运维,这个工作在中国还是比较尴尬的,企业管理者普遍认为运维就是被动救火队,企业对其重视程度非常低。很多人一说到运维就会想到“苦逼”、“背锅侠”、“救火队”。
究竟是什么原因导致普遍给运维工作戴上了这些帽子?
企业的现状是运维人员天天非常忙,天天加班,甚至连中午饭都不能按时吃,需要在机房不停加班,调试设备,部署软件。终端主机感染木马程序去飞速上级解决故障。天天忙个不停,每个复盘自己的工作,却不知道自己做了点啥有意义的事情。运维人员天天埋头工作,却不抬头看路。
在企业网络安全运维中,当一个威胁出现(例如:wannacry病毒)做为企业的安全运维人员,攻击发生前,没有发现任何可疑行为,还高兴地在公司玩着王者荣耀唱着歌;当攻击正在发生,内外中大面积主机感染wannacry病毒,作为安全运维还在开心的王者荣耀中享受成就感,也只有虚拟世界能够得到成就感和满足感。终于有同事打来打电话,描述主机上的重要文件被攻击者加密了,只有支付赎金才可以解密,否则无法正常使用文档。
这是企业中运维人员的普遍现状,没出事儿的时候你没有啥大用,当真的出事儿了说明你真的没有用。
这个案例中安全运维又再一次给所有人背锅了。但是这个案例中出现的问题的其实也不完全有安全运维负责。
在一个企业中网络和安全是一个整体,现有企业中,基本是从互联网出口到终点安全,基本都有5个以上厂商的设备,防火墙、ips、ids、waf、交换机等基本都是不同的厂商,这就造成一个问题,当出现问题的时候无法做到协同联动,导致的问题就是安全出问题了,找安全运维的处境。
哎,对比下当初做安全时候的理想是维护网络和计算机安全,免受国内外黑客组织的侵害。而现实工作的处境就是一个“救火队长”,还经常是企业出问题之后的背锅侠,真是理想很丰满现实很骨感呀。
安全运维人员是时候做出改变了。
今天在大数据、人工智能的背景下,很多开发者愿意分享自己的的源代码在公共平台,运维这个传统的技术应该从“被动救火队”脱离出来,成为一家技术公司所依赖和信任的核心力量。
是时候从网络运维转向安全运营了。
在一家企业中(例如:银行),企业的数据是企业的根本(每个911之后因为没有备份数据导致客户所有的数据丢失,有很多企业因此而倒闭)。这数据包括,客户的用户信息,转账记录、存款记录、银行间的结算等等。这些数据一旦被攻击组织窃取,讲给客户造成非常大的损失,对于企业失去公众对其的信任,从此会走向倒闭。
对于安全运营的宗旨是事前预警、事中监测及响应、事后溯源与追踪。
架构层面:
1、制定统一数据采集平台
对企业中网络设备、安全设备、主机安全设备、资产数据所有的日志信息,进行统一标准化、归一化,对数据进行预处理,通过正则键值对等方式日志进行标准化解析。让数据可读可理解。
2、制定云安全平台
云平台作为业务的基础支撑平台,采用主动或被动方式获取机读情报,通过云安全平台,掌握最新一手的安全情报,通过统一的标准给安全设备、邮件设备联动,通过云安全平台给安全设备赋能,掌握最新的安全知识,设备拥有最先进的安全大脑。
3、构建大数据安全分析,
大数据分析的主要是对各类安全事件进行及时处理。做到事前预防、事中监测和告警、事后溯源追踪。快速锁定危险源头,将风险降到最低,提升企业的防御能力。
从安全被动维持到企业基础设施重构建设,安全运维人员再也不是救火队,而是预言能力的超人,拥有事前预防、事中监测和告警、事后溯源追踪的能力。提高了企业的安全防御能力,为企业的业务保值增值,避免国内外攻击组织的入侵,安全运维的价值得到充分体现,也赢得领导的信任和支持。
从运维走向运营,实现了安全能力的蜕变,看到了安全的厚度,得到了信任,稳定了基石。
微信公众号:透雾
