應對攻防實戰(zhàn)演練進化，為何安全運營是唯一出路？

常態(tài)化攻防演練越來越接近實戰(zhàn)

HW行動在經過多年的發(fā)展，已經是一個涉及多行業(yè)多人員的全員攻防演練。流程和規(guī)則也越來越清晰，整體也更加偏向實戰(zhàn)。在2024年的一個重大變化就是攻防演練的周期變長，從以前2周延長到了2個月甚至更久。藍隊過去那種集中力量高強度值守已是不可持續(xù)的方式。這也能更好的摸清每個企業(yè)“真實”的安全防護能力。

在這個大背景下，企業(yè)能持續(xù)發(fā)現潛在威脅的能力十分重要。紅隊滲透后不再直接得分，而是在暗中潛伏以求獲得更大的戰(zhàn)果。藍隊則需要在2個月的運維中能發(fā)現這些威脅并進行處置。這也更符合現代網絡攻防的真實情況。

最后，因為新技術新領域的增加，攻防演練也會考慮增加新行業(yè)的參與以及使用新的攻擊手段，比如借助AI來讓攻擊更加高效。

F5安全運營建設理念

F5在攻防演練早期就給客戶介紹了面對實戰(zhàn)的現代安全運營理念。傳統(tǒng)安全理念是在Day1（攻擊發(fā)生初期）就用各種手段把攻擊擋在門外。但實踐證明只要黑客全力以赴，總有辦法攻入到內部，所以現代的安全理念從Day1的阻斷，變成了Day N的持續(xù)安全運營的“持久戰(zhàn)”。我們的安全團隊要能不斷的發(fā)現潛伏的威脅，及時發(fā)現及時處置并不斷優(yōu)化防護策略。

F5提出了四大能力來構建現代安全運營架構應對2024的攻防實戰(zhàn)演練：

-自動化：安全運營的持續(xù)發(fā)現持續(xù)優(yōu)化的流程一定需要引入自動化運維，人工是很難在強度大、壓力大的攻防演練中毫無錯誤。

-持續(xù)監(jiān)控和處置：我們布防的安全節(jié)點除了防護，還需要能發(fā)送流量和攻擊日志給統(tǒng)一監(jiān)控分析平臺，由平臺做關聯分析發(fā)現潛在威脅。

-全?！氨Α蓖渡洌航Y合零信任的理念，安全運營需要全面布防，甚至從基礎設施布防到應用內部，這就對我們能把安全能力投射到任何地方帶來了考驗，我們需要能夠在各種環(huán)境，各種底座上部署安全能力。

-API加固：現代應用都是基于API對外提供服務，針對API的資產梳理，API的安全防護是現代應用防護必不可少的。API加固是我們構建安全運營所必須的能力之一。

針對構建安全運營需要的四大能力，F5的產品有天然的優(yōu)勢：

-自動化生態(tài)：F5全系列產品都有強大的API接口和圍繞API的自動化工具生態(tài)。無論您是想用某種程序語言的SDK（比如python），還是用ansible，甚至就是用POSTMAN來對API操作，F5都提供了完備的自動化工具生態(tài)，讓您自動化運維上手變得非常簡單。

-安全大數據引擎：F5全系列產品支持大數據引擎，可以按照用戶要求自定義輸出流量的日志和安全事件。企業(yè)通過SIEM、SOAR等工具或手段做安全關聯分析，發(fā)現潛在威脅，自動下發(fā)精細策略，實現安全監(jiān)控、發(fā)現和封禁的自動化閉環(huán)。

-OneWAAP：F5為API和WEB應用提供了全棧防護能力，WAAP可以部署在任何位置。比如AWAF以物理機和虛擬機部署在傳統(tǒng)數據中心、CE部署在邊緣云和混合云環(huán)境、NAP部署在應用內部和容器化環(huán)境。三個產品都是一個安全引擎，一套安全策略配置，實現全棧快速布防。

-API發(fā)現和API防護：現代應用的安全防護圍繞著API展開，API的加固需要兩個重要的能力。第一個是API發(fā)現，我們要知道保護的對象才能做防護，面對龐雜的API端點我們需要能自動發(fā)現和梳理這些數字資產。第二個是API防護，我們要對各種API的schema有識別的能力，能支持多種主流的API認證和授權的框架，比如OAUTH2.0/OIDC。

總結

應對攻防演練不應該是企業(yè)的目標。企業(yè)應該借助攻防演練來逐步實現符合現代安全理念的防護手段和思路，而“安全運營”正是當今企業(yè)面對新威脅的唯一解。為了實現安全運營，我們認為企業(yè)需要有四大能力，而F5都可以匹配這四大能力助力企業(yè)的安全運營。

-自動化

-持續(xù)監(jiān)控和處置

-全?！氨Α蓖渡?/p>

-API加固