安全运营现状
安全运营现状
从2018年来,我国步入网络安全新时代,等保2.0系列政策围绕“一个中心、三重防护”为核心思想,旨在倡导企业通过对安全计算环境、安全区域边界、安全通信网络的三重防护来构建主动式的安全管理中心,等保1.0的被动防御安全体系逐步被事前防御、事中响应、事后审计的动态保障体系取代。针对政策要求的变化作及时调整,是企业发展安全运营的首要前提。
除合规因素以外,应对业务变化、应对安全防护规则更新是发展安全运营的另外两大主要价值。在近年来企业数字化转型的大环境下,业务模式革新的同时,企业面临的攻击源、攻击面也在不断增大。在此背景下,企业需针对业务场景,将人、工具、流程有机结合,同时更新优化相应规则,迭代安全技术管理手段,具备持续迭代优化的网络安全运营能力。
随着物联网、大数据、云计算和人工智能等技术的变革。安全运营开始从被动式转变为主动式,注重从防御、检测、响应和预测四个维度解决构建网络安全体系,安全运营“闭环“的概念也相应形成,业界开始意识到安全运营要走向更加体系化的道路,管理、组织流程对于网络安全的至关重要,并着手建立标准化的现在企业和组织的安全运营管理体系。
安全运营中心的架构现状
Gartner在2014年提出了面向下一代的安全体系框架——自适应安全架构(Adaptive Security Architecture,ASA),用于应对云计算与物联网所带来的新的网络安全形势。自适应安全架构从防御、检测、响应和预测四个维度构建网络安全的体系结构,强调安全防御是一个持续处理的、循环的过程,并且要对安全威胁进行细粒度、多角度、持续化的实时动态分析,更加注重对不断变化的网络和威胁环境进行自适应,不断优化自身的安全防御机制。
1)防御
防御是指一系列可以用于防御攻击的策略集、产品和服务。其主要目标是通过减少被攻击面来提升攻击门槛,在攻击完成前阻断攻击操作。
2)检测
检测用来检测和识别那些逃过防御系统的攻击,其主要目标是降低威胁造成的计算机或网络“停摆时间”,以及其他潜在的损失。
3)响应
响应用于高效调查和修复被检测分析系统识别出的告警事件,以用于入侵和攻击的溯源和取证分析,并产生新的阻止和防范手段来避免未来的告警事件。
4)预测
预测利用防御、检测、响应的结果不断优化安全运营系统,逐步构建精准的预测未知和新型攻击的能力。预测意味着安全运营系统能够主动锁定对信息化资产的未知和新型攻击,评估安全风险并优先解决其中高优先级的泄露问题,其所形成的威胁情报将反馈到预防和检测的功能中,从而形成整个处理流程的闭环。
安全运营中心的技术现状
在自适应安全架构中SOAR和新一代SIEM技术应运而生,代表了当前的最先进的安全运营技术,他们在安全数据管理、安全数据分析、安全事件响应、威胁情报共享和安全可视化等方面具有新的特征。
1)安全数据管理
安全数据管理转向大规模的数据集成和融合,并引入威胁情报数据扩展安全数据。采用了大数据处理和分析技术能够对具有大数据特征的多源日志和事件进行融合分析
2)安全数据分析
安全数据分析开始采用人工智能技术来增强安全分析的能力。采用了机器学习技术对多源日志和事件数据进行有监督或非监督的学习建模,进而基于学习的模型快速地识别出异常行为。此外,将人工智能技术应用到网络资产环境中,分析网络资产环境中的用户行为,从而使其能够进行用户实体行为分析(UEBA)。
3)安全事件响应
传统的安全威胁响应通常包括告警管理、工单管理等功能。新一代安全运营技术采用了自动化的安全编排 技术(SOAR),使得不同的系统或者单个系统内部不同组件可以通过应用编程接口和人工检查点按照一定的逻辑关系组合到一起,用以完成某个特定安全运营的过程,使得在告警事件在被触发时可以按照预定义的逻辑进行多业务系统、多设备、多层级的联动,实现了安全事件响应的自动化。
4)威胁情报共享
威胁情报对于构建自适应的、“闭环”的安全运营中心至关重要,但没有任何一个组织拥有检测所有安全威胁所需的全部信息,安全运营中心仅仅构建自己的“威胁情报中心”还不足够,必须与其他厂商合作实现共享,借助正式的威胁情报联盟的力量。
5)安全可视化
可视化通常是信息系统产品应当具备基本功能,安全可视化对于安全分析人员理解和分析当前所面临的网络威胁和攻击、整体网络安全态势、企业的风险状况、合规情况等至关重要。安全可视化主要是随着安全数据管理、安全数据分析、安全威胁响应、威胁情报共享等安全技术的发展而变化。
安全运营展望
