2021年,在新冠肺炎疫情、安全事件、0day漏洞等威胁的挑战下,网络安全产业呈现变革创新的发展态势,促使着组织和企业不断探索新的技术和方法,来防止潜在的网络入侵。
在现有安全形势、政策导向、发展需求之下,安全运营作为网络安全发展的时代产物,被认为是解决现有挑战的有利方法。本文将带您一起探索在当今网络安全形势下安全运营的演进趋势。
安全运营发展趋势
等保2.0、数据安全法、网络安全法等法规制度不断出台,促使我国的安全顶层设计逐步完善,也推动组织和企业的安全需求从被动、静态、产品堆砌的安全运维向主动监测、快速预警、有效联动、准确处置的闭环式安全运营体系转变。
· 等保2.0从等保1.0被动防御向事前防御、事中响应、事后审计的“一个中心,三重防护”的动态防御体系转变;
· 《数据安全法》搭建了我国数据安全治理领域的基本法律框架,有效敦促企业认真履行数据安全保护义务;
· 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》着重强化了数字经济安全体系,包括增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。
这表明,组织和企业需要的安全已不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。
因此,要求安全运营应围绕业务系统,随着威胁与响应、攻与防的变化而演进,从第三方独立视角,让产品、技术、平台、人员各司其职、协同发挥最大作用,从管理、制度、流程等多方面进行优化及改进安全建设,满足“解决安全风险”的诉求,实现业务动态安全的建设目标。
安全运营自我演进
安全运营本身不是一个产品建设、单一的技术使用以及某类平台建设,而是一种贴身安全服务新模式。它以“保障安全”为目标,以业务场景为驱动,在人员、产品、技术、流程等方面进行演进,持续提升运营成效,帮助用户实现业务与安全建设同步发展,实现安全与发展双翼驱动,促进信息化建设。
以下就安全运营中心需重点加快自我演进的几方面进行介绍。
安全运营框架演进
安全的关注点从原来传统系统安全拓展到新技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。在此情况下,被“委以重任”的安全运营的演进基础便是运营框架的演进,来指导着各项工作的开展。
运营理念转变:从合规管理到实战对抗
运营模式转变:从静态防护到积极动态防御
运营手段转变:从单一化运营到一体化运营的安全运营机制
无论是以MSS为目标的安全运营中心,还是为行业用户建立的定制化安全运营中心,都需要遵循上述原则。
专业化运营人员
安全运营是由技术、流程、人等有机结合的复杂化、工程化体系,对产品、工具及服务产出的数据进行有效分析,持续输出安全能力。在此过程,人作为其中最关键的一环,串联起发现问题、验证问题、分析问题、响应处置问题、持续迭代优化的过程。此外,由于运营的网络环境较为复杂,需要按照运营环境的专业进行划分,以专业人员处置专业问题的思路,为安全运营提供专业化、精细化的安全能力。
培养实战型人员
安全运营体系对人员的关键需求就是基于对抗的能力。通过实战化演练锻炼、提升安全人员技能和战术水平。同时坚持多角度、多层次、全方位人才培养理念,多措并举,不断强化网络安全人才队伍整体素质与综合实力。
建立激励机制
设定贯穿日常运营的竞赛机制,通过竞技化过程提升人员能力;设定评价机制,关注到运营人员的能力提升过程;建立人员上升通道,实现从一线到三线的升级,从监测分析到研究专家的升级。
优化评价考核
没有成熟的考核机制,运营持续性改进便是纸上谈兵。在安全运营中心的等级评价上,目前定义为5个等级,当等级达到3级及以上,运营中心才具备对外服务输出的能力。
威胁情报联动运营
威胁情报的使用和生产与运营动作紧密结合。在运营过程中,应当重视情报的相关活动,包括外部情报的采集和选择、结合智慧中台完成初步情报碰撞、情报的生成和交互等内容。
智慧城市的网络空间安全需要强大的威胁情报去精准预测感知,以提升运营成效。情报的产生应用需要整合多方威胁信息,以建立庞大的情报库。其中要注重于情报的交互和流动,包括与内部各运营中心的交互流动,与外部各单位之间的交互流动。
内部:在全国各地运营中心间,实现情报的内部产生、流动、共享、应用,打造情报网,联防联控,“集团军”作战。
外部:与企业、研究机构等探讨新型威胁应对方法,交换、共享情报,打造情报运营生态圈。
此外,伴随着业务场景的不同,运营中心建设对象、规模也不同,城市级运营中心、行业级运营中心、企业级运营中心等不同运营中心面对的攻击手段、漏洞类型等存在差异。在面对公有情报多、杂、乱的特点下,个性化、定制化运营中心就需建立自己的情报库,以更快速定位攻击过程,锁定攻击范围,快速制动,提高运营成效。
运营中心联动
运营流程演进优化
安全运营是一个持续处理、循环的过程,需要细粒度、多角度、持续化地对安全威胁进行实时动态分析,自适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。被动防御向主动治理的转变离不开体系化的运营流程,而完善的运营流程,要求每项流程都能根据运营环境的变化进行优化。其中,重点需演进优化的流程包含以下三大方面:
运营任务动态分配
在运营过程中,平均检出时长(MTTD)、事件平均定性时长(MTTA)、风险遏制与响应平均时长(MTTR)是三个衡量运营服务质量的重要参数,同时也是发现安全威胁并进行追踪处置的最佳实践指标。而如何保证MTTD、MTTA以及MTTR的指标时效,是运营工作必须要解决的问题。
由于安全运营工作过程中,需要对接并分析处理大量安全数据,增加了安全数据疏漏的风险,导致安全威胁无法检出或分析不深入,使安全威胁在客户网络中持续存在。因此,需要高效的任务分派与分析成果交叉确认机制。
高效的任务分派机制
为解决可能出现的遗漏问题,需制定任务派发流程,将关注的安全数据任务化,并自动派发,同时需要有一套负载均衡逻辑进行最优处理下发,保证任务处置及时性。
任务超时升级机制
需要设置任务处置超时升级机制,超时参数不同,升级的对象不同,从一线到交付经理逐级升级。
分析过程脚本化
为了达成最大化的人员有效利用率,运营中心以三级分析师的形态构建整体运营分析流程,为了更好地完成上级分析师向下级分析师传递分析思路、处置思路、知识经验的目标,同时建立安全运营不同层次、不同角色间的工作内容及协同机制,安全运营就需要流程“运营脚本”化。
运营成果卷宗化
在常规的安全运营过程中,针对安全威胁的分析成果往往以文档编纂形式出现,并多以发生时间为维度建立文件夹进行积累留存。而在周期性工作复盘过程中,此类分析成果很难帮助安全决策人员有效梳理周期内的安全问题,提出针对性的安全能力提升策略。因此,将安全运营流程中的每阶段成果进行卷宗化存储,可便于安全决策人员对运营成果进行复盘及参考。
如在安全运营流程中,分析师可模拟公安办案人员的案情档案盒模式,对威胁事件的报案线索(告警等日志信息)、案发现场(受影响资产)、办案过程(事件分析流程)等分析内容进行卷宗化构建,以数据结构化的方式完成数据的存储,方便后期对事件关键要素的检索,并提供与其它相关事件的自动化关联能力。同时,安全管理员、分析师、相关业务责任人也可通过卷宗模式直观、实时查看安全事件的分析进度。
