年初三。有点安静的一个上午。路面是湿的,但已经出了太阳。
要不断的自我鼓励,把立意定的更为高远,心中有梦,才能有更多的耐心和毅力把理想坚持下去。
最近两年安全运营中心这个概念被提到的次数越来越多了,虽然没有一个建设的标准模式,但很多大厂都在提,也号称有了各种落地。那么,到底是怎样呢,经过一番学习和不太成熟的消化,我也这里笔记一样记录一下吧。从行业专家和几个大厂的实践经验进行一下描述。
为嘛不断提及安全运营?我比较认同这个说法:
1、安全风险的直观化。能够有一个统一的平台或者方式,把各种安全风险隐患集中进行可视化的关联呈现。
2、建设成果的理念化。国家对网络安全要求明确,配套政策落地,各企业都相应上了各种等保合规的设备等,或者说大部分该有的东西都有了,所以现在安全服务越来越被接受,5年前,大家还不知道该怎么理解安全服务。安全运营中心,可以理解为一个集中展示展现安全建设成果和能力的平台,可以把前期各层面的安全设备或者安全要求和制度平台化,这个平台就是运营中心,通过可持续运行的方式,把各项安全工作更为透明高效的完成。
上面两个原因,可能促使了安全运营被不断提出,而且如果真的是做安全运营,很难讲清楚是做平台还是产品,但是一定是个大项目,复杂的项目。
通常意义安全运营中心要做什么?
- 发现和修复安全问题
- 防御体系建设和快速响应攻击
- SDL落地推动(从源头降低安全风险)
前面两点相对已经被接受,SDL需要为更多的企业所接受要个过程,因为对原有的业务或者工作模式可能会有相当的影响,但是这应该最终是一条必经之路。
运营中心应该有的能力:
1、快速响应能力
2、威胁情报挖掘能力
3、漏洞全生命周期管理能力
4、7*24小时不间断服务能力
看看大厂腾讯的安全实验室关于运营中心的建议,分为四点。大数据、行为分析、应急响应、反向校验。
- 大数据:高效的安全数据处理能力是企业安全运营中心运转的起点。安全大数据能力要兼具数据广度和深度。广度上需要全覆盖所保护资产,深度上则需要和攻击者保持同一个深度或者更深,否则就会出现看不到已有攻击情况。
- 行为分析:通过情报发现安全威胁的踪迹至关重要。“专家规则+机器学习”双管齐下,充分融合人脑和机器的优势,通过行为分析,让隐藏在海量威胁情报中的敌人行为动向无可藏匿。
- 应急响应:企业安全运营中心建设还需要构建有效及时的应急响应体系。一方面为安全人员提供规则告警、处置工具、样本分析、入侵溯源等平台化工具,支持其在每一个流程环节能实时处置安全威胁;另一方面,也需要借助SOAR的思想,支持非安全人员开展安全运营,通过内置的安全编排响应剧本,对安全事件进行自动化响应处置并提供响应报告详情,提升安全事件响应处置效率。
- 反向校验:成熟的安全运营中心需要持续性的迭代和进化,这需要引入常态化的红蓝对抗机制。
通过将安全运营体系分为事前安全预防、事中威胁检测和事后响应处置三个部分,结合全局安全态势的可视体系,帮助运维人员更加简洁明了地认知和构建智能的企业安全运营体系。