文│ 奇安信集团大数据与安全运营事业部总经理 马江波 奇安信集团安服子公司 高级总监 万京平

安全运营是当前企业做好网络安全工作的重要抓手,《网络安全法》、新《网络安全等级保护基本要求》中,都明确提出了安全监测处置的要求,这是安全运营的重要环节。尤其在等保2.0中要求的安全管理中心,更是说明安全运营管理是明确的合规要求。

一、安全运营与安全运维的区别

安全运营是近几年业内的热点话题,但什么是安全运营?安全运营到底都干什么?有没有明确的定义和工作范围?在这里我们不妨先看下在IT行业大家都比较清晰的概念“运维”,运维简而言之就是保障信息系统的正常运转,使其可以按照设计需求正常使用,通过技术保障产品提供更高质量的服务。

而“运营”一字之差的差异在于,运营要持续的输出价值,通过已有的安全系统、工具来生产有价值的安全信息,把它用于解决安全风险,从而实现安全的最终目标。这是由于安全的本质依然是人与人的对抗,为了实现安全目标,企业通过人、工具(平台、设备)、发现安全问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化的过程,可称为安全运营。

人、数据、工具、流程,共同构成了安全运营的基本元素,以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标通常是现阶段企业的安全运营的主旨。只有这样充分结合人、数据、工具、流程,才有可能实现安全运营的目标。不管是基于流量、日志、资产的关联分析,还是部署各类安全设备,都只是手段,安全运营最终还是要能够清晰的了解企业自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,提升安全团队整体能力,逐步形成适合企业自身的安全运营体系,并通过成熟的运营体系驱动安全管理工作质量、效率的提高。

二、“安全运营”已成为安全行业的热点

当前,安全运营日益成为行业热点,主要有三个维度的原因。第一层是面临的大环境也就是国内外的网络安全形势,迫使我们需要不断推进安全工作的进一步迭代。第二层是政策法规推动下的合规管控要求的增强,通常我们总结等保2.0都会提到“一个中心,三重防御”,其中的一个中心就是安全管理中心,基于安全运营的安全管理中心是其本质。第三层是常态化对抗下的安全能力不足的现实问题,自2007年以来,通过合规化驱动的安全建设已经步入了一个新的阶段,各单位普遍进行了安全建设,并购置了大量的安全设备,增设了安全岗位,甚至设立了安全部门,但受限于各种因素,专业人员不足、专业技能不足依然是各单位痛点。近几年通过红蓝对抗、高强度的实兵对抗演练,暴露出运营者核心安全能力不足,人员、设备、流程、机制无法有机结合,在对抗中经常被打得七零八落,行业从而认识到良好的安全运营才能发挥出工具的用途、装备的价值,才能充分保障安全体系的高效运转。

所以,正是因为全行业都已经洞察到了网络安全建设到了亟需迈过去的一个关口,安全运营自然而然就成为行业的热点。我国近期重要政策就是供给侧改革,供给侧结构性改革旨在调整经济结构,使要素实现最优配置,提升经济增长的质量和数量。而行业目光转向安全运营,就像实施“供给侧改革”一样,调整安全工作的重心,充分使安全要素最优配置,从实质性上提高安全能力,在常态化对抗中赢得先机。

三、“安全运营”发展中存在的问题

首先,安全运营在国内还是缺少相应的“最佳实践”。在互联网行业以外的传统行业中,金融行业相对而言是起步早启动快的行业。但整体上,绝大多数依然在运维中徘徊,一部分在运维向运营过渡中,这与各单位的“安全成熟度”密切相关。与人们的生活水平评价类似,“安全成熟度”可以分为“贫穷、小康、富裕”三个阶段。“贫穷”并不是指没有安全方面的预算,而是一个综合的考量尺度,包括建设投入、人员数量与技能、安全的认知等。但安全运营也并不是“富裕”阶层的专属,在安全体系发展的各个阶段都可以匹配不同的安全运营形式与内容。

其次,安全运营中最重要的因素还是人,缺乏足够的人才来运营,并且难以与IT、业务、管理层和监管等部门进行有机的联动,就无法发挥安全工具的价值。

除了人员问题,另一个重要的影响安全运营成效的要素就是工具。在大数据安全时代的今天,Gartner将阻止、检测、响应、预测四个阶段合在一起称之为“自适应安全架构”,而这其中检测、响应与预测离不开大数据安全平台的支撑,而通过传统SIEM(安全信息和事件管理)构建的SOC平台存在着一定的局限性,体现在以下几个方面:

