應(yīng)對攻防實戰(zhàn)演練進化，為何安全運營是唯一出路？

常態(tài)化攻防演練越來越接近實戰(zhàn)

HW行動在經(jīng)過多年的發(fā)展，已經(jīng)是一個涉及多行業(yè)多人員的全員攻防演練。流程和規(guī)則也越來越清晰，整體也更加偏向?qū)崙?zhàn)。在2024年的一個重大變化就是攻防演練的周期變長，從以前2周延長到了2個月甚至更久。藍隊過去那種集中力量高強度值守已是不可持續(xù)的方式。這也能更好的摸清每個企業(yè)“真實”的安全防護能力。

在這個大背景下，企業(yè)能持續(xù)發(fā)現(xiàn)潛在威脅的能力十分重要。紅隊滲透后不再直接得分，而是在暗中潛伏以求獲得更大的戰(zhàn)果。藍隊則需要在2個月的運維中能發(fā)現(xiàn)這些威脅并進行處置。這也更符合現(xiàn)代網(wǎng)絡(luò)攻防的真實情況。

最后，因為新技術(shù)新領(lǐng)域的增加，攻防演練也會考慮增加新行業(yè)的參與以及使用新的攻擊手段，比如借助AI來讓攻擊更加高效。

F5安全運營建設(shè)理念

F5在攻防演練早期就給客戶介紹了面對實戰(zhàn)的現(xiàn)代安全運營理念。傳統(tǒng)安全理念是在Day1（攻擊發(fā)生初期）就用各種手段把攻擊擋在門外。但實踐證明只要黑客全力以赴，總有辦法攻入到內(nèi)部，所以現(xiàn)代的安全理念從Day1的阻斷，變成了Day N的持續(xù)安全運營的“持久戰(zhàn)”。我們的安全團隊要能不斷的發(fā)現(xiàn)潛伏的威脅，及時發(fā)現(xiàn)及時處置并不斷優(yōu)化防護策略。

F5提出了四大能力來構(gòu)建現(xiàn)代安全運營架構(gòu)應(yīng)對2024的攻防實戰(zhàn)演練：

-自動化：安全運營的持續(xù)發(fā)現(xiàn)持續(xù)優(yōu)化的流程一定需要引入自動化運維，人工是很難在強度大、壓力大的攻防演練中毫無錯誤。

-持續(xù)監(jiān)控和處置：我們布防的安全節(jié)點除了防護，還需要能發(fā)送流量和攻擊日志給統(tǒng)一監(jiān)控分析平臺，由平臺做關(guān)聯(lián)分析發(fā)現(xiàn)潛在威脅。

-全棧“兵力”投射：結(jié)合零信任的理念，安全運營需要全面布防，甚至從基礎(chǔ)設(shè)施布防到應(yīng)用內(nèi)部，這就對我們能把安全能力投射到任何地方帶來了考驗，我們需要能夠在各種環(huán)境，各種底座上部署安全能力。

-API加固：現(xiàn)代應(yīng)用都是基于API對外提供服務(wù)，針對API的資產(chǎn)梳理，API的安全防護是現(xiàn)代應(yīng)用防護必不可少的。API加固是我們構(gòu)建安全運營所必須的能力之一。

針對構(gòu)建安全運營需要的四大能力，F(xiàn)5的產(chǎn)品有天然的優(yōu)勢：

-自動化生態(tài)：F5全系列產(chǎn)品都有強大的API接口和圍繞API的自動化工具生態(tài)。無論您是想用某種程序語言的SDK（比如python），還是用ansible，甚至就是用POSTMAN來對API操作，F(xiàn)5都提供了完備的自動化工具生態(tài)，讓您自動化運維上手變得非常簡單。

-安全大數(shù)據(jù)引擎：F5全系列產(chǎn)品支持大數(shù)據(jù)引擎，可以按照用戶要求自定義輸出流量的日志和安全事件。企業(yè)通過SIEM、SOAR等工具或手段做安全關(guān)聯(lián)分析，發(fā)現(xiàn)潛在威脅，自動下發(fā)精細策略，實現(xiàn)安全監(jiān)控、發(fā)現(xiàn)和封禁的自動化閉環(huán)。

-OneWAAP：F5為API和WEB應(yīng)用提供了全棧防護能力，WAAP可以部署在任何位置。比如AWAF以物理機和虛擬機部署在傳統(tǒng)數(shù)據(jù)中心、CE部署在邊緣云和混合云環(huán)境、NAP部署在應(yīng)用內(nèi)部和容器化環(huán)境。三個產(chǎn)品都是一個安全引擎，一套安全策略配置，實現(xiàn)全棧快速布防。

-API發(fā)現(xiàn)和API防護：現(xiàn)代應(yīng)用的安全防護圍繞著API展開，API的加固需要兩個重要的能力。第一個是API發(fā)現(xiàn)，我們要知道保護的對象才能做防護，面對龐雜的API端點我們需要能自動發(fā)現(xiàn)和梳理這些數(shù)字資產(chǎn)。第二個是API防護，我們要對各種API的schema有識別的能力，能支持多種主流的API認證和授權(quán)的框架，比如OAUTH2.0/OIDC。

總結(jié)

應(yīng)對攻防演練不應(yīng)該是企業(yè)的目標(biāo)。企業(yè)應(yīng)該借助攻防演練來逐步實現(xiàn)符合現(xiàn)代安全理念的防護手段和思路，而“安全運營”正是當(dāng)今企業(yè)面對新威脅的唯一解。為了實現(xiàn)安全運營，我們認為企業(yè)需要有四大能力，而F5都可以匹配這四大能力助力企業(yè)的安全運營。

-自動化

-持續(xù)監(jiān)控和處置

-全?！氨Α蓖渡?/p>

-API加固