【大咖说】第7期|专访老虎国际安全总监 张杰
2024年是网络强国战略提出10周年,也是完成“十四五”规划目标任务的关键年。为积极发挥行业示范引领作用,助力各行业用户提升安全防护策略,光明网网络安全频道携手中国信息通信研究院云计算与大数据研究所、《信息安全研究》杂志社,在浙江大学网络空间安全学院、《中国金融电脑》杂志社、青藤云安全等单位支持下,联合推出《安全洞察·大咖说》系列访谈活动,老虎国际安全总监张杰接受记者专访。
记者:2024年是网络强国战略提出10周年,全面贯彻落实总体国家安全观10周年,也是完成“十四五”规划目标任务的关键年,老虎国际在数字化转型持续深化及网络安全防护方面做了哪些规划?
张杰:随着云计算、大数据、人工智能等技术的持续发展,通过数字技术助力企业降本增效、提升核心竞争力势在必行。老虎国际作为一家金融出海公司,面对不同国家和地区的合规性要求及复杂的网络环境,通过深度调研和最佳实践,我们最终采用了混合云模式来支撑整体业务与服务的运营。混合云的复杂场景,对企业的安全建设也提出了更高要求。
我们参考国际标准和行业实践制定了老虎安全目标规划,通过多年努力,目前已经建立了一套从管理制度、流程体系、审计、合规到运维安全、产品安全、业务安全、数据安全的完整安全生态体系,在安全层面实现了能发现、能防住、能溯源的安全能力。
在网络安全防御体系方面,我们采用了纵深防御策略,在物理层、网络层、系统层、应用层实现了分层防御。网络上我们按安全域架构划分了边界区、缓冲区、服务区、数据区、运维区等安全区域,并根据不同的业务在安全区域内划分了不同的安全网格,不同网络网格间有严格的ACL策略,作为阻止内网攻击横向移动的重要手段。
记者:随着企业数字化转型工作持续深化,对企业的安全风险管理带来了哪些挑战?在防范化解新技术应用安全风险方面老虎国际采取了哪些举措,取得了哪些阶段性进展?
张杰:伴随新技术的不断演进及网络安全环境日益复杂,为应对新技术应用带来的安全风险与挑战,我们也在联合青藤等优秀的安全生态伙伴,在内网安全、攻击链路可视化、自动化安全运营等方向探索更加先进、有效的防护策略。
在内网安全方面,我们在每台服务器上都安装了万相安全感知系统的agent,通过实时监测,可以及时发现成功入侵到内网的可疑行为。通过网络网格化管理,不同网格间配置ACL隔离策略,大大缓解了黑客内网横向移动渗透的风险。
在攻击链路可视化方面,我们基于青藤agent的覆盖优势,通过其对流量或网络连接数据做采集分析,实现网络通信和攻击链路可视化,最终实现以上帝视角观察内网黑客攻击路径,使内网攻击看得见摸得着。
在安全运营方面,虽然我们建设了很多安全系统,但是这些系统需要配置各种合理的安全规则和策略才能发挥最大的功效,另外每个系统都会产生大量告警,对告警的深入分析和优化降低误报,也是需要消耗大量人力且要长期去做的工作,当然我们也在探索更加先进的、智能的、自动化的安全运营平台,以减少日常运营工作的人力开销。换个角度来讲,安全系统本身也不是100%可信的,不能完全相信系统的结果,同样需要投入人工定期的去review核对各种资产、配置、风险,确保安全控制无死角无遗漏且有效高效。
记者:云原生作为云计算重要演进方向,凭借其快速部署、弹性、可扩展性等特性,在越来越多的领域落地应用。能否分享下您对云原生的理解,以及实现业务云原生化,安全需要满足哪些核心要素?
张杰:这两年我们公司的产品技术架构正在大步向云原生容器化方向演进,而云原生安全和传统安全在工具和技术上都有很大差异,这一度造成了我们安全建设的困难和空白。通过与青藤的共同努力,我们结合复杂多变的业务环境及合规要求,建立了一套覆盖云原生整个生命周期的云原生安全平台。以下几个方面我觉得也是云原生环境中需要重点关注的核心要素。
一是通过与CI、CD工具联动,当业务将代码发布到镜像仓库时自动触发平台的安全扫描,上线前第一时间发现安全漏洞和镜像风险,并提供阻断高风险发布的能力。
二是通过平台的镜像仓库扫描插件,每周对所有镜像仓库中的增量镜像自动开展安全扫描,及时发现不安全的高风险镜像,我们的安全中心系统与其联动会自动触发OA工单将发现的漏洞推送给研发和运维及时处理。
三是通过平台的基线扫描能力,我们实现了对所有容器和kubernetes的安全配置与CIS标准进行对比检查,及时发现配置上的安全缺陷,有效提升K8S集群的安全免疫力和合规能力。
四是通过平台的资产清点功能,可查看所有镜像里的进程、端口、账号、软件和开源工具等资产信息,这大大提升了我们对高风险资产的发现能力,能够高效快速的响应最新的重大漏洞,例如log4j漏洞事件。
五是通过平台的运行时安全监测,我们更是可以实时发现每个容器里面的异常进程、异常命令等黑客操作,使K8S环境中的入侵行为无所遁形,也能够快速帮助我们确定攻击事件影响范围,及时做出响应封禁隔离沦陷的容器。
记者:产业安全以及自主性对于国家的独立自主发展至关重要。面对日益复杂的网络环境,能否围绕软件供应链安全方面,给与同业机构几点防护建议?
张杰:软件供应链安全是我们最近两年建设的重点工作。软件供应链非常复杂,有开源软件、开源组件、商业软件、商业组件等不同的类型形式,不同类型形式的软件在公司的引入方式和渠道也是非常不同的,有些是研发运维直接网上拿来用的,有些是业务部门独自采购的,有些是研发和运维采购的。因此安全部门如何及时发现供应链变化并嵌入安全卡点非常重要。
为此,我们创建了三方组件和软件引入备案流程,所有开源软件、商业软件和组件均需要在使用前通过此流程提前做备案,备案通过后运维部门才给提供安装部署服务,形成了供应链安全审核的卡点。
安全在此备案流程中会对待引入的组件、软件、三方采购的软件或组件进行充分的安全测试和风险评估,符合安全要求的才允许进入生产部署使用或进入研发的组件仓库供研发人员使用。有了这个备案流程,我们也同时拥有了供应链资产清单,这样我们每年就可以定期对全软件供应链进行版本识别、漏洞评估、风险分析等工作。
(监制:张宁 统筹:李政葳 拍摄:陆野 制作:刘昊、曾震宇 撰文:辛华)