2018年,就建议安全厂商重视策略管理。Gartner在2019年预测“到2023年,99%的防火墙缺口/被突破是由防火墙配置错误引起的,而不是防火墙自身缺陷”,并定义了网络安全策略管理技术(NSPM)。在等保2.0中,也对策略管理有着明确要求。
从某种角度讲,防守者需要的不是防火墙,而是一套访问控制管理机制,防火墙只是这套机制的载体。我们将访问控制的决策心智,称为“策略中台”,或安全策略智能运维平台。
平台的目标是:实现全网异构设备访问控制策略的一体化全生命周期管理;实现面向业务视角的全网络安全域拓扑架构可视;实现全流程访问控制策略自动化运维;加速数字转型的自动化、集约化、智能化进程,全面提升安全运维及防护保障能力。
平台采用数据典型的三层架构模型:数据采集层、数据建模层和数据展示层,打通以资产、策略、路径、风险为核心的流程,且可以无缝对接第三方安全管理平台。
平台具备一个安全策略全建模核心算法,以及多源异构设备的适配与管理、安全域拓扑建模、攻击面量化评估和无风险策略运维创新能力。
当我们从“以设备为中心”走向“以策略为中心”的管理模式,一切开始改变。有效解决了策略只增不减、访问控制关系不清、合规检查无从下手、策略最小化沦为空谈等长期痛点问题,通过安全策略的智能化运维,可以持续高效地控制风险并加以缓解。
作为可视化网络安全技术创新者,安博通多年来持续深入用户一线场景,特别是网络攻防实战场景,结合业务流程与管理规范,不断丰富着实践,已连续四年获得工信网络安全试点示范项目,并在、军队、企业等多个行业获得成功应用。
安全策略智能运维平台已帮助用户管理超过25种品牌、10000台网络安全设备。据不完全统计,将应急响应效率提升了31%,策略合规性提升了49%,安全运维复杂度降低了35% 。
通过对安全本质的深刻分析,我们看到:安全是一种持续的过程,只是反映某个时间点和空间点的暂时状态,终极安全结果很难达到,这一点引发着我们的持续思考。
从军事思想出发,OODA是全球公认的军事作战方,虽然它完全起源于军事领域,但同样适用于网络攻防领域,美军的网络安全思路就很程度上依据了OODA模型。从中可以得到几点启示:1、缩减攻击面是安全防护永恒的主题。在漏洞必然存在的情况下,降低安全风险的有效方法是缩小攻击面,安全防护体系不断完善的过程,就是攻击面不断缩小的过程。2、纵深防御永不过时。3、安全配置管理(SCM)是十年磨一剑的重要基础工作。SCM是安全能力的基础,缺少它一切只是空中楼阁。4、打仗靠地图。
在挂图作战中,我们需要将网络空间中的防护对象和防护措施可视化,从而打造全视角,完善整体防护、纵深防御和主动防御体系。我们还需要融合空间地图、安全数据和安全能力,形成基于战术级地形分析的动态防御、联防联控和精准防护作战体系。
看过《三体》的朋友都知道,在空间带来的降维打击面前,一切都显得微不足道。回想过去多年的网络攻防对抗经历,或许只是在二维世界中竭尽全力,我们应该有人去仰望星空,去探索更高维度的攻防之道……
凯文·凯利曾在《失控》一书中写到:最稳定的状态,不是一成不变,而是总处于摇摇欲坠中。控制与失控,恰恰就是不断推动网络安全产业前进的动力。