1.缺乏安全攻防对抗的能力:传统SOC以安全日志和事件的采集为基础,被动进行事件分析和响应,没有从威胁来源和攻击者视角来分析问题。从黑客攻击杀伤链来看,检测点和响应措施严重不足。

2.缺乏大量数据处理的能力:传统SOC以关系型数据库为底层数据架构,处理能力相当有限,在当前海量数据、异构数据、多维数据的情况下,采集、分析、处理、存储遇到了很大的困难。

3.缺乏安全智能分析的能力:传统SOC以基于规则的关联分析为主,只能识别已知并且已描述的攻击,难以识别复杂的攻击和未知的攻击。并且传统SOC 缺乏内外部威胁情报的导入,难以满足当前的攻防对抗环境。

4.缺乏有效协同的能力:传统SOC缺乏响应协同的工具和流程,无法做到与网关设备、终端EDR等联动响应,以及与企业内外部资源共享威胁情报、协同处置安全威胁。

以上这些因素决定了目前国内的企业的安全运营现状基本处于初级阶段,同时国内的安全运营市场也是起步阶段。

四、做好“安全运营”应秉承什么样的理念?

对于网络安全工作而言,只有“真的安全”才是最终的目标,因此从这个角度上来讲,所有企业的目标是一致的。但安全又从来都是相对的,没有绝对的安全。它是以你付出的代价和承受的风险与损失之间的平衡。

在现今的网络安全市场中,最典型的客户就是互联网企业、政府机构、传统企业。传统企业中信息化均是对其主要业务起辅助作用的,典型的如各种央企、国企、大型民营企业等等。那针对传统企业而言,什么是正确的安全理念,安全的目标又是什么?

首先,目标相对是最容易明确的,那就是“真的安全”,或者称之为“相对安全”更为恰当。不是所有企业都有能力和资本,去抵抗那些有针对性地的高级别的攻击。并且,当一个企业如果对网络安全投入的成本需要超过业务本身价值的情况下才能保证安全时,安全的意义就不存在了。

其次,秉承什么样的安全理念去开展安全工作,对于不同企业而言,做法和理念总会有些许差别,但也存在若干共性。一是网络安全工作通常是以保障信息化工作为初衷的,这就意味着要尽量减少因为安全而增加的不必要的开销,例如很多企业处理安全问题的办法就是上设备、买产品,头疼医头,脚疼医脚,最终网络和系统的负担越来越重,而穿着过于沉重而不能行动的防弹衣是没有意义的。二是要认识自我,结合实际情况,制定合理的策略。很多企业喜欢借鉴其他企业的安全做法,而忽视了企业间存在不同的体制机制。三是不积跬步无以至千里,安全问题很多时候是一件件“小事”不断累加,由量变形成的质变,而日常注意这些细节,解决这些“小事”也就解决了“大问题”。因此“为业务、不盲从、清现状、抓细节”,安全运营的落地一定是秉承结合自身实际,弄清细节问题,扎实推进展开。

五、企业如何落实“安全运营”

安全运营的落地是个持续的过程,不能一蹴而就,安全运营工作的特点,是把一个个孤立的事件通过一定手段关联起来,是由点成面的过程。在安全运营建设过程中需要考虑以下几个方面内容:

1.组织架构设计

应根据自身的组织架构、业务特点进行设计运营岗位、运营流程、运营制度、运营考评机制,建立完善的安全运营体系。要充分考虑现有安全组织机构情况、安全建设水平、安全保障能力等现状,为运营体系设计提供现实资料保障。根据安全防护范围,垂直管理情况,组织机构设计情况,安全保障人员情况等,确定安全监控、安全分析、安全响应等各类角色,设置安全监控员、安全分析员、安全处置员、应急响应领导小组等。

2.事件响应流程设计

根据自身行政管理机制,责任落实机制的特点,有针对性的设计安全事件监控、分析、通告、响应、处置、复核等全周期的安全运营流程,确保安全运营工作可闭环管理。

3.安全规则设计

应能够在深入理解业务的基础上,结合业务特点,完成各类安全威胁场景建模的,比如终端用户行为分析类,主机违规外联类等。通过自定义场景规则,不断优化,提升准确度,将日常威胁事件处理的数量控制在可人工处理数量级。成熟的安全运营体系一定要确保自身是可消化可吸收的。

