共计 3759 个字符,预计需要花费 10 分钟才能阅读完成。
腾讯既是企业服务产品的服务商又是使用者,很多产品最原始的出发点最早只是为了解决腾讯本身某一个需要,通过一直地倒退欠缺和业务场景锻炼,最终从进化成一个成熟的企服产品。本系列文章讲述的是这样一组 Made in Tencent 故事,这是系列的第二篇。
因为攻防实力盛名在外,腾讯平安专家服务团队常常须要表演解决疑难杂症“老中医”的角色,为企业用户解决各种辣手平安问题。
各类面向企业的攻打事件层出不穷,勒索病毒、供应链攻打、数据窃取、挖矿木马……救客户之所急是腾讯平安职责所在,然而如果仅靠专家“人肉”解决,长期以往会面临几个问题,一是 攻打事件只会继续减少,而专家精力有限;二是专家攻防教训无奈复刻和传承。两者加起来,造成的后果就是专家服务能力的瓶颈,如果再产生一次 WannaCry 这样的全球性网络安全事件,很多企业可能会大刀阔斧。而且在供应链攻打大行其道的明天,WannaCry 的重演是极有可能产生的。
如何解决这个问题?腾讯平安的答案是 MSS——平安托管服务。
通常,一个典型的平安厂商研发一个新产品是这样的流程:先做市场调研和客户痛点剖析,寻找到若干机会点,再基于对本身劣势能力的判断,匹配适宜本人企业的产品切入。但在腾讯状况稍有不同,某种意义上腾讯自身就是腾讯平安的客户,所以很多状况下,腾讯平安产品的诞生是基于解决腾讯本身的诉求而萌发并逐步成熟——腾讯平安 MSS 就是典型的这样的状况。这要从腾讯云平台自身的平安建设说起。
从 2016 年成立以来,腾讯平安云鼎实验室始终负责腾讯云的平台平安保障,2019 年,随着数字化过程放慢,企业的外围资产上云,针对云上的攻打量显著减少,云鼎又减少了一项新职责:承当云上租户的平安治理与应急响应工作。“尽管国内上的常规是云平台和云租户‘责任共担’,但一是在国内这个理念尚没有造成共识,二是很多客户信息化起步比拟晚,也不足应答云上危险的能力,所以那个阶段须要云平台去承当一些租户危险和破绽收敛的工作。”腾讯云平安总经理李滨介绍。
刚接手的时候,因为缺乏经验和工具,云鼎实验室陷入了破绽和平的汪洋大海中,每个人都满负荷运行,即便如此仍然很吃力。“腾讯云在寰球 20 多个国家和地区有八九十个数据中心散布,付费用户规模超过了 100 万,要响应这么宏大体量的云平台和租户的平安问题,每天面临的安全事件数以亿计。”李滨说。
然而,硬币都有两面,如果换一个视角看这些海量的攻打事件,它也能够是一个“平安金矿”。“基于腾讯云在寰球的节点,咱们能够看到寰球平安态势。明天很多攻打是组织化、规模化的,它也同样会在寰球范畴进行尝试,通过大数据分析和长时间的人工智能的跟踪,最终咱们会通晓有什么攻打源头、管制了哪些歹意节点、对谁产生了怎么的攻打。”
在护航腾讯云平台的教训中,云鼎实验室发现,尽管云上有海量的攻打事件,然而 它们其实是无限品种的攻打事件的有限反复,比方其中有大部分平安问题是由高级的配置谬误、密钥泄露和已知破绽等事件触发的——其中密钥泄露就占了 22%,仅仅在腾讯云上,每年会产生数千起因开发人员把密钥写在代码里分享到开源平台上造成的信息泄露事件。
云鼎团队粗略算了一下,发现只须要通过一些技术手段——例如提取每一种事件的形象特色,并把绝对应的专家解决流程用一种自动化工作流的办法固定下来,通过机器的自动化批量解决——把这些共性问题打消掉,就能将安全事件的处理效率晋升 80%。
基于这个察看,云鼎实验室做了一系列工具构建,整合团体外部、国内外各类资产测绘、破绽扫描、配置剖析、透露监测以及工单治理等模块能力,同时也联动 Gitbub 做了密钥泄露响应的自动化机制,从发现到告诉用户处理,整个周期能缩减到分钟级别——而传统的解决周期可能短辄以天为计,并且前提是曾经发现了密钥泄露。
对于那些重复性很高的的攻打事件,云鼎采取的则是一种“拼积木”的办法来消减:
第一步:几名工程师将事件处理所需的通用模块能力进行了提取和封装,它们蕴含了常见平安扫描、工单、企业 IM 告诉、凋谢 API 等在内的几十个模块;
第二步:如何搭这些“积木”?尽管市面上曾经有 SOAR,然而 SOAR 引擎一方面不通明,不利于调试流程,对业务的影响未知,另一方面开放性及灵活性有余,撑持场景无限,云鼎于是本人从 0 到 1 开发了一套流程编排引擎,把这几十个“积木”依照不同的事件处理流程进行编排,来实现一劳永逸。
