文章目录
最近读了马伯庸老师的小说《长安十二时辰》(也有改为《长安二十四时辰》的网剧,之所以改成二十四时辰,我觉得也是非常的不认可原著里面的时间观念吧? 别说是十二时辰,即便是二十四时辰,我还是认为也不可能这这么短的时间内构筑这么多事情),这是一部以唐朝为背景,讲述短短二十四小时内发生在长安城内,攻防双方围绕 入侵 & 防御、检查 & 规避、攻击 & 应对 等系列主题展开的一场场惊心动魄故事的小说。这不仅让我想到了最近一直在研究的SIEM/SOC的建设,特此有感,写下本文
攻防演练的悠久历史
围绕我们安全的主题,特别是具体到企业内部的安全建设,其实对我们绝大多数人来说并不像想象中的那么的陌生和遥远。细想一下,如果把企业想象成一座城堡的话,攻击方和防守方之间的反复较量其实就相当于一场持续的、没有硝烟的城堡攻防战争。就像小说《长安十二时辰》里面的故事一样,事情都会围绕长安城这座城市展开。现实中的现代网络攻防和历史上的古典城堡攻防事件是类似,对于一个“城堡”的攻防双方来说,从理念和需具备的能力上来讲没有什么新的东西,一切都有迹可循,我们完全能从历史的长河中发现已有的案例,来对标正在发生的事情;也可以在历史中进行归纳总结,得出城堡攻防的关键因素,用于指导现代的网络攻防。
安全分析&网络攻防的本质
我相信,虽然马伯庸老师在准备这本小说的时候,查阅了大量的资料,参考文献、古籍,甚至是去西安实地考察了很多回,但是他一定没有去学习过如何构建一个安全信息和事件管理系统(SIEM),或是如何建设一个安全运营中心(SOC)。但让我特别惊奇的是,马老师在写这样一部历史玄幻类小说的时候,居然完完全全的描述出了现代网络攻防双方所需要到的各种能力和技术。特别是守城一方,在《长安十二时辰》中,马老师大量描述了作为守城方的靖安司所构建的系统,非常独创的杜撰出了一些在唐代不可能具备的能力,但又是现代攻防中必须具备的实实在在的能力。
安全是一个数据问题
首先,安全的本质是一个数据的问题,我们只有对企业内外部所有的安全关联数据都拥有可见性的时候,才能够有效检查、有效的追踪、有效的分析,然后才能揪出漏洞、渗透、入侵,进而采取行动进行补救、缓解、修复和应对。
因此,我们可以看到,在《长安十二时辰》中,马伯庸老师为主管城防的靖安司配备的第一个能力就是大数据,其最大的特点之一是它是一个巨大的文库,可以随时查阅朝廷各部的文书资料,施展大案牍术做大数据的搜索。
而在安全里面,构建一个安全的大数据系统也是第一要务,这也是现在SIEM和SOC的底层核心。安全大数据具有以下要求。
安全数据 —— 不能有盲点
在小说里面,我们可以看到,细到每天进出长安城的人口,货物都有记录,分门别类,记录登录时间,停留地点,货物类型。并且,这些数据都是长久存储的历史数据。因此,我们看到靖安司的全面数据帮助主角快速查到了突厥狼崽行踪、查到猛火雷原料的去向。因此,对于企业攻防来说,有全面的数据是开展安全工作的主要前提,无论是即时发现,还是事后追溯,还是可疑事件的威胁捕获,还是用于建模分析的异常检测,都需要全面的实时数据和全量的历史数据。
因此,全面和不能有盲点是指:
- 采集的数据要全
- 保存的数据要久
安全数据 —— 要有规范,且能关联
在小说里面,靖安司不仅有大量的门禁数据,而且可以随时查阅朝廷各部的文书资料,这里涉及到大量数据的理解和关联的问题,其中有个情节,就是将户部的物品采购记录结合城门的出入记录发现了突厥狼卫偷运的猛火雷原料的问题。通过小说我们不难发现,数据的整合分析是一件非常重要的事情。在现在企业内部,我们有不同的域,也有大量的网络设备,安全设备,数据来自不同的厂商、不同的部门。安全部门要能够通读这些数据,首先就要有一个统一的数据规范和标准,对不同日志提取出来的字段,有一致的解释、命名和类型,然后,要具备跨数据源的关联分析能力。