網(wǎng)絡(luò)安全行業(yè)發(fā)展視野下 安全運(yùn)營的自我演進(jìn)趨勢
2021年,在新冠肺炎疫情、安全事件、0day漏洞等威脅的挑戰(zhàn)下,網(wǎng)絡(luò)安全產(chǎn)業(yè)呈現(xiàn)變革創(chuàng)新的發(fā)展態(tài)勢,促使著組織和企業(yè)不斷探索新的技術(shù)和方法,來防止?jié)撛诘木W(wǎng)絡(luò)入侵。
在現(xiàn)有安全形勢、政策導(dǎo)向、發(fā)展需求之下,安全運(yùn)營作為網(wǎng)絡(luò)安全發(fā)展的時代產(chǎn)物,被認(rèn)為是解決現(xiàn)有挑戰(zhàn)的有利方法。本文將帶您一起探索在當(dāng)今網(wǎng)絡(luò)安全形勢下安全運(yùn)營的演進(jìn)趨勢。
安全運(yùn)營發(fā)展趨勢
等保2.0、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等法規(guī)制度不斷出臺,促使我國的安全頂層設(shè)計逐步完善,也推動組織和企業(yè)的安全需求從被動、靜態(tài)、產(chǎn)品堆砌的安全運(yùn)維向主動監(jiān)測、快速預(yù)警、有效聯(lián)動、準(zhǔn)確處置的閉環(huán)式安全運(yùn)營體系轉(zhuǎn)變。
· 等保2.0從等保1.0被動防御向事前防御、事中響應(yīng)、事后審計的“一個中心,三重防護(hù)”的動態(tài)防御體系轉(zhuǎn)變;
· 《數(shù)據(jù)安全法》搭建了我國數(shù)據(jù)安全治理領(lǐng)域的基本法律框架,有效敦促企業(yè)認(rèn)真履行數(shù)據(jù)安全保護(hù)義務(wù);
· 《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》著重強(qiáng)化了數(shù)字經(jīng)濟(jì)安全體系,包括增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力、提升數(shù)據(jù)安全保障水平、切實(shí)有效防范各類風(fēng)險。
這表明,組織和企業(yè)需要的安全已不再只是合規(guī),而是能夠不斷自我迭代優(yōu)化、演進(jìn)、提供持續(xù)性能力輸出的安全運(yùn)營保障體系。
因此,要求安全運(yùn)營應(yīng)圍繞業(yè)務(wù)系統(tǒng),隨著威脅與響應(yīng)、攻與防的變化而演進(jìn),從第三方獨(dú)立視角,讓產(chǎn)品、技術(shù)、平臺、人員各司其職、協(xié)同發(fā)揮最大作用,從管理、制度、流程等多方面進(jìn)行優(yōu)化及改進(jìn)安全建設(shè),滿足“解決安全風(fēng)險”的訴求,實(shí)現(xiàn)業(yè)務(wù)動態(tài)安全的建設(shè)目標(biāo)。
安全運(yùn)營自我演進(jìn)
安全運(yùn)營本身不是一個產(chǎn)品建設(shè)、單一的技術(shù)使用以及某類平臺建設(shè),而是一種貼身安全服務(wù)新模式。它以“保障安全”為目標(biāo),以業(yè)務(wù)場景為驅(qū)動,在人員、產(chǎn)品、技術(shù)、流程等方面進(jìn)行演進(jìn),持續(xù)提升運(yùn)營成效,幫助用戶實(shí)現(xiàn)業(yè)務(wù)與安全建設(shè)同步發(fā)展,實(shí)現(xiàn)安全與發(fā)展雙翼驅(qū)動,促進(jìn)信息化建設(shè)。
以下就安全運(yùn)營中心需重點(diǎn)加快自我演進(jìn)的幾方面進(jìn)行介紹。
安全運(yùn)營框架演進(jìn)
安全的關(guān)注點(diǎn)從原來傳統(tǒng)系統(tǒng)安全拓展到新技術(shù)領(lǐng)域,更加注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù)。在此情況下,被“委以重任”的安全運(yùn)營的演進(jìn)基礎(chǔ)便是運(yùn)營框架的演進(jìn),來指導(dǎo)著各項工作的開展。
