SOAR资讯 四个转变 看能源巨头国家电投的网络安全运营之路

blufish · 2022年08月23日 · 482 次阅读

“在网络安全运营这条道路上,国内几乎没有能借鉴的行业成熟先例,没有可参考的成功经验模式,只有通过自己的探索,才能找到适合集团自身的运营模式。”

国家电投集团信息技术有限公司网络安全部副总经理(国家电投集团网络信息安全实验室副主任)张萌多次提及 “探索” 这个词语,概括了这家清洁能源巨头在安全运营实践中的心路历程。

作为我国五大发电集团之一,国家电投集团(全称为国家电力投资集团有限公司),是中央直接管理的特大型国有重要骨干企业,肩负保障国家能源安全的重大责任,致力于建设具有全球竞争力的世界一流清洁能源企业。

2020 年,国家电投在世界 500 强企业中位列 316 位,业务范围覆盖 46 个国家和地区,现有员工总数 13 万人,拥有 62 家二级单位,其中 5 家 A 股上市公司、1 家香港红筹股公司和 2 家新三板挂牌交易公司。

在信息化和网络安全方面,国家电投一直按照价值导向、问题导向砥砺前行。早在 2016 年,当网络安全防护建设仍处于设备堆砌阶段之时,国家电投就已意识到运营的紧迫性和必要性,并率先开启了安全运营探索之路。

从产品堆叠到运营为先

在运营为先的思想指导下,2016 年开始,国家电投逐步建立了覆盖全集团大部分单位的 SIEM(安全信息和事件管理)平台,以大数据作为底层架构,采集全量系统日志,实现安全事件的监控和应急处理。

然而,安全团队很快发现,SIEM 想要充分发挥自身的价值有着很大的局限性:作为彼时最炙手可热的安全产品和技术之一,SIEM 需要依赖高质量的日志,从中找出潜在的非法行为。

很快一个难题就出现了,也就是日志采集。日志采集绝非 “眉毛胡子一把抓” 的过程,这其中涉及到日志的类型、内容、存储、检索、分析,以及跨部门的协调、管理等等诸多挑战,都需要安全团队一一解决。

在当时的情况下,这些问题都很棘手。” 张萌表示,“不能否认 SIEM 是好产品,但缺乏有效的安全运营手段。就像一个厨师,应当按着自己心中的菜谱搭配食材,而不是对着杂乱无章的厨房,构思着虚无缥缈的满汉全席。”

从合规驱动到实战导向

图 国家电投综合安全态势大屏

在资产梳理及漏洞修复方面,NGSOC 上线至今,持续梳理总部资产及下级单位资产、网段信息,对多个系统进行漏洞检测、修复及复测,修复率高达 91%。 而在 2020 年网络攻防实战演习中,运营团队通过 NGSOC 对威胁告警进行监测分析,发现并处置安全威胁事件 65 件,结合威胁情报信息共封禁攻击 IP 地址 74667 个,提交防守报告 16 份,圆满完成了防守任务。

从局部实践到规模化推广

当国家电投通过集团数据中心以及数家二级单位,完成探索成功的第一步之后,下一步的任务,就是按照集团公司统筹规划,将该模式推广到整个集团。

图 国家电投安全运营框架图

据介绍,目前安全运营中心主要覆盖了数家单位,包括集团数据中心、中国电力、成套公司、山东核电、姚孟电厂、横琴热电、重燃公司等等。按照集团规划,2021 年,计划在集团范围全面扩展覆盖,堪称近百倍级的量级扩张。

“量变势必带来质变,随着未来集团安全运营中心的建立,将面临效果和效率的双重挑战。” 张萌表示。

首先是效率方面的挑战。

目前,网络安全运营在集团数据中心已经稳定,每天产生 2 亿多条日志,告警归并之后,大约 2000 多条告警。这些告警主要依赖于专业人员来分析处理,效率比较低。

在规模化后,预估日均告警数量将有数十倍甚至百倍的提升,投入数十倍的员工当然是不现实的,因此必须提升安全运营的效率。例如整合 NGSOC 平台和主机安全系统,实现安全威胁告警自动化分析判断;再例如面对历史同类的告警,系统按照现有的 SOP 执行自动化的分析判断。

“在这个问题上,我们也在测试最近比较火热的 SOAR 产品。从技术理念上来说,我们将所有的安全产品划分为三个阶段使用,‘ 感知’ 阶段、‘ 分析与辅助决策’ 阶段、‘ 行动’ 阶段。SOAR 能提供自动化安全编排和响应能力,我们将 SOAR 定位为 ‘ 分析与辅助决策’ 阶段和 ‘ 行动’ 阶段的 ‘ 执行管家’,希望能在规模化运营时期,大幅度提升我们安全运营的分析与行动效率。”

第二是来自效果的挑战。

随着规模越来越大,网络环境越来越复杂,威胁数量、攻击形式都会激烈增加,安全运营需要对威胁预警和脆弱性,实现更全面、更精准的发现和处理。

如何解决这些问题,国家电投已探索了很多经验。举例来说,在日常和实战攻防演习期间,国家电投优先修补有公开 POC 或者 EXP 的漏洞(即已验证可被利用的漏洞),而不是追求大而全、修补所有漏洞,这样能在投入(工作量)和安全风险之间寻求相对平衡,在尽量降低安全风险的同时,又符合安全运营的投入产出比原则。

同时,国家电投非常注重场景积累和经验复用。张萌表示,没有绝对的网络安全,将所有未知的威胁全部阻断是非常不现实的,因此我们的重点目标,是避免系统被相同的攻击手法打穿两次,不能在一个问题上反复栽跟头。所以遇到一类问题,一类场景,都将其沉淀下来,形成标准化的 SOP 积累,为将来全面走向系统化提供基础。

截至目前,国家电投安全运营团队总结出了 12 类大场景,若干个小场景,并将其运营工作固化下来,以便能够让新的安全运营人员快速上手复用,满足规模增长和人数增长的需求。同时为系统功能更新、SOAR 自动化编排等做准备,实现自动化编排,显著提升效率。

从能力输出到价值共鸣

“沿着旧地图,找不到新大陆”。

探索的道路注定布满荆棘,在网络安全运营这条路上,有国内领先安全企业的持续参与,国家电投走的并不孤独。

张萌表示,“我们选择合作伙伴,不单考虑对方的产品和技术能力,更要考虑双方是否有共同的运营价值观和运营理念。”

展望 “十四五” 期间,张萌提到,国家电投将继续坚持高标准要求、高目标定位、高水准建设理念,在 “十三五” 基础上,构建一体化的安全管控体系、安全技防体系、安全运行体系,全面实现 “由被动防护转向主动防御、由静态保护转向动态保障、由加固监测转向安全可控” 的三个转变,打造 “精细化安全管控、体系化主动防御、实战化安全运行” 的总体效果,为集团公司建设具有全球竞争力的世界一流清洁能源企业,提供强有力的支撑保障。

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册