本文探讨了安全运营的挑战,包括数据收集难度、安全数据敏感性、分析门槛高等问题。通过分析安全运营的点、线、面,提出评估安全能力成熟度的重要性。以勒索病毒为例,说明了安全事件分析的复杂性,并分享了Apache Shiro反序列化漏洞和图片马执行的案例,强调攻防技术演进和运营中技术栈差异的影响。文章最后指出,安全运营人员需要不断补充安全能力,以应对日益专业的攻击手法和多样化攻击面。
0x0 背景
日光之下,并无新事。又是一年新旧交替,去年年底的时候Freebuf的小编在关于安全工作总结这块还做了一个专题讨论,关于安全工作的总结复盘与规划估计也是许许多多安全从业者比较为难回答的问题了,最近大家也比较热门的讨论过关于安全运营的工作开展思路,结合自己的一些实际体验和各位大佬分享一下希望能够抛砖引玉。
目前无论是对甲方客户还是对乙方的技术提供商,普遍都遇见了一个比较大的问题,就是安全的价值到底要如何体现、如何量化、如何能能够看到效果,并以此体现自己的技术能力并让用户买单?技术变现的难度一直都很高,而且还是信息安全这个行业更加偏技术门槛较高的行业;信息安全本身是一个基于计算机场景下的多学科交叉,从当前主流的行业需求来看主要方向还是在二进制安全、攻防对抗、安全治理三个大一点的需求多一些,论市场需求的话其实也很简单收集到信息,空闲时间多上一些互联网的招聘网站、大厂的招聘系统看看就好需要什么样的人才归纳总结一下就能达到一个七七八八的结论,感到职业生涯迷茫不知道何去何从的时候不妨以工作岗位的需求来成长自己。细分的场景下就包括一些Web攻防、内网攻防、攻防对抗、安全服务交付、等级保护、数据安全治理、逆向分析、漏洞挖掘、可信计算、加密解密、企业安全体系建设、安全合规等等,细分下来可能还有更多此处不再赘述。关键问题在于这些知识点并不是一个递进成长关系,虽然都是做安全的可能就是完全不同的领域,很多对行业不了解的领导或者客户就默认为一个所谓的安全专家应该是什么都会的,对安全行业技术的认知差导致了很多工作开展时往往很难达到需求方的一个预期,或许这就是很多时候出现一些矛盾的源头。
0x1 运营方向
对安全运营而言目标相对比较明确看清当前安全能力的成熟度,进一步洞察技术差距从安全能力的点、攻击链、攻击面三个维度进行评估,从而制定后续的改进计划与商业市场下的差异性优势方案。安全能力的持续构建也还是离不开规划、实践、运营这三个维度,三个维度恰好行为了一个周期的闭环。规划的新方向通过实践进行交付、运营检验其中效果并发现不足与新的方向从而进一步影响到规划,运营不单单是对效果的检验更多的还有对新方向的探索与挖掘,是个项目当中最核心的一个角色。
与当前主流的互联网运营相对安全能力的运营往往具有更大的挑战,主要原因之一是对信息的收集来源较为困难,运营需要从数据当中发现问题、洞察到趋势与效果,所以数据的来源就至关重要毕竟巧妇难为无米之炊。互联网场下的运营用户的行为收集就相对容易一些,毕竟这些APP是可以联网的且常常需要与服务器建立链接通信,运营人员可以在各种按钮埋点或者基于服务器的处理数据进行统计分析,从而得出一个相对中肯的结论比如我在一个页面上投放一个广告链接在后台就可以得出所有用户的点击时间、次数、停留时间、响应时间、之后的行为等等。
但是安全运营相对就复杂的很多
1.首先数据收集的难度就很大因为很多用户普遍不会让安全设备链接互联网、
2.第二就是安全的数据比较敏感用户对数据安全的要求普遍也较高,第三安全数据的分析存在较高的门槛且收集到的数据资料层次不齐。
3.安全数据的分析私下觉得这是一个对综合能力要求相对较高的一个岗位,也是整个运营工作当中最关键的一环。
安全攻击的行为和互联网业务的点击存在的一定的差异,安全攻击的数据的维度往往更多,一般的安全告警包括发生的事件、唯一标识、攻击类型、源、目标、攻击特征、告警描述等举证信息等内容,分析的第一步是需要确认当前事件的准备性,到底是不是误报、还是正常告警。这个其实反而是一件比较有难度的事情,当前主流的安全能力主要有三种方式基于特征的识别、基于行为的检测能力、基于关联分析的识别能力,由于分析人员和安全研究人员的割裂导致运营人员只能依靠现有的数据进行研判,一些常见的攻击举证字段相对容易一些比如识别一个文件是webshell上传,那么可以打开这个文件看一下是否包含一些特殊的函数名如eval、assert、create_function一
最低0.47元/天 解锁文章
扫一扫
2010
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