運(yùn)營理念轉(zhuǎn)變:從合規(guī)管理到實(shí)戰(zhàn)對抗
運(yùn)營模式轉(zhuǎn)變:從靜態(tài)防護(hù)到積極動態(tài)防御
運(yùn)營手段轉(zhuǎn)變:從單一化運(yùn)營到一體化運(yùn)營的安全運(yùn)營機(jī)制
無論是以MSS為目標(biāo)的安全運(yùn)營中心,還是為行業(yè)用戶建立的定制化安全運(yùn)營中心,都需要遵循上述原則。
專業(yè)化運(yùn)營人員
安全運(yùn)營是由技術(shù)、流程、人等有機(jī)結(jié)合的復(fù)雜化、工程化體系,對產(chǎn)品、工具及服務(wù)產(chǎn)出的數(shù)據(jù)進(jìn)行有效分析,持續(xù)輸出安全能力。在此過程,人作為其中最關(guān)鍵的一環(huán),串聯(lián)起發(fā)現(xiàn)問題、驗證問題、分析問題、響應(yīng)處置問題、持續(xù)迭代優(yōu)化的過程。此外,由于運(yùn)營的網(wǎng)絡(luò)環(huán)境較為復(fù)雜,需要按照運(yùn)營環(huán)境的專業(yè)進(jìn)行劃分,以專業(yè)人員處置專業(yè)問題的思路,為安全運(yùn)營提供專業(yè)化、精細(xì)化的安全能力。
培養(yǎng)實(shí)戰(zhàn)型人員
安全運(yùn)營體系對人員的關(guān)鍵需求就是基于對抗的能力。通過實(shí)戰(zhàn)化演練鍛煉、提升安全人員技能和戰(zhàn)術(shù)水平。同時堅持多角度、多層次、全方位人才培養(yǎng)理念,多措并舉,不斷強(qiáng)化網(wǎng)絡(luò)安全人才隊伍整體素質(zhì)與綜合實(shí)力。
建立激勵機(jī)制
設(shè)定貫穿日常運(yùn)營的競賽機(jī)制,通過競技化過程提升人員能力;設(shè)定評價機(jī)制,關(guān)注到運(yùn)營人員的能力提升過程;建立人員上升通道,實(shí)現(xiàn)從一線到三線的升級,從監(jiān)測分析到研究專家的升級。
優(yōu)化評價考核
沒有成熟的考核機(jī)制,運(yùn)營持續(xù)性改進(jìn)便是紙上談兵。在安全運(yùn)營中心的等級評價上,目前定義為5個等級,當(dāng)?shù)燃夁_(dá)到3級及以上,運(yùn)營中心才具備對外服務(wù)輸出的能力。
威脅情報聯(lián)動運(yùn)營
威脅情報的使用和生產(chǎn)與運(yùn)營動作緊密結(jié)合。在運(yùn)營過程中,應(yīng)當(dāng)重視情報的相關(guān)活動,包括外部情報的采集和選擇、結(jié)合智慧中臺完成初步情報碰撞、情報的生成和交互等內(nèi)容。
智慧城市的網(wǎng)絡(luò)空間安全需要強(qiáng)大的威脅情報去精準(zhǔn)預(yù)測感知,以提升運(yùn)營成效。情報的產(chǎn)生應(yīng)用需要整合多方威脅信息,以建立龐大的情報庫。其中要注重于情報的交互和流動,包括與內(nèi)部各運(yùn)營中心的交互流動,與外部各單位之間的交互流動。
內(nèi)部:在全國各地運(yùn)營中心間,實(shí)現(xiàn)情報的內(nèi)部產(chǎn)生、流動、共享、應(yīng)用,打造情報網(wǎng),聯(lián)防聯(lián)控,“集團(tuán)軍”作戰(zhàn)。
外部:與企業(yè)、研究機(jī)構(gòu)等探討新型威脅應(yīng)對方法,交換、共享情報,打造情報運(yùn)營生態(tài)圈。
此外,伴隨著業(yè)務(wù)場景的不同,運(yùn)營中心建設(shè)對象、規(guī)模也不同,城市級運(yùn)營中心、行業(yè)級運(yùn)營中心、企業(yè)級運(yùn)營中心等不同運(yùn)營中心面對的攻擊手段、漏洞類型等存在差異。在面對公有情報多、雜、亂的特點(diǎn)下,個性化、定制化運(yùn)營中心就需建立自己的情報庫,以更快速定位攻擊過程,鎖定攻擊范圍,快速制動,提高運(yùn)營成效。
