腾讯既是企业服务产品的服务商又是使用者,很多产品最原始的出发点最早只是为了解决腾讯自身某一个需求,经过不断地发展完善和业务场景锤炼,最终从进化成一个成熟的企服产品。本系列文章讲述的是这样一组Made in Tencent故事,这是系列的第二篇。
由于攻防实力盛名在外,腾讯安全专家服务团队经常需要扮演处理疑难杂症“老中医”的角色,为企业用户解决各种棘手安全问题。
各类面向企业的攻击事件层出不穷,勒索病毒、供应链攻击、数据窃取、挖矿木马……救客户之所急是腾讯安全职责所在,但是如果仅靠专家“人肉”处理,长期以往会面临几个问题,一是攻击事件只会持续增加,而专家精力有限;二是专家攻防经验无法复刻和传承。两者加起来,造成的结果就是专家服务能力的瓶颈,如果再发生一次WannaCry这样的全球性网络安全事件,很多企业可能会束手无策。而且在供应链攻击大行其道的今天,WannaCry的重演是极有可能发生的。
如何解决这个问题?腾讯安全的答案是MSS——安全托管服务。
通常,一个典型的安全厂商研发一个新产品是这样的流程:先做市场调研和客户痛点分析,寻找到若干机会点,再基于对自身优势能力的判断,匹配适合自己企业的产品切入。但在腾讯情况稍有不同,某种意义上腾讯本身就是腾讯安全的客户,所以很多情况下,腾讯安全产品的诞生是基于解决腾讯自身的诉求而萌生并逐渐成熟——腾讯安全MSS就是典型的这样的情况。这要从腾讯云平台本身的安全建设说起。
从2016年成立以来,腾讯安全云鼎实验室一直负责腾讯云的平台安全保障,2019年,随着数字化进程加快,企业的核心资产上云,针对云上的攻击量显著增加,云鼎又增加了一项新职责:承担云上租户的安全治理与应急响应工作。“虽然国际上的惯例是云平台和云租户‘责任共担’,但一是在国内这个理念尚没有形成共识,二是很多客户信息化起步比较晚,也缺乏应对云上风险的能力,所以那个阶段需要云平台去承担一些租户风险和漏洞收敛的工作。”腾讯云安全总经理李滨介绍。
刚接手的时候,由于缺乏经验和工具,云鼎实验室陷入了漏洞战争的汪洋大海中,每个人都满负荷运转,即便如此依然很吃力。“腾讯云在全球20多个国家和地区有八九十个数据中心分布,付费用户规模超过了100万,要响应这么庞大体量的云平台和租户的安全问题,每天面临的安全事件数以亿计。”李滨说。
但是,硬币都有两面,如果换一个视角看这些海量的攻击事件,它也可以是一个“安全金矿”。“基于腾讯云在全球的节点,我们可以看到全球安全态势。今天很多攻击是组织化、规模化的,它也同样会在全球范围进行尝试,通过大数据分析和长时间的人工智能的跟踪,最终我们会知晓有什么攻击源头、控制了哪些恶意节点、对谁发生了怎样的攻击。”
在护航腾讯云平台的经验中,云鼎实验室发现,虽然云上有海量的攻击事件,但是它们其实是有限种类的攻击事件的无限重复,比如其中有大部分安全问题是由初级的配置错误、密钥泄露和已知漏洞等事件触发的——其中密钥泄露就占了22%,仅仅在腾讯云上,每年会发生数千起因开发人员把密钥写在代码里分享到开源平台上造成的信息泄露事件。
云鼎团队粗略算了一下,发现只需要通过一些技术手段——例如提取每一种事件的抽象特征,并把相对应的专家处理流程用一种自动化工作流的方法固定下来,通过机器的自动化批量处理——把这些共性问题消除掉,就能将安全事件的处置效率提升80%。
基于这个观察,云鼎实验室做了一系列工具构建,整合集团内部、国内外各类资产测绘、漏洞扫描、配置分析、泄漏监测以及工单管理等模块能力,同时也联动Gitbub做了密钥泄露响应的自动化机制,从发现到通知用户处置,整个周期能缩减到分钟级别——而传统的处理周期可能短辄以天为计,并且前提是已经发现了密钥泄露。
对于那些重复性很高的的攻击事件,云鼎采取的则是一种“拼积木”的方法来消减:
第一步:几名工程师将事件处置所需的通用模块能力进行了提取和封装,它们包含了常见安全扫描、工单、企业IM通知、开放API等在内的几十个模块;
第二步:如何搭这些“积木”?虽然市面上已经有SOAR,但是SOAR引擎一方面不透明,不利于调试流程,对业务的影响未知,另一方面开放性及灵活性不足,支撑场景有限,云鼎于是自己从0到1开发了一套流程编排引擎,把这几十个“积木”按照不同的事件处置流程进行编排,来实现一劳永逸。
这项工作让团队的效率极大提升,专家也得以从重复劳动中解放出来,去做更重要的工作。“通过自动化工作流,在业务上线、重保值守期间事件的MTTD/MTTR(平均检测时间/平均响应时间)大大降低。”腾讯云鼎实验室高级安全专家刘志高提到,“有了这项能力,我们会有更多精力聚焦问题解决本身,想清楚用什么样的能力和流程可以更好地解决或闭环某类事件,剩下要做的,就是借助工作流引擎对解决方案进行快速落地和实践运营。”
