解构安全运行能力体系建设从思路到实践Word文件下载.docx
- 文档编号:15300236
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:8
- 大小:828.53KB
解构安全运行能力体系建设从思路到实践Word文件下载.docx
《解构安全运行能力体系建设从思路到实践Word文件下载.docx》由会员分享,可在线阅读,更多相关《解构安全运行能力体系建设从思路到实践Word文件下载.docx(8页珍藏版)》请在冰豆网上搜索。
我们讲运营,“运”就是用起来,使整个安全平台、安全工具正常运转。
人作为工程师、司机,甚至是厨师也好,不论是各种角色,都是通过技艺与工具实现价值的输出。
在安全工作中,我们有SOC类平台如SIEM、TDR等工具,数据源源不断地进来,供我们去分析,就像买辆车就得加油,他才能走,其实也是相应的输入。
而“营”则是持续的输出价值。
安全行业的很多问题,跟我们生活中的很多做法是很类似的,可以做同类型的思考或者说换位研究。
我们买车的目的是载着我们去远方,去工作,或者周末出去玩。
买了一辆车不会开怎么办?
车的价值怎么来体现?
车动起来才能实现价值,恐怕很少人买车是为了放在那里摆着。
车肯定不能仅仅实现摆设工具的价值。
这时我们要思考一个问题:
如果开车是项技能,到底是司机重要,还是车本身重要?
这个问题跟安全行业的思考有些类似。
我们需要的安全价值或者说解决安全问题的做法,一定是通过人加工具一起实现的,二者缺一不可。
光有人没有车,很难实现;
没有车,你可以走着去,但效率很低。
只有车没有人,车用不了,买来就是个摆设。
2、国内安全运营工作的基本情况
前一段时间,我们配合赛迪顾问机构,对国内近200家的政企与事业单位进行了调研。
接受调研的包括安全从业人员、团队负责人,还有一些CIO、CSO。
主要是调研安全运营中心建设相关的做法。
调查发现,近两年整体的政企机构,尤其是大中型企业、一些政府机构,日益意识到了运营的价值和作用。
在运营中心建设上在逐渐发力。
调查结果同时也印证了我们的判断:
整个行业的安全人员非常短缺。
运营中心建设中最缺乏的可能就是人员和能力方面的不足。
安全团队的规模而言,被调查机构中,1~4人的占了39.8%,超过了1/3;
5~10人的17.4%,这两类之和超过一半多。
也就说,安全团队多数是人数在10人以下的小团队。
机构开展的运营工作维度调查显示,更多的是围绕资产和其他一些具体基础类运营工作。
更为全面和复杂的运营工作并不多,更多是最有实效性的工作。
政企机构的运营工作做的很基础,但是最基础的往往是最有效、最扎实的。
在机构的SOC运营指标方面,也就说政企机构是否会制订相关的数字指标、评价标准等,目前绝大多数是没有的。
二、能力建设的基本要求
我们讲运维、运行、运营,这其实代表着不同的阶段。
运维是保证可用;
运行则是按照固定的要求,相关的SOP或者操作手册有步骤的执行下去,然后输出相应的结果,它是规范化和整齐划一的;
相对而言,运营则需要加入更多个人主观因素及能动性,来发掘和创造。
现阶段,我们做的很多工作,从运营成熟度角度来讲,前三个级别都叫运行,一般来说都是按照定义好、规范好的步骤去做,是最稳定可控的。
凡事靠人去工作,比如,攻防测试、渗透、红队等主动工作,都有很大的人的因素在里面。
我们很多的时候做的方法论的出发点,都是去减少人为因素。
在运营运行工作中,最好的办法就是相对的标准化,实现可靠稳定的运行,在能力提升之后,达到运营的高阶成熟度。
1、安全运营中心概述
安全运营能力包括几个方面,第一点是人的因素,人的能力是其中之一。
第二个因素是工具和平台的因素。
第三块是流程以及数据等资源。
首先,安全运营至少要有平台和工具。