这项工作让团队的效率极大晋升,专家也得以从重复劳动中解放出来,去做更重要的工作。“通过自动化工作流,在业务上线、重保值守期间事件的 MTTD/MTTR(均匀检测时间 / 均匀响应工夫)大大降低。”腾讯云鼎实验室高级平安专家刘志高提到,“有了这项能力,咱们会有更多精力聚焦问题解决自身,想分明用什么样的能力和流程能够更好地解决或闭环某类事件,剩下要做的,就是借助工作流引擎对解决方案进行疾速落地和实际经营。”
这个时间段,网络安全产业也在产生一些显著的变动。2020 年前后,在上一轮 IT 和信息化建设的顶峰过来后,企业对于网络安全曾经次要不再是买买买的需要,而是如何让洽购的若干种网络安全产品和工具真正产生效用、规定失效起来,很多钻研机构都不谋而合地认为,将来网络安全产品服务化是一个发展趋势。腾讯平安服务总监曾勇江判断,平台交付、平安经营托管化将是企业应答将来平安挑战的支流方向。
这意味着,云鼎构建的这些工具不仅仅能够为腾讯团体外部各平安经营团队所用,也有机会成为一个企业服务产品,被更多企业客户应用。
但如果要作为一种企业服务级的产品,仅仅做到这些还不足够。在很多次重保、客户应急响应的交换中,腾讯平安专家服务团队发现很多客户对于平安治理有一个欢天喜地——不仅仅是零碎被攻陷了,而且是在很多状况下,安全部门对于零碎是如何被攻陷的、处理进度到了哪里无从通晓,他们背后是一个黑盒。“一个人解决攻打事件,一群人围观”是客户应急现场的常态,因为在没有工具能够让他们洞悉处理进度的状况下,客户只能通过“在场”的形式缓解焦虑。
云鼎实验室决定要把这个工具进一步欠缺。首先是在平台上引入更多高级平安能力,比方业务基线行为检测、破绽情报、ASM(资产测绘)——其中不乏一些腾讯平安钻研团队专家自研的独门工具;此外是不得不提的 BAS(入侵与攻打模仿),腾讯平安联结实验室集结了业内一流的平安攻防专家,他们对于各种攻打手法一目了然,为了达到“以攻促防”的目标,将实战中的攻击方式写成“攻打剧本”,用自动化工作流编排之后,去验证客户的 WAF 能不能被绕过、防火墙的策略是不是谨严、主机平安 Agent 性能有效性——以从平安有效性验证的角度帮用户发现更深层次的平安问题。
腾讯平安服务团队每年要做 100 多场重保、打十几次攻防演练,在这个过程中积攒了一整套残缺的流程。“一场重保我的项目开始之前,什么工夫平安团队须要入场,理解和剖析整个零碎架构,什么时候做系统安全检测、代码检测,什么时候要进行红蓝反抗的演练、应急演练,要进行几轮,须要留多长的事件进行破绽整改,什么时候进行最终的复测、零碎的关闭,开始转入继续的监控的阶段。监控阶段咱们可能有一系列表和流程,什么事件触发什么样的信号、应该怎么样处理,哪些是联动到情报中心,情报中心辨别哪些信号要及时应急,等等。”李滨说。
而这些贵重的专家教训也以工作流的形式积淀在腾讯平安 MSS 中,企业只须要依据本人的理论 IT 状况配置参数,就能够发展平安经营工作。在 MSS 平台上,企业能够“看见”本人平安情况,以及处理进度。
网络安全的实质是反抗,反抗模式是始终在变动的。对于一个好的 MSS 服务来说,在一系列的自动化工具之外,还须要有一个“专家智囊团”实时去保护攻打剧本、破绽库、情报,这也正是腾讯平安的短处。在本身的海量业务体量下,腾讯人造须要放弃对于各种攻打态势的感知。
网络安全攻和守之间永远都存在不偏心的较量,对于攻击者来说,攻打就是往芝麻里撒一把沙子,轻而易举;而防守方则须要把沙子从芝麻里找进去。数字化以不堪一击的形式席卷了每一个行业,所有企业必然都要走向数字化,但是否每一个企业都做好了筹备?对于那些没有业余平安团队的企业来说,他们如何能力抵御这样的不偏心较量?
MSS,兴许是一个答案。对于大企业来说,它能够用 MSS 补齐平安体系建设中单薄的中央,或通过 MSS 团队的平台工具能力晋升本身经营能力,在本人的平安团队之外取得一个强援;对于业务托管在私有云上的小企业来说,则能够以很低的老本获取到和大企业一样的平安服务。
MSS(托管平安服务)最早起源于上世纪 90 年代,北美的运营商、云厂商和平安厂商率先推广,近几年在中国网络安全市场也出现显著的增长趋势。IDC 数据显示,2020 年平安托管服务市场成为寰球网络安全产品与服务市场中最大的子市场,占比超过 20%;2021 年至 2025 年,中国平安托管服务市场将放弃 39% 的复合增长率。
百川入海。对于云鼎实验室来说,兴许它最早并没有预期要做一个 next big thing,它只是从简略地解决本人和客户的痛点需要登程,但最初也走向了一个冉冉升起的大蓝海市场。
“目前,腾讯平安 MSS 曾经服务于数字广东、广交会、中海地产、一汽大众、畅游、中旅团体等多个企业中,保障了第七次全国人口普查、央视频春晚重保等重大时刻的 0 事变、0 危险。”曾勇江说。