4.安全运营平台

安全运营平台是检测与防御的根基,一个企业要想做好内网检测和防御,首先要解决的问题就是全方位的感知能力,感知是依托于大量数据的反馈,因此需要统一的日志收集和分析平台。同时平台要具备持续的威胁检测,通过各种检测规则和机器学习模型来对所有收集到的日志进行匹配检查以保证之前的已知威胁不会被忽略。在此基础上,现阶段基于威胁情报的IOC检测平台也不可或缺,其主要作用是用来对外部情报信息或者内部自产的情报信息进行实时匹配和报警以确保当前所有的已知威胁能被检出。

最后还需要一个流程管理平台,其主要作用是用于流程化和规范化地记录和总结所有以往发生的入侵事件的调查过程和分析结果,以便于日后查询和关联分析,同时可以用于追踪考核。

在对安全运营的深刻了解下,奇安信网神以大数据平台为基础,打造了态势感知与安全运营平台(简称NGSOC)。通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助企业持续监测网络安全态势,为安全管理者提供风险评估和应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。

在威胁情报方面,奇安信集团威胁情报中心在情报数量及数据覆盖度方面国内领先,赋能NGSOC提供更精准检测。在关联分析技术方面,NGSOC搭载国内首款分布式关联分析引擎 – Sabre,成为国内首款具备分布式关联分析能力的安全运营平台。在帮助企业运营方面,奇安信集团具有专职产品运营服务团队,可提供原厂一线驻场、二线分析、运营方案咨询及培训服务,帮助客户解决无人对响应进行处置和无人运营的困难。

六、企业用户安全运营实践场景

安全运营工作现阶段在大部分企业中实际开展过程中以监控分析、事件处置为主,更多是防范内外攻击者的“矛”。而实际上安全运营工作的很大程度上应以预防为主,做好“强身健体”工作,围绕资产、漏洞、补丁、策略这些最需要做细的工作下功夫,形成相应的管控机制,筑牢核心防护的“盾”。以监控分析和事件处置为例。

1.监控分析

运营监控人员实时监控、筛选过滤告警,记录并统计告警信息,协助告警信息的通告下发,定期跟踪事件处置情况,高危安全事件的通告工作等。分析人员通过基于外部采集的安全日志、网络流量日志或服务器日志数据等,开展日志关联分析和威胁情报关联分析,对整体网络安全态势进行分析与呈现,对特定目标遭受到网络攻击的态势进行分析。

在各种入侵案例中,比如利用Web应用漏洞,攻击者获得低权限WebShell,然后通过低权限的WebShell上传更多文件,并尝试执行更高权限的系统命令,尝试在服务器上提升权限为Root,并进一步横向渗透,获得更多内网权限。在这个典型的攻击路径中,在任何一个环节设置有效的安全检测和防御措施,都可能导致攻击被检测和阻止。目前在安全防护技术没有革命性发展下,安全运营监测需要考虑到网络层、系统层、应用层、数据层、用户层、业务层,面面俱到。

2.响应处置

对突发、重大信息安全事件采取有效的应急处置措施,具备相应的处置流程、人员具备相应技能。当发生安全事件时,能够第一时间启动应急响应服务,判断事件影响范围,在最短时间内恢复业务系统的正常运行,通过调查溯源分析查找入侵来源或安全事件原因,提供安全加固和修复建议,提供整体安全解决方案。

安全运营给企业带来的价值是不言而喻的。常态开展安全运营工作,能够提升企业威胁监测和应急响应的能力,能够对自身安全状态有更加清晰直观的了解,同时能够培养出更多的安全人才。通过安全运营可以打通安全管理的各个环节,融合各类数据,按照场景进行分析,推动安全建设和运营的持续改进。

随着国家政策层面不断提出在监测预警方面的要求,未来几年安全运营一定是市场的热点。作为安全企业除了售卖产品,如何帮助用户解决“安全的最后一公里”问题是必须考虑的。但由于不同的客户有截然不同的业务,安全需求也不尽相同,每个客户对于安全运营的理解也有差别,实际中很多安全运营要针对客户进行贴身服务,结合企业安全基础设施现状,有针对性地提供专业技术服务,帮助用户及时发现安全威胁、安全隐患、安全防护体系的不足,为用户持续优化安全体系提供支撑。

(本文刊登于《中国信息安全》杂志2019年第8期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。