这个时间段,网络安全产业也在发生一些显著的变化。2020年前后,在上一轮IT和信息化建设的高峰过去后,企业对于网络安全已经主要不再是买买买的需求,而是如何让采购的若干种网络安全产品和工具真正产生效用、规则生效起来,很多研究机构都不约而同地认为,未来网络安全产品服务化是一个发展趋势。腾讯安全服务总监曾勇江判断,平台交付、安全运营托管化将是企业应对未来安全挑战的主流方向。
这意味着,云鼎构建的这些工具不仅仅可以为腾讯集团内部各安全运营团队所用,也有机会成为一个企业服务产品,被更多企业客户使用。
但如果要作为一种企业服务级的产品,仅仅做到这些还不足够。在很多次重保、客户应急响应的交流中,腾讯安全专家服务团队发现很多客户对于安全管理有一个切肤之痛——不仅仅是系统被攻陷了,而且是在很多情况下,安全部门对于系统是如何被攻陷的、处置进度到了哪里无从知晓,他们面前是一个黑盒。“一个人处理攻击事件,一群人围观”是客户应急现场的常态,因为在没有工具可以让他们洞悉处置进度的情况下,客户只能通过“在场”的方式缓解焦虑。
云鼎实验室决定要把这个工具进一步完善。首先是在平台上引入更多高级安全能力,比如业务基线行为检测、漏洞情报、ASM(资产测绘)——其中不乏一些腾讯安全研究团队专家自研的独门工具;此外是不得不提的BAS(入侵与攻击模拟),腾讯安全联合实验室集结了业内一流的安全攻防专家,他们对于各种攻击手法了如指掌,为了达到“以攻促防”的目的,将实战中的攻击方式写成“攻击剧本”,用自动化工作流编排之后,去验证客户的WAF能不能被绕过、防火墙的策略是不是严谨、主机安全Agent功能有效性——以从安全有效性验证的角度帮用户发现更深层次的安全问题。
腾讯安全服务团队每年要做100多场重保、打十几次攻防演练,在这个过程中积累了一整套完整的流程。“一场重保项目开始之前,什么时间安全团队需要入场,了解和分析整个系统架构,什么时候做系统安全检测、代码检测,什么时候要进行红蓝对抗的演练、应急演练,要进行几轮,需要留多长的事件进行漏洞整改,什么时候进行最终的复测、系统的封闭,开始转入持续的监控的阶段。监控阶段我们可能有一系列表和流程,什么事件触发什么样的信号、应该怎么样处置,哪些是联动到情报中心,情报中心区分哪些信号要及时应急,等等。”李滨说。
而这些宝贵的专家经验也以工作流的方式沉淀在腾讯安全MSS中,企业只需要根据自己的实际IT情况配置参数,就可以开展安全运营工作。在MSS平台上,企业可以“看见”自己安全状况,以及处置进度。
网络安全的本质是对抗,对抗形式是一直在变化的。对于一个好的MSS服务来说,在一系列的自动化工具之外,还需要有一个“专家智囊团”实时去维护攻击剧本、漏洞库、情报,这也正是腾讯安全的长处。在自身的海量业务体量下,腾讯天然需要保持对于各种攻击态势的感知。
网络安全攻和守之间永远都存在不公平的较量,对于攻击者来说,攻击就是往芝麻里撒一把沙子,轻而易举;而防守方则需要把沙子从芝麻里找出来。数字化以摧枯拉朽的方式席卷了每一个行业,所有企业必然都要走向数字化,但是否每一个企业都做好了准备?对于那些没有专业安全团队的企业来说,他们如何才能抵挡这样的不公平较量?
MSS,也许是一个答案。对于大企业来说,它可以用MSS补齐安全体系建设中薄弱的地方,或通过MSS团队的平台工具能力提升自身运营能力,在自己的安全团队之外获得一个强援;对于业务托管在公有云上的小企业来说,则可以以很低的成本获取到和大企业一样的安全服务。
MSS(托管安全服务)最早起源于上世纪90年代,北美的运营商、云厂商和安全厂商率先推行,近几年在中国网络安全市场也呈现显著的增长趋势。IDC数据显示,2020年安全托管服务市场成为全球网络安全产品与服务市场中最大的子市场,占比超过20%;2021年至2025年,中国安全托管服务市场将保持39%的复合增长率。
百川入海。对于云鼎实验室来说,也许它最早并没有预期要做一个next big thing,它只是从简单地解决自己和客户的痛点需求出发,但最后也走向了一个冉冉升起的大蓝海市场。
“目前,腾讯安全MSS已经服务于数字广东、广交会、中海地产、一汽大众、畅游、中旅集团等多个企业中,保障了第七次全国人口普查、央视频春晚重保等重大时刻的0事故、0风险。”曾勇江说。