2023年5月1日,《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关保要求》)将正式施行。这是继《关键信息基础设施保护条例》后,我国首个发布的关键信息基础设施安全保护标准,对于我国关键信息基础设施安全保护有着极为重要的指导意义。
作为经济社会发展及运行的重要支撑,关基设施安全稳定运行关系国计民生、公共利益和国家安全。能源、交通、水利、金融、公共服务等重要行业和领域的企业在整体经济中发挥着系统性作用。《关保要求》的施行,意味着关键信息基础设施安全面临更加严格监管,相关企业在关基领域的安全运营能力亟待提升。
一、新规正式落地,关基企业的必答题
关基保护是在等级保护基础之上对关键信息基础设施的再保护、重点防护。从整体上看,《关保要求》以关键信息基础设施为中心,对相关运营者的责任义务进行了细化,同时也对其网络产品、服务提供单位,提出了更高要求。企业需要在保证合规的同时,尽可能向常态化和自适应安全靠拢,以保证业务的连续性。
因此,对企业,尤其是与关键信息基础设施密切相关的金融、政府企业和机构而言,如何在满足合规性防护的基础上,加强关键信息基础设施关键业务的风险识别、监测预警、主动防御等方面能力建设,确保关键信息基础设施业务持续稳定运行,成为企业安全运营一个必答题。
二、企业亟需提升监测预警和主动防御能力
相比此前的关保标准和关保条例,此次《关保要求》有两个章节单独提及了“监测预警”和“主动防御”,足见其重要性。
1、针对常态化监测预警,SOC可有效构建安全闭环
伴随着重要行业和领域的业务上云、基础设施云化,新的攻击面,海量的安全日志、过载的安全告警,导致企业难以及时响应和处理。
秉持以关键业务为核心的整体防控原则,《关保要求》第9章中提出,在制度上“应建立常态化监测预警、快速响应机制”,并要求监测“应采用自动化机制”,同时“将监测工具设置为自动模式。当发现可能危害关键业务的迹象时,能自动报警,并自动采取相应措施,降低关键业务被影响的可能性。”
对此,腾讯安全 SOC 安全运营解决方案,集成云原生技术、仓湖一体化大数据平台、MITRE ATT&CK 技战术框架等领先技术能力,可从根源上解决了“告警疲劳”,有效提升安全运营效率,减少安全事件造成的经济损失,助力企业构建全网安全态势可知、可见、可控的闭环。目前已在金融、运营商、政府、交通、终端、出行、教育、医疗、广电、央企、国际GKA企业集团等数十个细分行业成功落地。
2、聚焦攻击面管理,威胁情报可有效收敛暴露面
近年来,随着客户业务的高速发展,一些关基企业会通过第三方服务商提供互联网服务,拓展了业务面的同时也产生了资产管理难题,还可能加剧整体资产暴露风险。
《关保要求》第10章对收敛暴露面提出详细要求和指引,收敛暴露面可从“压缩互联网出口数量”、“防范社会工程学攻击”、“不在公共存储空间存储可能被攻击者利用的技术文档”三方面着手。
腾讯安全威胁情报高级产品经理高睿表示,收敛暴露面,聚焦攻击面管理已成为大势所趋。腾讯安全威胁情报解决方案以攻击面情报为核心,通过DNS数据挖掘、网络空间测绘、无感知半连接技术、指纹库等技术,能够从攻击者视角梳理客户资产并收敛攻击面,并且提供建议方案、采取措施缓解威胁和降低风险。
3、围绕攻击发现与阻断环节,NDR可助力高效处置
进入攻击发现和阻断环节,阻断环节不影响业务是底线,响应效率是核心。
《关保要求》指出,应采取有针对性的防护策略和技术措施,制定总体技术应对方案;针对监测发现的攻击活动,分析攻击路线、攻击目标,设置多道防线,采取捕获、干扰、阻断、风控、加固等多种技术手段,切断攻击路径,快速处置网络攻击,并及时开展溯源分析。
以腾讯安全NDR解决方案在金融行业的实践为例,腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕,助力攻击发现和阻断。经过实战检验,NDR天幕实现日均8亿次拦截攻击,阻断率达99.99%以上,无失败反馈;规则库及时更新,及时响应0day。
4、化被动为主动,构建威胁情报生态圈
通过对比发现,征求意见稿中的“技术对抗”,在最终发布时变为了“主动防御”。这要求运营者构建精准、全面、弹性的主动防御体系。
《关保要求》指出,应建立内部威胁情报工作共享机制,开展威胁情报搜集、加工、共享、处置;并建立外部协同网络威胁情报共享机制,实现跨行业领域网络安全联防联控。
作为企业安全防御“化被动为主动”的利器,威胁情报在减少物理风险和网络风险、提高安全专业人员的决策能力、补充内部安全威胁情报视角方面具有价值意义。具体来说,腾讯安全威胁情报中心TIX可协助企业更高效的对安全事件进行分析研判和更全面的评估企业资产暴露面的风险情况,日处理安全数据近3万亿。
三、关基保护需要监管和企业各方共同发力
以上是腾讯安全基于“监测预警”和“主动防御”要求下所提出的防护建议。
关键信息基础设施保护是一个系统工程,其安全理念、本质内涵、建设实施等,需要不断深入研究与设计实践。无论是《网络安全法》《数据安全法》《关保条例》,还是更为具体的《关保要求》,以及大型企业的实际安全工作中,均要求对关基设施在等保的基础之上作重点保护,合规要求更高、防护要求更高、技术要求更高。
《关保要求》既为国家、行业主管单位针对关基单位履行安全监督、指导等责任提供了明确的任务重点和依据;也为企业安全建设提供了更为丰富的安全建设参考标准,对关基安全运营者责任的履行提供了清晰的工作任务划分,有助于企业内部安全责任部门制定整体安全建设与防护策略,为企业安全工作的推进提供了强有力的外部合规支持力量。
新规施行在即,关基企业仍需加强内部及下属企业监管、提升组织和人员安全运营能力、严控安全产品采购标准,在基础的合规的基础上,构建实战化安全防护体系。
腾讯安全也将积极响应,不断加强关基设施安全技术创新、加快完善安全产品和方案体系、加快完善安全服务体系,支持更多的企业从“安全建设”向“安全运营”转变,由“满足合规要求”导向“提升安全能力”,从被动式防御过渡到“原生式”的主动安全建设,不断提升关基企业安全防护和安全运营能力。
