很多企业购买了安全产品和安全服务,组建了安全体系建设和运营团队,但仍然遇到了很多问题。例如:企业采购大量异构安全设备,分散在各处,产生海量日志,给日志分析和事件处理带来困难;IT高管被大量碎片化信息淹没,无法做出宏观判断,做出有效决策;IT运维人员处处救火,每逢重大安全事件保障都仓促处理,效率低下,设备和平台的能力不能得到充分发挥……在复杂多变的环境中,如何有效保障企业安全是日常工作。企业面临的主要问题。安全运营新趋势企业购买安全产品和服务,花钱聘请安全工程师。目标是解决问题,而解决问题不仅仅是购买安全产品和获得安全报告的问题。随着安全管理和技术的发展,安全操作越来越被提到重要的位置。在管理中,对运营有一个定义:“运营是对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各种管理工作的总称。”安全运营是提出安全方案、验证结果、分析问题、诊断问题、协调资源解决问题,并不断迭代优化以实现安全目标的过程。通过对安全运行过程的统筹管理,满足企业安全动态、连续、整体的需求。近年来,安全运营发生了很多变化。我们看到了一些趋势:1、从“被动防御”到“主动应对”。移动互联网成为业务标配,网络边界日益模糊,带来新的安全挑战。安保体系开始由“被动防御”向“主动应对”转变。与其被动被攻击,不如快速发现并及时应对,降低风险和损失。2、从“碎片化”到“可视化”,许多企业在网络中部署了不同的安全设备。大量不同的设备产生海量日志,信息分散,缺乏分析方法。难以看到整体的安全状况,极大地影响了安全运行。效率和有效性。随着平台技术的发展,安防系统开始从“碎片化”向“可视化”转变。通过平台可视化和大数据分析技术,提升运营效率,感知整体安全态势。3、从“运营规范”到“效率优先”对于大多数企业来说,安全运维就是定期发现和修复漏洞;配置安全设备策略,根据业务变化调整策略;应对攻击或事故等,运维人员努力在纷繁复杂的安全操作中寻找“操作规范”。然而,随着企业IT环境越来越复杂,以经济利益为目标的安全事件也越来越多,企业安全运营已经关系到企业的业务发展乃至生存。企业不再满足于“运营规范”,而是“效率至上”,用更好的安全技术和产品来提高安全运营效率,实现企业安全目标。总的来看,一方面安全运营向“主动响应、可视化、效率至上”演进,另一方面合规驱动安全运营发展。随着安全2.0国家标准的正式发布,安全管理平台和安全运营服务成为安全体系的“标配”。在当今的安全运营中,数据是核心,分析是灵魂,人员是纽带。企业从资产发现、安全监控、数据分析、情报预警、协同处理等方面构建“预测、防护、检测、响应”的自适应安全。能力。绿盟科技智能化安全运营之道1.安全运营体系新型网络安全威胁层出不穷,高危安全事件不断出现。这将是未来安防行业的“新常态”。每一次重大“安全事件”都是对安全组织的一次重大考验。获取敌方信息、部署武器、大规模实施“安全服务”、监视和闭环管理等要素活动,都对安全组织的能力提出了更高的挑战。因此,未来企业安全运营体系的建设需要重点关注以下几个方面:1)能够从战略和战术上运用威胁情报;2)能够使用机器学习、复杂统计分析或预测算法等技术进行安全建模和高级分析;3)快速准确的取证调查和威胁追踪;4)持续监测分析,构建自适应系统;5)尽可能实现自动化,提高安全运行效率;2015年,全球知名市场分析机构Gartner提出自适应架构框架(ASA),到2018年已经演进为持续自适应风险与信任评估系统(CARTA),得到越来越多安全厂商和客户的认可.CARTA从预测、防御、检测、响应四个维度,以持续监控分析为核心,持续构建自适应系统架构,集成以平台为中心的各类安全能力,协同人员应对事件,然后通过安全管理流程和制度,通过安全运营团队的有效组织,打造“安全、可信、合规”的安全运营体系。基于Gartner提出的安全运营框架,绿盟科技于2016年提出并打造了适应市场新变化的下一代安全运营体系:以IT资产为基础,以业务系统为核心,以持续监控为基础和分析,通过防护策略的持续响应和自适应调整,实现对网络攻击的动态防御,形成闭环的安全运营体系。2.绿盟科技智能安全运营平台基于多年态势感知和企业安全管理平台建设经验,绿盟科技发布新版本,推出绿盟智能安全运营平台(NSFOCUSIntelligentSecurityOperationPlatform,iSOP)。绿盟科技智慧安防2.0的理念是以运营为中心、智能化、全场景的统一安全管理平台。iSOP基于大数据框架,结合威胁情报系统,通过攻防场景机器学习、威胁建模、场景关联分析、异常行为分析、安全编排自动化、可视化,帮助客户建立和完善全面的安全态势推介会。监控、安全威胁实时预警、资产和漏洞全生命周期管理、安全事件应急响应能力。通过独特的自适应系统架构,为安全运营提供可靠的信息和数据支持,协助客户快速发现和分析安全问题,通过运维方式实现安全闭环管理。说到绿盟科技智能安全运营平台,不得不说它的“智能”特点体现在三个方面:事前智能预警、事中智能分析、事后智能响应。◆智能预警绿盟科技威胁情报中心(NTI)是绿盟科技依托多年安全经验和情报数据积累推出的威胁情报分析和共享平台,可为用户提供及时准确的威胁情报数据。在NTI威胁情报的支持下,用户可以通过绿盟科技智能安全运营平台,及时洞察资产面临的安全威胁,进行精准预警,了解新的威胁动态,实施主动威胁防御和快速响应策略,结合实时监控安全数据深度分析全面掌握安全威胁态势,准确追踪威胁和攻击来源。◆事件智能分析积累了多年的安全攻防研究和安全服务经验。针对不同的安全业务场景,绿盟科技智能安全运营平台构建了多种智能安全分析引擎,包括多源数据关联分析引擎、攻击链分析引擎、安全态势理解与推理引擎、威胁情报分析引擎、机器学习引擎、用户行为分析引擎等。例如,绿盟科技智能安全运营平台提供异常用户行为分析,采用先进的分析方法和机器学习模型对用户和实体(如IP地址、应用程序、设备和网络等)基线,以便能够检测到犯罪的内部人员。◆后续智能响应在日常安全运维中,策略配置等操作繁琐且容易出错,导致响应不及时、错误处理、效率低下。绿盟科技智能安全运营平台通过安全编排和自动化响应技术(SOAR),将不同的数据集和安全技术编排在一起,以自动化的方式驱动事件的智能处理,提高安全运营效率。其核心是,它最大限度地减少了事件响应期间重复任务中的人为干预,有助于加快问题的解决。小结作为业务驱动、场景驱动、数据驱动的自适应安全综合管控平台,绿盟科技智能安全运营平台将原本分散的各种安全信息进行了整合提炼,不仅极大地提升了运维效率,也使得运维人员效率更高。安全分析视角在广度和深度上实现了全面突破,推动了从人作为安全运营主体向平台作为安全运营主体的跨越,可以逐步降低运维投入比重安全运维人员,尽可能实现智能化的安全自运治理生态。成功的“安全”在于“运营”