现阶段来讲,很多大的机构,通过整合原来的支撑平台,逐渐形成为大的安全运营中心或者综合性的调度指挥中心、应急响应中心。
名称可能多种多样,但其实功能差不多,有共性也有各自的特色。
安全运营中心有以下几个共性特点:
第一,安全运营中心是指挥平台,或者说它是整体的安全管理的统筹的收集起来的平台,通过它能看到整体的状况。
第二,安全运营中心本身是工具平台,能够提供给运营人员很好的工具支撑,通过它可以高效率的大幅减轻人的工作量。
比如说分析规则的灵活性,知识的储备整理,以及自动化生成的一些成果。
第三,安全运营中心一定是大数据结构的。
在现阶段,如果不是大数据结构的,恐怕很难来跟上现在的安全发展形势。
第四,安全运营中心会整合很多内部的资源。
包括资产、网络的结构、应用的情况,都要整合到安全运营中心平台上来,通过它能够看到全局。
最后,安全运营中心是整个安全业务的中枢环境,或者可以称为安全一体化业务平台。
对大的政企机构来讲,运营中心是保障企业核心安全的重要抓手。
2、一个基础,两个必备
安全运营包括一个基础、两个必备。
其中,基础就是安全运营平台。
下面这张图从整体串了起来,包括体系构建,工作流系统,运营技术支持,态势感知平台,运营的流程,包括如何从基础设施收集数据。
整体运营平台收集的所有数据都源于资产。
IT资产包括很多维度,但并不复杂。
通常的企业IT资产包括终端,如PC、服务器等主机设施;
网络设备;
IoT设备,如办公设备、打印机等,这些设备构成了整体IT资产。
按照分类,这些资产包括终端及其操作系统,主机服务器以及操作系统,中间件以及应用框架。
这些资产的颗粒度是要拆分开的,最终输入到平台中,这样可以快速响应判断问题。
只要这些信息收集得齐全、处理得当,其实不需要高级的安全情报,因为现在的安全预警传递很快,只要有新的漏洞爆出,很快就能获知。
如果资产管理足够好,可以通过平台迅速查询或匹配,就知道涉及哪些资产,可以去做处置了,不需要有POC或者其他验证。
这就是运营中心必须具备的平台和基础,是“一个基础,两个必备”中的一个基础。
1)必备之一:
运营要尽可能是高效的
前面我们讲了很多,包括人、工具、平台。
用平台和工具的目的是提高我们的效率。
生产工具先进了,生产力提高的可能性就比较大,要以运营的理念实现安全的自动化。
我们在选取自动化的时候,要有自己的基本认知,比如安全响应自动化,运维自动化,测试自动化,构成了我们的很多基础的工作,这些好像跟运营工作没啥关系,其实它们都是整体输入的一部分,都会影响到整体的效率。
安全的本质是人与人的对抗。
无论测试的自动化、响应的自动化,我们面对的对手和威胁,实际上也是人。
就像现在的军事战争,很多时候用无人武器或者说自动化,但无人武器其实是有人操纵的,比如说大规模的无人机作战,后面的操控者可能是空军退役飞行员。
自动化的东西只能帮我们提高效率,从理论上讲,可以不断地提高,无限趋近于追赶人的步伐,但至少在目前阶段,指望自动化来精准、准确地处理解决到各种安全问题,客观来说,目前为止这个还是比较难做到的,或者说效果不那么理想。
通过自动化管理和持续的安全响应,尽可能地提高工作效率是目标,这就是两个必备的一个。
2)必备之二:
数据是运营量化评估的标准
我们网络安全工作一般包括三大块——管理工作、技术工作、还有平台建设工作,也就是设施类工作。
每一项都会有产生很多的要素,比如安全管理过程中,会有内控、审计、合规要求等;
它就会有这些数据;
技术当中会收集到各种信息、数据、日志;
基础设备中会有各种流量数据、情报等。
这些数据收集之后,要做到上能汇报、下能通报。
在很多单位,安全更多是辅助性、支撑性、保障性部门。
我们怎么去跟业务融合,怎么去与信息化的结合好,是很重要的日常工作。
可见、可控,可感知,这三点不能只有安全人员能够感受到,应该更多让我们安全人员之外的同事、兄弟部门、上级领导感知到的。
