安全运维是企业安全管理中不可回避的环节。一套好的安全运维规范可以帮助企业降低安全风险。那么我们应该如何做好安全运维工作呢?近日,安全牛有幸邀请到业内资深专家杜建荣先生,从组织、流程、人员等角度为大家解答安全运维中的十大常见问题。以下是您可能遇到的问题主要内容:杜建荣,2006年入行,技术出身,曾为双方工作过多个岗位,熟悉IT各个领域。2012年起专注于信息安全领域,先后负责安全运维、安全管理、系统建设、攻防合规等不同工作。1、企业安全运维的本质是什么?杜建荣:安全运维包括两层意思。第一个含义是维护一个组织的信息安全管理体系。维度审计需求,利用漏扫发现漏洞风险等。第二层含义是在运维工作中落实安全管理要求,降低运维工作中的安全风险。可见第二层的意义是建立在第一层之上的。安全运维的前提是企业有清晰的信息安全管理体系,信息系统有更合理的安全架构。安全运维主要有两种工作模式。一是依托信息安全管理团队的工作模式,组织建立信息安全管理体系,在信息系统建设过程中同步构建信息安全技术措施,督促信息系统在建设过程中同步落实安全管理要求。建设,并使用安全产品进行管理和审计监督。二是依托运维人员的工作模式,为运维人员赋予安全保障,运维人员按照安全要求执行标准化运维流程。安全运维需要两种模式的有机结合,而不是信息安全团队或运维人员单打独斗,才能达到最佳效果。2、如何做好安全运维工作?杜建荣:在考虑安全运维之前,首先需要对企业的整体安全架构进行全面、严密的规划和部署。只有做好建设,后期严格执行安全运维,才能取得好的效果。否则,运维只能像救火一样,头痛医头,脚痛医治。安全运维的本质是贯彻公司既定的安全政策和方针,通过标准化流程实施公司设计的安全架构。比如防火墙的运维,本质上就是维护企业的安全域规划。如果运维时不按照规定随机化策略,使用防火墙隔离安全域的初衷就等于落空。安全政策一旦发布,以后就不容易收回,任何弱点都可能成为黑客攻击的目标。3、安全运维的重点是什么?杜建荣:安全运维的重点是按照约定的标准,严格执行运维,而不是随心所欲,随机应变。安全运维不是攻防演练,不需要华而不实的想法。变化越少越好。如果运维过程中发现需要发布的特例越来越多,就证明原来约定的标准有问题,需要修改原来的标准。一个好的安全运维标准应该严密严密,在制定之初就应该得到涉及的业务部门的认同。应该有一套标准化的流程,不会频繁发布各种异常。另一方面,安全运维需要分层、有针对性。比如关键漏洞、防火墙、WAF、IPS、服务器EDR的运维,专门分配给有经验的人员;VPN、堡垒机、办公电脑等,运维由经验不足的人员负责;最好有专门的岗位负责日志告警、分析和溯源。如果所有的运维工作都集中在一两个人身上,就会不堪重负。大量繁琐的底层运维工作和需要细心集中注意力的关键运维工作会混合在一起,降低人的专注力和应对能力。事情,从而忽略了真正的风险。此外,运维人员的操作也需要细粒度的权限控制和完善的日志记录,最好由上级领导或专门的审计角色进行定期审计。以上几点结合起来,可以最大限度地提高安全运维的准确性,降低安全风险。4、安全运维分为几个阶段?杜建荣:对于小企业来说,往往没有专职的安全人员,安全建设通常由网络或基础设施部门兼做。安全运维往往只取决于运维人员的能力。现阶段,安全只是一个可有可无的附加值,还不能真正发挥作用。发展到一定规模的中小企业,都招聘了专门的保安岗,但往往只有一两个人。在这种单人安全部门模式下,由于前期救火缺乏整体安全规划,往往导致安全人员在运维中疲惫不堪。公司将信息安全的责任交给安全人员。对于中小企业,建议聘请安全公司的安全服务团队进行运维,让安全人员解放双手进行有效的安全规划和建设,让他们可以逐渐正式化。对于大型企业,安全部门已经逐渐形成,可能会有专人负责管理、制度建设、合规等;专人负责运维。