拒绝面子工程,提升安全可视化实用性 | FreeBuf甲方群话题讨论
2022-8-26 18:31:12 Author: FreeBuf(查看原文) 阅读量:12 收藏

随着网络技术的发展,网络攻击数量越来越多,攻击复杂度也不断增加,而安全可视化因具备能有效处理海量网络数据信息,捕获网络的全局态势,能通过对图形图像模式的分析帮助安全人员快速识别潜在的攻击和异常事件等优势被行业寄予厚望,安全可视化方案层出不穷,但在实际运用中是否真如大家所愿,还是说更多的沦为了一块徒有其表的面子工程?本期话题,我们就以网络安全可视化实用性为话题,就相关问题展开讨论。

近年来可视化已被多次提及,比如在运维和安全方向,但是做效果容易,要如何提高可视化的实用性,避免成为一项面子工程?

A1:

避免面子工程需要让一线操作人员参与可视化的建设,充分释放一线人员的重复工作内容。

A2:

我们目前在建可视化平台,但一直面临一个主要的问题,收集到的信息准不准、全不全、及时不及时,会不会还可能被可视化误导,毕竟自动化有时候真的是不靠谱,人都不一样靠谱,更何况各种设备采集传输的信息呢,领导也一直持保留意见。

A3:

可视化的主要作用就是看板展示,能够第一时间从全局的角度看出是哪个地方,哪个模块出了问题。这里面参考比较成熟的案例就是机房运维,比如说哪个空调出现故障,哪个主机出现故障,第一时间会在大屏上以红色突出形式告警,显示出来。


对比安全带来说,就等同于挂图作战,首先需要有一个整体的全景图,来把安全的所有关键节点囊括进去,其次,各个防线的日志汇总之后,通过图形化展示能够完整的显示部分的攻击路径。
让我们第一时间掌握到当前被攻击时已经处于什么阶段,应该采取什么样的应急措施。

A4:

可视化好不好用,后台的配置、日志数据治理、报警规则配置等工作至关重要,否则数据不准确,没有意义,连面子工程都算不上。如果能做到做好这些,领导来了能参观有展示又何妨。而且可视化只是大部分态感的一个小功能模块,大家也不会专门就看大屏,更多是时间精力还是放在态感平台的监测预警分析等。

A5:

可视化向来有面向Leader设计的理念,从而被很多底层技术人员所诟病,概其谓之“面子工程”的由来。然而,可视化(图表)确实能够对人类的感知造成视觉冲击,且能够形成明显或强烈的对比,能够突出事件之间的关联性、差异性,可以很直观展示设计者试图传达的信息。

那么基于以上两点,如果要避免可视化成为一项“面子工程”,建议面向Operator进行设计,将实际工作中需要关注、应当关注、重点关注的事件、信息和重要数据进行合理、抽象话的展示,这其中隐含来数据取样、数据分析和安全运营的理念,从实际使用场景、处置场景、流程协作方面进行考虑和整合,或许会尽可能的提升实用性。

综上,个人认为可视化在企业安全中的运用,对执行者而言价值有限(取决于数据采样、分析、展示等的设计),对管理者而言感官冲击和直观性较好。

Q:企业安全是否一定要全面可视化?哪些场景比较适用,哪些实现起来效果还不甚理想?

A1:

我这领导没提可视化,是我们自己在折腾的,把我们干了的一些东西变成数据或图形效果展示。

A2:

其实我关注的一个是攻击趋势一个是漏洞修复情况。攻击地域,我们已经把境外全 Ban 了,漏洞这个,很多欠账,不好解决。

A3:

对,目前我也是做了漏洞的可视化,一样的问题。

A4:

可视化比较直观,节省思考时间,提高观察便捷性和决策能力,一直以来各个方面都有可视化需求,是所有工作的最后一步,并不是直接生产力,但也起到很重要作用。

A5:

可视化是个大话题,在安全和运维角度,可以从操作可视化数据可视化的角度去体现全面可视化的能力,操作可视化的本质是一系列自动化脚本的便捷执行和检索,快速做出响应,数据可视化更多的是将数字资产、问题情况、数据线索通过界面的形式串联,提供给一线操作的人员甄别和分析的平台。

A6:

对于集团总部性质的单位需要全面可视化,全局掌控。下属单位的只需要部分可视化或者指标可视化。在做风险消减跟踪时,指标可视化,可以让产品能够更直观的发现问题。

A7:

