HW行動(dòng)在經(jīng)過(guò)多年的發(fā)展,已經(jīng)是一個(gè)涉及多行業(yè)多人員的全員攻防演練�����。
常態(tài)化攻防演練越來(lái)越接近實(shí)戰(zhàn)
HW行動(dòng)在經(jīng)過(guò)多年的發(fā)展�����,已經(jīng)是一個(gè)涉及多行業(yè)多人員的全員攻防演練����。流程和規(guī)則也越來(lái)越清晰,整體也更加偏向?qū)崙?zhàn)���。在2024年的一個(gè)重大變化就是攻防演練的周期變長(zhǎng)��,從以前2周延長(zhǎng)到了2個(gè)月甚至更久�����。藍(lán)隊(duì)過(guò)去那種集中力量高強(qiáng)度值守已是不可持續(xù)的方式����。這也能更好的摸清每個(gè)企業(yè)“真實(shí)”的安全防護(hù)能力。
在這個(gè)大背景下���,企業(yè)能持續(xù)發(fā)現(xiàn)潛在威脅的能力十分重要�。紅隊(duì)滲透后不再直接得分����,而是在暗中潛伏以求獲得更大的戰(zhàn)果。藍(lán)隊(duì)則需要在2個(gè)月的運(yùn)維中能發(fā)現(xiàn)這些威脅并進(jìn)行處置��。這也更符合現(xiàn)代網(wǎng)絡(luò)攻防的真實(shí)情況���。
最后�,因?yàn)樾录夹g(shù)新領(lǐng)域的增加����,攻防演練也會(huì)考慮增加新行業(yè)的參與以及使用新的攻擊手段,比如借助AI來(lái)讓攻擊更加高效���。
F5安全運(yùn)營(yíng)建設(shè)理念
F5在攻防演練早期就給客戶介紹了面對(duì)實(shí)戰(zhàn)的現(xiàn)代安全運(yùn)營(yíng)理念���。傳統(tǒng)安全理念是在Day1(攻擊發(fā)生初期)就用各種手段把攻擊擋在門外。但實(shí)踐證明只要黑客全力以赴���,總有辦法攻入到內(nèi)部���,所以現(xiàn)代的安全理念從Day1的阻斷,變成了Day N的持續(xù)安全運(yùn)營(yíng)的“持久戰(zhàn)”�����。我們的安全團(tuán)隊(duì)要能不斷的發(fā)現(xiàn)潛伏的威脅��,及時(shí)發(fā)現(xiàn)及時(shí)處置并不斷優(yōu)化防護(hù)策略��。
F5提出了四大能力來(lái)構(gòu)建現(xiàn)代安全運(yùn)營(yíng)架構(gòu)應(yīng)對(duì)2024的攻防實(shí)戰(zhàn)演練:
-自動(dòng)化:安全運(yùn)營(yíng)的持續(xù)發(fā)現(xiàn)持續(xù)優(yōu)化的流程一定需要引入自動(dòng)化運(yùn)維�����,人工是很難在強(qiáng)度大���、壓力大的攻防演練中毫無(wú)錯(cuò)誤�。
-持續(xù)監(jiān)控和處置:我們布防的安全節(jié)點(diǎn)除了防護(hù),還需要能發(fā)送流量和攻擊日志給統(tǒng)一監(jiān)控分析平臺(tái)���,由平臺(tái)做關(guān)聯(lián)分析發(fā)現(xiàn)潛在威脅����。
-全?����!氨Α蓖渡洌航Y(jié)合零信任的理念���,安全運(yùn)營(yíng)需要全面布防�����,甚至從基礎(chǔ)設(shè)施布防到應(yīng)用內(nèi)部�,這就對(duì)我們能把安全能力投射到任何地方帶來(lái)了考驗(yàn)��,我們需要能夠在各種環(huán)境����,各種底座上部署安全能力�����。
-API加固:現(xiàn)代應(yīng)用都是基于API對(duì)外提供服務(wù),針對(duì)API的資產(chǎn)梳理�����,API的安全防護(hù)是現(xiàn)代應(yīng)用防護(hù)必不可少的����。API加固是我們構(gòu)建安全運(yùn)營(yíng)所必須的能力之一。
針對(duì)構(gòu)建安全運(yùn)營(yíng)需要的四大能力��,F(xiàn)5的產(chǎn)品有天然的優(yōu)勢(shì):
-自動(dòng)化生態(tài):F5全系列產(chǎn)品都有強(qiáng)大的API接口和圍繞API的自動(dòng)化工具生態(tài)�����。無(wú)論您是想用某種程序語(yǔ)言的SDK(比如python)���,還是用ansible��,甚至就是用POSTMAN來(lái)對(duì)API操作�,F(xiàn)5都提供了完備的自動(dòng)化工具生態(tài),讓您自動(dòng)化運(yùn)維上手變得非常簡(jiǎn)單����。
-安全大數(shù)據(jù)引擎:F5全系列產(chǎn)品支持大數(shù)據(jù)引擎,可以按照用戶要求自定義輸出流量的日志和安全事件����。企業(yè)通過(guò)SIEM、SOAR等工具或手段做安全關(guān)聯(lián)分析���,發(fā)現(xiàn)潛在威脅��,自動(dòng)下發(fā)精細(xì)策略�����,實(shí)現(xiàn)安全監(jiān)控��、發(fā)現(xiàn)和封禁的自動(dòng)化閉環(huán)����。
-OneWAAP:F5為API和WEB應(yīng)用提供了全棧防護(hù)能力���,WAAP可以部署在任何位置����。比如AWAF以物理機(jī)和虛擬機(jī)部署在傳統(tǒng)數(shù)據(jù)中心、CE部署在邊緣云和混合云環(huán)境����、NAP部署在應(yīng)用內(nèi)部和容器化環(huán)境。三個(gè)產(chǎn)品都是一個(gè)安全引擎����,一套安全策略配置�����,實(shí)現(xiàn)全?�?焖俨挤?���。
-API發(fā)現(xiàn)和API防護(hù):現(xiàn)代應(yīng)用的安全防護(hù)圍繞著API展開(kāi),API的加固需要兩個(gè)重要的能力����。第一個(gè)是API發(fā)現(xiàn),我們要知道保護(hù)的對(duì)象才能做防護(hù)���,面對(duì)龐雜的API端點(diǎn)我們需要能自動(dòng)發(fā)現(xiàn)和梳理這些數(shù)字資產(chǎn)��。第二個(gè)是API防護(hù)����,我們要對(duì)各種API的schema有識(shí)別的能力,能支持多種主流的API認(rèn)證和授權(quán)的框架��,比如OAUTH2.0/OIDC�。
總結(jié)
應(yīng)對(duì)攻防演練不應(yīng)該是企業(yè)的目標(biāo)。企業(yè)應(yīng)該借助攻防演練來(lái)逐步實(shí)現(xiàn)符合現(xiàn)代安全理念的防護(hù)手段和思路�����,而“安全運(yùn)營(yíng)”正是當(dāng)今企業(yè)面對(duì)新威脅的唯一解��。為了實(shí)現(xiàn)安全運(yùn)營(yíng)�,我們認(rèn)為企業(yè)需要有四大能力,而F5都可以匹配這四大能力助力企業(yè)的安全運(yùn)營(yíng)��。
-自動(dòng)化
-持續(xù)監(jiān)控和處置
-全?���!氨Α蓖渡?/p>
-API加固
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
