社区编辑申请
注册/登录
网络安全行业发展视野下 安全运营的自我演进趋势
安全 数据安全
在现有安全形势、政策导向、发展需求之下,安全运营作为网络安全发展的时代产物,被认为是解决现有挑战的有利方法。

2021年,在新冠肺炎疫情、安全事件、0day漏洞等威胁的挑战下,网络安全产业呈现变革创新的发展态势,促使着组织和企业不断探索新的技术和方法,来防止潜在的网络入侵。

在现有安全形势、政策导向、发展需求之下,安全运营作为网络安全发展的时代产物,被认为是解决现有挑战的有利方法。本文将带您一起探索在当今网络安全形势下安全运营的演进趋势。

安全运营发展趋势

等保2.0、数据安全法、网络安全法等法规制度不断出台,促使我国的安全顶层设计逐步完善,也推动组织和企业的安全需求从被动、静态、产品堆砌的安全运维向主动监测、快速预警、有效联动、准确处置的闭环式安全运营体系转变。

· 等保2.0从等保1.0被动防御向事前防御、事中响应、事后审计的“一个中心,三重防护”的动态防御体系转变;

· 《数据安全法》搭建了我国数据安全治理领域的基本法律框架,有效敦促企业认真履行数据安全保护义务;

· 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》着重强化了数字经济安全体系,包括增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。

这表明,组织和企业需要的安全已不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。

因此,要求安全运营应围绕业务系统,随着威胁与响应、攻与防的变化而演进,从第三方独立视角,让产品、技术、平台、人员各司其职、协同发挥最大作用,从管理、制度、流程等多方面进行优化及改进安全建设,满足“解决安全风险”的诉求,实现业务动态安全的建设目标。

安全运营自我演进

安全运营本身不是一个产品建设、单一的技术使用以及某类平台建设,而是一种贴身安全服务新模式。它以“保障安全”为目标,以业务场景为驱动,在人员、产品、技术、流程等方面进行演进,持续提升运营成效,帮助用户实现业务与安全建设同步发展,实现安全与发展双翼驱动,促进信息化建设。

以下就安全运营中心需重点加快自我演进的几方面进行介绍。

安全运营框架演进

安全的关注点从原来传统系统安全拓展到新技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。在此情况下,被“委以重任”的安全运营的演进基础便是运营框架的演进,来指导着各项工作的开展。

运营理念转变:从合规管理到实战对抗

运营模式转变:从静态防护到积极动态防御

运营手段转变:从单一化运营到一体化运营的安全运营机制

无论是以MSS为目标的安全运营中心,还是为行业用户建立的定制化安全运营中心,都需要遵循上述原则。

专业化运营人员

安全运营是由技术、流程、人等有机结合的复杂化、工程化体系,对产品、工具及服务产出的数据进行有效分析,持续输出安全能力。在此过程,人作为其中最关键的一环,串联起发现问题、验证问题、分析问题、响应处置问题、持续迭代优化的过程。此外,由于运营的网络环境较为复杂,需要按照运营环境的专业进行划分,以专业人员处置专业问题的思路,为安全运营提供专业化、精细化的安全能力。

培养实战型人员

安全运营体系对人员的关键需求就是基于对抗的能力。通过实战化演练锻炼、提升安全人员技能和战术水平。同时坚持多角度、多层次、全方位人才培养理念,多措并举,不断强化网络安全人才队伍整体素质与综合实力。

建立激励机制

设定贯穿日常运营的竞赛机制,通过竞技化过程提升人员能力;设定评价机制,关注到运营人员的能力提升过程;建立人员上升通道,实现从一线到三线的升级,从监测分析到研究专家的升级。

优化评价考核

没有成熟的考核机制,运营持续性改进便是纸上谈兵。在安全运营中心的等级评价上,目前定义为5个等级,当等级达到3级及以上,运营中心才具备对外服务输出的能力。

威胁情报联动运营

威胁情报的使用和生产与运营动作紧密结合。在运营过程中,应当重视情报的相关活动,包括外部情报的采集和选择、结合智慧中台完成初步情报碰撞、情报的生成和交互等内容。

智慧城市的网络空间安全需要强大的威胁情报去精准预测感知,以提升运营成效。情报的产生应用需要整合多方威胁信息,以建立庞大的情报库。其中要注重于情报的交互和流动,包括与内部各运营中心的交互流动,与外部各单位之间的交互流动。