先说个人结论:没有啥是绝对(一定)的,还是需要看应用场景来判断是否适合使用可视化。



个人认为适合可视化的场景有:向上(管理者)汇报、整合安全数据和事件汇总分析类、宏观观察安全事件状态等,不甚理想的地方就是很多可视化并未收集、汇总并分析相关数据,无法对事件处置提供有效帮助。

A8:

全面可视化投入是天文数字,安全方面,能在运维、开发、数据、合规等任意一个领域做到可视化就很不错了。

A9:

各个运维管理系统不都有自己的可视化 我想关键是整合资源。

A10:

投入要有产出,可视化的产出是啥?

A11:

系统自动跑出来的可视化,一般都是一线人员关注的。但老板关注的可视化效果,是需要人为提炼加工的,这个过程目前科技水平还无法取代人吧。

A12:

可视化可以从小场景,系统入手,先汇报好,把经费弄下来,再逐步拓展范围,联动。可视化本身没什么技术,主要是的确很多时候起不了实际作用,融合的信息实在是太多了。

其实资产越多,可视化越容易出彩,图形展示对于大批量数据分析更能看出一些宏观上的信息


小的网络,可视化数据不够,看上去就有点Low。

A13:

如果只是Dashboard层面的东西,作用十分有限,日志监测可视化主要还是安全团队内部使用;如果是业务层面的安全态势,很难通过一个大屏来体现,需要多维度加工体现,包括横向+纵向。

Q:在现阶段的攻防实战演练中,红蓝双方可以在哪些方面运用可视化?比如红方利用可视化扫描目标资产及系统漏洞、分析人员构成及属性进行精准的社工钓鱼?对蓝方而言利用可视化进行检测入侵、路径溯源?对于防守方而言,可视化的作用是否更大?

A1:

不管哪方吧,可视化还是要钻取进去后看具体的日志信息吧。可视化作用可能没有想象的那么大,但是这基本上都是安全设备的标配了,也不好诟病什么。

A2:

在现阶段的攻防演练中,红蓝双方的管理者和平台方适合运用可视化,方便评估演练整体状态,对具体工作人员价值有限。


对于红方来说,
可以Excel表做数据透视或分类筛选可能会更合适一些,因为可视化的内容无法在工具链之间进行数据流转;对于蓝方来说,检测入侵和路径溯源依赖具体的告警日志效率可能会更高一些,毕竟时间敏感,可视化的价值有限。

话题二:请问大家一般用的数据库加密方案是哪种?

A1:

现在安全的做法,好像是前端也加密,然后到后端再转加密,也就是请求包中先加密个人信息参数,到后端后使用不同的密钥再转加密,写到数据库中。

A2:

那就是把数据库的字段进行加密了?那不是影响性能,而且不能模糊查询?是不是有种整库加密的方案呀?就是合法用户拿到的数据是明文,不合法拿到的数据是密文,就是找不到实施方案。

A3:

会。开始的时候我也担心开发不同意,后来发现他们没什么意见,可能我们用户量不大吧。

A4:

不能模糊查询,对于业务场景就是要模糊搜索,这个确实很麻烦。特别是表关联特别多的时候,性能又会很大影响。

A5:

好像类似江南XX的厂商会懂转加密,也就是前后端都加密。而传统的数据库厂商,一般只是数据库加密。

A6:

他们好像是通过密钥之类的方案实现的吧。

A7:

加密肯定有密钥啊,以前我不理解前端加密和数据库加密的关系,后来找了江南XX才明白可以这样配合。

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!

号外:攻防复盘星空夜话视频专栏已于8月25日上线FreeBuf视频号,赶紧扫码观看!

关于攻防复盘星空夜话:

攻防复盘星空夜话作为《FreeBuf网安智库说》第四季的主题,由网络安全行业门户FreeBuf主办,将共邀8位行业资深嘉宾、共8期节目,围绕红蓝方观点、攻防报告分享、圆桌讨论等主题,全方位切磋各类攻防“技法”,系统盘点攻防期间的得与失,为今年的攻防演练划上一个完美句号。

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651190191&idx=1&sn=3a28ad70e3c77821cb95c6139c4289a1&chksm=bd1e61248a69e83283be9936bb4bb37261dcd95f835f85d34da3090bf29b34f02fd186ef94e7#rd
如有侵权请联系:admin#unsafe.sh