2021年,在新冠肺炎疫情、安全事件、0-day漏洞等威胁的挑战下,网络安全行业将呈现变革和创新的发展趋势,促使组织和企业不断探索新的技术和方法来防止潜在的网络入侵。在现有安全形势、政策导向和发展需求下,安全运营作为网络安全发展时代的产物,被认为是解决现有挑战的有利手段。本文将带您探索当今网络安全格局中安全运营的演变。安全运营发展趋势,如保障2.0、数据安全法、网络安全法等法律法规不断出台,促进了我国安全顶层设计的逐步完善,也促进了安全组织和企业需要从被动、静态、产品堆叠的安全运营向主动监控、快速预警、有效联动、精准处置的闭环安全运营体系转型。·MLPS2.0从MLPS1.0的被动防御转变为事前防御、事中应对、事后审计的“一个中心、三重保障”的动态防御体系;切实督促企业自觉履行数据安全保护义务;《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》重点加强数字经济安全体系建设,包括增强网络安全防护能力,提升数据安全防护水平,有效防范各类风险。这表明,组织和企业需要的安全不再只是合规,而是一个能够不断自我迭代、优化、演进、提供持续能力输出的安全运营保障体系。因此,要求安全运营应围绕业务系统,随着威胁与响应、攻击与防御的变化而演进。从第三方独立的角度来看,产品、技术、平台、人员各司其职,相互配合,发挥最大的作用。从制度、流程等多方面优化完善安全建设,满足“化解安全风险”的诉求,实现构建动态业务安全的目标。安全运营自我进化安全运营本身不是一种产品构建,不是单一的技术使用,也不是某类平台的构建,而是一种全新的个人安全服务模式。以“保安全”为目标,以业务场景为驱动,在人员、产品、技术、流程等方面演进,持续提升运营效能,帮助用户实现业务与安全建设同步发展,实现双管齐下安全与发展两翼驱动。推进信息化建设。下面就安全运营中心加速自我演进需要关注的几个方面进行介绍。安全操作框架不断发展。安全重心从传统系统安全向新技术领域拓展,更加注重全方位主动防御、动态防御、整体防控、精准防护。在这种情况下,“受托”安全运营的演进基础是运营框架的演进,以指导各项任务的发展。运营理念转变:从合规管理到实际对抗运营模式转变:从静态防护到主动动态防御运营方式转变:从单一运营到一体化运营安全运营机制所有为行业用户定制的安全运营中心都需要遵循以上要求原则。专业运营商的安全运营是一个复杂的工程系统,将技术、流程和人有机结合,对产品、工具和服务产生的数据进行有效分析,并持续输出安全能力。在这个过程中,人作为最关键的环节,串联起发现问题、验证问题、分析问题、响应问题、不断迭代优化的过程。此外,由于运营网络环境相对复杂,需要根据运营环境的特殊性进行划分,以专业人士处理专业问题的思路,为安全运营提供专业、精细化的安全能力。培养实战人才安全运营体系对人才的关键要求是基于对抗能力。通过实战演练锻炼和提高安保人员的技能战术水平。同时,坚持多角度、多层次、全方位的人才培养理念,多措并举,不断增强网络安全人才队伍的整体素质和综合实力。建立激励机制,将竞争机制贯穿日常运营,通过竞争过程提升人员能力;建立考核机制,关注操作人员能力提升的过程;建立人才晋升通道,实现从一线到三线的升级。升级为研究专家。优化评估考核没有成熟的考核机制,运营的持续改进只是纸上谈兵。在安全运营中心的等级评价方面,目前定义为5个等级。当等级达到3级以上时,运营中心具备对外服务输出的能力。威胁情报联合作战威胁情报的使用和生产与作战行动紧密结合。在运行过程中,需要关注与情报相关的活动,包括外部情报的采集与筛选,结合智慧中台完成初步的情报碰撞、情报生成与交互等。智慧城市的网络空间安全需要强大的威胁情报来准确预测和感知,从而提高作战效能。情报的生成和应用需要整合多方威胁信息,构建庞大的情报库。其中,要注重情报的交互和流动,包括与内部运营中心的交互和与外部单位的交互。对内:实现情报在全国各作战中心间的内部生成、流动、共享和应用,构建情报网络、联防联控、“集团军”作战。对外:与企业、研究机构共同探讨新的威胁应对方式,交流共享情报,打造情报运营生态圈。此外,业务场景不同,运营中心的建设对象和规模也不同。城市级运营中心、行业级运营中心、企业级运营中心等不同运营中心面临的攻击方式和漏洞类型存在差异。面对公共情报多、杂、乱的特点,个性化、定制化的运营中心需要建立自己的情报数据库,以更快定位攻击进程,锁定攻击范围,快速制止,提高运营效能.运营中心联动运营流程演进与优化安全运营是一个连续加工、循环的过程,需要对安全威胁进行细粒度、多角度、持续的实时动态分析,适应不断变化的网络和威胁环境,不断优化自身安全防御机制。从被动防御到主动治理的转变,离不开系统化的运行流程,而完善的运行流程需要每个流程都能根据运行环境的变化进行优化。其中,需要演化和优化的流程主要包括以下三个方面:对于风险遏制和响应(MTTR)是衡量运营服务质量的重要参数,也是发现安全威胁并跟踪处理的最佳实践指标。如何保证MTTD、MTTA、MTTR指标的时效性,是运营工作中必须解决的问题。安全运营过程中,需要对接、分析和处理大量安全数据,增加了安全数据遗漏的风险,导致安全威胁无法深入检测和分析,安全威胁持续存在在客户网络中。因此,需要一种高效的任务分配和分析结果的交叉验证机制。高效的任务调度机制为了解决可能遗漏的问题,需要制定一个任务调度流程,面向任务自动调度相关的安全数据,同时需要一套负载均衡逻辑优化处理调度,保证任务处置的及时性。任务超时升级机制需要设置任务处理超时升级机制。超时参数不同,升级的对象也不同,升级是从一线到交付经理一步步进行的。分析过程是脚本化的。为了最大限度地提高人员的有效利用率,运营中心以三级分析师的形式构建了整体运营分析流程。为更好地完成上层分析人员对下层分析人员的分析思路、处置思路、知识经验的传递,同时建立安全运维不同层级、不同角色之间的工作内容和协调机制。安全操作需要“操作脚本”的过程。操作结果文档化在正常的安全操作过程中,安全威胁的分析结果往往以文档汇编的形式呈现,并且往往以发生的时间为维度创建文件夹进行积累和保存。在周期性工作回顾过程中,此类分析结果难以帮助安全决策者有效梳理周期中的安全问题,并提出有针对性的安全能力提升策略。因此,将安全运营过程中各阶段的结果以文件的形式存储起来,可以方便安全决策者对运营结果进行回顾和参考。例如,在安全操作过程中,分析师可以模拟公安办案人员的案卷箱模式,报告威胁事件线索(告警等日志信息)、犯罪现场(受影响资产)、办案流程(事件分析流程))等。将分析内容构建为文件,数据以数据结构化的方式存储,方便后期对事件关键要素的检索,并提供与其他相关事件自动关联的能力。同时,安全管理员、分析师、相关业务负责人也可以通过文件方式直观、实时地查看安全事件的分析进度。