運(yùn)營中心聯(lián)動
運(yùn)營流程演進(jìn)優(yōu)化
安全運(yùn)營是一個持續(xù)處理、循環(huán)的過程,需要細(xì)粒度、多角度、持續(xù)化地對安全威脅進(jìn)行實(shí)時動態(tài)分析,自適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境,并不斷優(yōu)化自身的安全防御機(jī)制。被動防御向主動治理的轉(zhuǎn)變離不開體系化的運(yùn)營流程,而完善的運(yùn)營流程,要求每項流程都能根據(jù)運(yùn)營環(huán)境的變化進(jìn)行優(yōu)化。其中,重點(diǎn)需演進(jìn)優(yōu)化的流程包含以下三大方面:
運(yùn)營任務(wù)動態(tài)分配
在運(yùn)營過程中,平均檢出時長(MTTD)、事件平均定性時長(MTTA)、風(fēng)險遏制與響應(yīng)平均時長(MTTR)是三個衡量運(yùn)營服務(wù)質(zhì)量的重要參數(shù),同時也是發(fā)現(xiàn)安全威脅并進(jìn)行追蹤處置的最佳實(shí)踐指標(biāo)。而如何保證MTTD、MTTA以及MTTR的指標(biāo)時效,是運(yùn)營工作必須要解決的問題。
由于安全運(yùn)營工作過程中,需要對接并分析處理大量安全數(shù)據(jù),增加了安全數(shù)據(jù)疏漏的風(fēng)險,導(dǎo)致安全威脅無法檢出或分析不深入,使安全威脅在客戶網(wǎng)絡(luò)中持續(xù)存在。因此,需要高效的任務(wù)分派與分析成果交叉確認(rèn)機(jī)制。
高效的任務(wù)分派機(jī)制
為解決可能出現(xiàn)的遺漏問題,需制定任務(wù)派發(fā)流程,將關(guān)注的安全數(shù)據(jù)任務(wù)化,并自動派發(fā),同時需要有一套負(fù)載均衡邏輯進(jìn)行最優(yōu)處理下發(fā),保證任務(wù)處置及時性。
任務(wù)超時升級機(jī)制
需要設(shè)置任務(wù)處置超時升級機(jī)制,超時參數(shù)不同,升級的對象不同,從一線到交付經(jīng)理逐級升級。
分析過程腳本化
為了達(dá)成最大化的人員有效利用率,運(yùn)營中心以三級分析師的形態(tài)構(gòu)建整體運(yùn)營分析流程,為了更好地完成上級分析師向下級分析師傳遞分析思路、處置思路、知識經(jīng)驗的目標(biāo),同時建立安全運(yùn)營不同層次、不同角色間的工作內(nèi)容及協(xié)同機(jī)制,安全運(yùn)營就需要流程“運(yùn)營腳本”化。
運(yùn)營成果卷宗化
在常規(guī)的安全運(yùn)營過程中,針對安全威脅的分析成果往往以文檔編纂形式出現(xiàn),并多以發(fā)生時間為維度建立文件夾進(jìn)行積累留存。而在周期性工作復(fù)盤過程中,此類分析成果很難幫助安全決策人員有效梳理周期內(nèi)的安全問題,提出針對性的安全能力提升策略。因此,將安全運(yùn)營流程中的每階段成果進(jìn)行卷宗化存儲,可便于安全決策人員對運(yùn)營成果進(jìn)行復(fù)盤及參考。
如在安全運(yùn)營流程中,分析師可模擬公安辦案人員的案情檔案盒模式,對威脅事件的報案線索(告警等日志信息)、案發(fā)現(xiàn)場(受影響資產(chǎn))、辦案過程(事件分析流程)等分析內(nèi)容進(jìn)行卷宗化構(gòu)建,以數(shù)據(jù)結(jié)構(gòu)化的方式完成數(shù)據(jù)的存儲,方便后期對事件關(guān)鍵要素的檢索,并提供與其它相關(guān)事件的自動化關(guān)聯(lián)能力。同時,安全管理員、分析師、相關(guān)業(yè)務(wù)責(zé)任人也可通過卷宗模式直觀、實(shí)時查看安全事件的分析進(jìn)度。