内部:在全国各地运营中心间,实现情报的内部产生、流动、共享、应用,打造情报网,联防联控,“集团军”作战。

外部:与企业、研究机构等探讨新型威胁应对方法,交换、共享情报,打造情报运营生态圈。

此外,伴随着业务场景的不同,运营中心建设对象、规模也不同,城市级运营中心、行业级运营中心、企业级运营中心等不同运营中心面对的攻击手段、漏洞类型等存在差异。在面对公有情报多、杂、乱的特点下,个性化、定制化运营中心就需建立自己的情报库,以更快速定位攻击过程,锁定攻击范围,快速制动,提高运营成效。

运营中心联动

运营流程演进优化

安全运营是一个持续处理、循环的过程,需要细粒度、多角度、持续化地对安全威胁进行实时动态分析,自适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。被动防御向主动治理的转变离不开体系化的运营流程,而完善的运营流程,要求每项流程都能根据运营环境的变化进行优化。其中,重点需演进优化的流程包含以下三大方面:

运营任务动态分配

在运营过程中,平均检出时长(MTTD)、事件平均定性时长(MTTA)、风险遏制与响应平均时长(MTTR)是三个衡量运营服务质量的重要参数,同时也是发现安全威胁并进行追踪处置的最佳实践指标。而如何保证MTTD、MTTA以及MTTR的指标时效,是运营工作必须要解决的问题。

由于安全运营工作过程中,需要对接并分析处理大量安全数据,增加了安全数据疏漏的风险,导致安全威胁无法检出或分析不深入,使安全威胁在客户网络中持续存在。因此,需要高效的任务分派与分析成果交叉确认机制。

高效的任务分派机制

为解决可能出现的遗漏问题,需制定任务派发流程,将关注的安全数据任务化,并自动派发,同时需要有一套负载均衡逻辑进行最优处理下发,保证任务处置及时性。

任务超时升级机制

需要设置任务处置超时升级机制,超时参数不同,升级的对象不同,从一线到交付经理逐级升级。

分析过程脚本化

为了达成最大化的人员有效利用率,运营中心以三级分析师的形态构建整体运营分析流程,为了更好地完成上级分析师向下级分析师传递分析思路、处置思路、知识经验的目标,同时建立安全运营不同层次、不同角色间的工作内容及协同机制,安全运营就需要流程“运营脚本”化。

运营成果卷宗化

在常规的安全运营过程中,针对安全威胁的分析成果往往以文档编纂形式出现,并多以发生时间为维度建立文件夹进行积累留存。而在周期性工作复盘过程中,此类分析成果很难帮助安全决策人员有效梳理周期内的安全问题,提出针对性的安全能力提升策略。因此,将安全运营流程中的每阶段成果进行卷宗化存储,可便于安全决策人员对运营成果进行复盘及参考。

如在安全运营流程中,分析师可模拟公安办案人员的案情档案盒模式,对威胁事件的报案线索(告警等日志信息)、案发现场(受影响资产)、办案过程(事件分析流程)等分析内容进行卷宗化构建,以数据结构化的方式完成数据的存储,方便后期对事件关键要素的检索,并提供与其它相关事件的自动化关联能力。同时,安全管理员、分析师、相关业务责任人也可通过卷宗模式直观、实时查看安全事件的分析进度。

责任编辑:Blue 来源: 启明星辰
相关推荐

2022-05-18 23:42:08

网络安全安全分析工具

2022-05-20 14:54:33

数据安全数字化转型企业

2022-04-11 14:53:49

网络安全数字经济数字化

2022-05-09 11:57:39

云原生实践安全

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-10 14:11:05

网络安全网络犯罪

2022-04-20 22:04:58

物联网安全勒索软件网络攻击

2022-05-11 17:16:42

人工智能机器人

2022-05-26 11:50:15

2022-05-17 14:03:42

勒索软件远程工作

2022-05-11 14:48:33

腾讯云寿险民生保险

2022-05-11 14:05:11

区块链网络安全存储

2022-05-03 23:21:13

安全意识网络安全网络钓鱼

2022-05-27 15:11:07

数字化

2022-05-17 15:51:32

数据中心运维能力基础设施

2022-05-13 16:11:31

SOAR安全运营

2022-05-25 16:52:55

数据智能瑞数信息API

2022-05-25 10:49:02

云存储云计算

2022-05-26 18:06:29

华为数据中心

2022-05-23 10:55:19

华为数字化转型架构蓝图

同话题下的热门内容

网传搜狐遭遇史诗级邮件诈骗,张朝阳回应来了网络安全攻防演练中不能忽视的API风险恶意技术时代下的负责任技术云原生时代来临,云安全技术将何去何从?38万个Kubernetes API服务器暴露在公网把手机变“肉鸡”—移动应用攻击的新特点与防护支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金新型勒索软件Cheers正攻击VMware ESXi 服务器

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号