在这种模式下,建议参考上一点提到的重点,分配不同的人员来处理运维工作,将安全技能充分赋能给其他业务部门。例如,可以为桌面运维团队赋能终端杀毒、接入、VPN、反垃圾邮件等任务;基础架构团队可以被授权执行堡垒主机和服务器EDR等任务。诚然,谁管谁负责;谁使用,谁负责,谁操作,谁负责。信息安全团队可以专注于安全建设、日志监控、攻防等,同时提升整个公司的安全水平。5、如何培养安全运维人才(如何留住安全运维人才)?杜建荣:近年来,专业安全人才难求已是公认的事实,而且这一趋势将在未来很长一段时间内持续下去。继续。在这种情况下,我们应该如何培养安全运维人才呢?我个人认为,将安全运维能力分类,引入到职业发展路线中,是一个很好的方式。例如,从基础终端安全运维岗,到网络安全运维岗、应用风控安全运维岗等,通过岗位轮换,培养全能型人才,同时,更多其他运维岗位可以学习安全技能。培养公司后备人才。具备丰富的安全运维经验后,可以尝试编写自动化运维脚本,培养开发能力;或者走分析溯源的路线。同时,这也是留住安全人才的一种方式。有清晰明确的职业发展路径,避免安全人才重复做底层运维工作。6、安全运维岗位最重要的技能是什么?杜建荣:我觉得是持之以恒的学习能力(其实很多岗位都需要,但是安全尤其重要),因为安全是一门交叉学科,需要在实践的路上不断学习。学习和了解IT其他领域的知识范围,不能只看自己的一亩三分地。比如我自己在数据库审计的运维工作中学习了很多SQL语句和数据库结构;我在业务云项目中补充了很多公有云知识体系。另一方面,你在工作中也需要一丝不苟和耐心。面对反复的政策调整和权限控制,百看不厌。同时,您可以从数千行日志中找到有价值的事件。7、安全运维如何避免成为替罪羊?杜建荣:在制定安全策略、部署安全架构时,需要与相关业务部门形成共识,在大家充分知情同意的情况下制定。安全部门自主决策,在安全政策制定之初就明确了各自职责,使安全运维在后续运维工作中不至于成为推诿责任者。以漏洞扫描为例:在部署之初,规划好扫描频率、具体时间、谁来修复、有哪些潜在风险、预警方式等,并征得业务部门的同意。这样可以避免业??务方在出现业务中断时,怀疑是安全问题导致的,对于发现的漏洞,他们也不会勉强修复。一旦他们被入侵,保安的职责就是责备他们。8、安全运维岗位就业情况如何?这个职业会不会有瓶颈?杜建荣:相对于其他网络或桌面运维,安全运维岗位的就业情况还是很吃香的。看样子,找人的职位不少。安全运维岗的瓶颈是面对重复性的工作容易偷懒,必须主动坚持学习才能有所突破。现在云安全运维、大数据安全运维、应用安全运维等很多岗位都需要积极学习新知识来满足。另一方面,也可以尝试学习开发能力,利用态势感知、SOC等平台,通过流程设计实现自动化运维。9、企业需要态势感知吗?杜建荣:态势感知是近几年非常流行的一个概念。几乎所有的安全厂商都会推出自己的态势感知产品。但我认为,不要随便被销售忽悠了,只有少量安全设备的中小企业是不需要态势感知的。态势感知的应用场景在于企业拥有大量的安全设备,产生大量的日志。运维人员被这些设备和日志压得喘不过气来,误报和漏报太多,响应慢。无法提取有价值的事件。使用态势感知是有价值的。10、态势感知如何助力安全运维?杜建荣:态势感知可以简化运维的工作量,更专注于有价值的事件,让运维人员更专注于溯源分析。同时,通过参与态势感知中安全告警的设计和细化,还可以提高运维人员的综合能力,帮助企业培养人才。在使用态势感知之前,安全运维人员的工作可能是在日常的WAF、防火墙、IPS、服务器日志、漏洞报告中发现异常,进而验证是否发生了攻击。而部署态势感知后,利用设计好的告警规则,可以快速发现攻击的来源和路径,快速修复漏洞,不断优化告警规则。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