如果我们把安全运营工作分成5条线,比如态势感知展示,威胁检测分析、漏洞管理联动、合规管理检查、资产管理控制等,这些都需要大量的数据的支撑。
因此,第二个必备就是数据。
筛选和利用数据,是我们的两个必备之一。
三、能力建设的行动路径
安全运行的能力建设非常复杂,周期很长。
在一年内实现安全运营中心的基础建设与发展,实现重要系统的日志管控,包括基础设施、网络安全、系统安全、威胁监测等多个领域;
两年内实现二级、三级分公司所有重要的集中安全监控和分析,配合整体评价体系支撑企业网络安全工作;
三年内逐渐完善形成有自身特色的安全运营中心。
1、安全运营平台建设
平台是多元化的。
下图展示的是相对放之四海皆准,可以广泛套用的基础性平台建设方法。
比如,最底层平台数据如何采集,数据收集平台怎么做,数据收集后怎么归集和处理,数据怎么用,产生什么价值。
平台建设的思路就是这样的。
从理论上讲,通过整体研究,对安全运营类的工作,威胁检测类的工作,还有大数据安全分析的工作,做了很多的研究,对于监管、监测、预警,具体的运营、运行、自动编排,围绕着整个安全运营的大体系,实现相关运行工作的基础设施,都有了非常多的储备和思考。
2、安全体系能力建设
我们安全体系能力建设方面,运行是很复杂的体系,需要很多上层的整体支撑。
第一个阶段,以资产为核心的技术防御能力,要跟运营成熟度的匹配;
第二个以大数据分析为核心的主动防御能力,以及第三个威胁情报为核心的持续对抗能力,这是不断进阶演化的。
从常态化的实战攻防演练上来看,同样也是这种情况。
第一件是把资产的很多东西做好。
第二件是面对实战化的对抗,我们再去做分析。
第三件是分析的过程中,大量有效的手段是情报。
其实,面向整体的能力方面,这三个方面决定了实战化对抗的成绩。
在能力建设方面,就是组织、流程、工具等基础要素,包括考核性的指标、考核性的办法,这些是体系能力建设的方法。
3、安全运行团队搭建
我们行动路径当中,最重要是的团队的搭建,也就是构建人的要素。
我们通常要具备什么样的人?
通常包括基础研究人员、分析响应人员、高级攻防人员,高级攻防辅助人员。
我们运行团队为何需要攻防人员?
如果要构建运营中心,攻防人员是最好是要有的,或者用外部的高级别服务来帮助实现,因为主动的探测自身的脆弱性是很重要的措施,我们实战化攻防演练其实采取的就是这种模式。
我们自身的更多是基础运营人员,还有一些分析型人员,这个决定了我们按业务需求和实际情况来匹配,包括数据规模,对业务的依赖性、企业的规模等。
培养这些人员的能力的难度是递增。
培养基础技术人员的时间还是相对比较短的,最多是经验的增长慢一些,但基础技能培养是很快的。
培养水平相对比较高的分析响应人员的过程,就是由实习医生,住院医生培养成能够坐诊医生的过程。
行业内经常讲,攻是一个点是,防是一个面,难度不是对等的。
从事防护的人员由于涉及的门类、需要积攒东西过多,以及积累的经验和视野的要求,培养周期确实很长。
从某些角度上讲,搭建实战运行团队,一方面通过自身培养,但很多企业可能受限于是编制、体制的问题,没法去开展,就可以采取外部力量输入或者协作方式,联防联控也是我们国家对关键基础设施防护要求中提出的做法。
通过外部力量支撑自己,也是有效的提升手段,因为我们的目标是解决实际的安全问题。
4、流程化的处置方案
安全运营中心,每一个岗位相应的流程是否清晰,是否能够跑得起来,这个决定了是否成功的关键。
哪怕只有简单的4~5个步骤流程,只有三、四个懂的人,只要有一套清晰的方案。
长期运行一年,效果可能都是显著的。
反过来,哪怕投了特别多的钱、投了特别多的人,但方案杂乱无章,推动工作也不利,流程也不清晰,收获可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 解构 安全 运行 能力 体系 建设 思路 实践