当前,许多企业和组织都建立了安全运营中心,其主要形式通常是由安全专家组成的集中化组织来监控、防御、报告和响应安全威胁和攻击。虽然这样的安全运营中心已被实践证明有助于改善公司的安全态势,但是严重的安全事件仍然十分猖獗。造成此现象的原因很复杂,通常是技术和人为因素的混合问题。因此,为了提高安全运营中心的有效性和效率,必须能够发现安全运营中心所面临的问题,并构建解决方案来增强这些关键组件,以应对不断增长的网络威胁和攻击。
安全运营中心问题和挑战
1)安全告警过载问题
恶意攻击者越来越多地使用自动化装置来发动网络攻击,非自动化的网络安全防御技术将致使将安全运营中心淹没在安全告警事件的汪洋大海之中。当前安全运营技术的一大优势是能够将告警事件进行集中存储和管理,并对告警事件进行一定的响应,但这并不会有效地减少告警数量本身,也不会着重突出显示高风险的告警事件,也不能使各个安全设备之间彼此共享新的威胁情报。
2)安全响应自动化问题
当前安全运营的响应技术实际上是半自动化的,安全分析人员的作用不可或缺,基于人力的安全响应是安全运营效率的问题根源。
3)安全专家的人力成本问题
当下,即使大型企业和组织也无法为安全运营中心配备足够的安全专家来跟上安全告警事件增长的规模,更不用说考虑安全业务的未来增长。高技能的安全运营专家很难找到,也很难留住。安全运营中心需要耗费企业和组织大量的预算经费才能够组建手工作业的安全运营的团队。
4)威胁情报质量和成本问题
网络安全威胁的规模不断增加和复杂性日益提升,企业和组织的安全团队不断寻求多种来源的威胁情报,大量的威胁情报信息也会产生“信息过载”问题, 这不仅需要资金支撑,也需要威胁审查、消除冗余数据,关联威胁情报,最终使用威胁情报的人力资本代价高昂。
安全运营未来展望
1)构建安全产品的技术标准
现有的安全运营技术体系形成了以安全运营管理系统为核心,安全单点设备协同,威胁情报系统加持的体系,但是这个体系存在着不同厂商安全单点设备、威胁情报接口标准不同,难以自动化地集成到安全运营管理系统的技术问题。随着行业对安全运营的诉求越发清晰,必然会推动相关行业标准甚至国家标准的制定,运营支撑平台则会走向标准化。未来可通过构建相关的技术标准来解决不同安全产品集成困难的问题。
2)落地先进的网络安全架构
随着网络安全实践的发展,人们的对网络安全的认识也在不断更新、不断完善、不断优化,对安全运营中心的目标要求也在不断提高,传统的安全运营中心以检测,响应和修复为基本架构,未来的安全运营中心将更多实践以防御、检测、响应和预测为主的自适应安全架构,并不断融合云计算、大数据、人工智能、区块链等新技术,走更加体系化的道路。但一个基本目标没有变,即低成本、高效率地消除企业和组织的各种安全威胁。
3)推进平台自动化、人员专家化的安全运营
安全运营支撑平台应最大程度实现自动化编排与响应,充分利用知识库、规则库、智能分析、智能决策技术,实现事件的自动告警、响应、处理、通报等功能,降低低效的人力投入。将大量安全人员则形成专家团队,制定安全规则,处理和分析安全事件,形成知识库,反哺运营平台和支撑人员形成协同效应,最大化利用专家团队的技术能力。
4)围绕业务产生的个性化安全运营中心
安全运营的最大价值,是为主体业务提供安全运营环境,只有在理解不同行业的业务和业务逻辑后,安全运营才有机会从业务发起到业务结束各个阶段,深度参与业务安全,网络安全运营与业务安全运营相结合,实现业务安全的定制化网络安全服务,安全运营才能实现更大的价值。
我们应该做什么
结合安全运维未来展望,我认为我们应该从如下几点出发:
1)积极参与互联互通行业标准制定
优先拉通东软内部不通安全产品接口标准,标准化对接自家安全产品
2)拥抱先进技术,技术走在业务前面
强化自身现有技术能力,提升检测能力、减少误报率、提供更精准更可靠的告警
3)自动化响应能力、安全运营能力池化
基于现有SOAR能力继续深化,平台可支撑更灵活的自动化响应场景,联动更丰富的安全产品。构建安全人员、安全能力池,最大化利用现有安全运营团队能力。实现自动化精准的安全运营,为企业和组织提供低成本、高效能的安全运营
4)构建自身业务安全能力
深入不通行业,根据不通行业业务特点提供定制化的业务安全能力,将网络安全与业务安全相结合。
5)多途径安全能力输出
自身产品可以提供基于单体、私有云和公有云的全方位、全天候的安全服务能力
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
