安全运行能力体系建设的本质是构建基于装备、战术战法、兵力部署的“作战”体系。在现实工作中大家经常探讨的常态化、体系化、实战化,都涉及非常重要的环节,这就是落地和实际的运营建设问题。
一、安全运营的现状
近年来安全行业对运营探讨得比较多。甲方单位、乙方安全公司对运营理念都有很多的思考和摸索。从各个角度上看,安全运营针对于不同形态、不同规模和不同业务类型的企业,落地的时候有不同的呈现形式。但总体而言,安全运营工作的内容以及具体细化需求,很多方面有不少的相似点。
1、运营理念
从规范化的定义方面看,安全行业更多的是把人、工具、流程等的一系列输出,视做运营的整体部分。
在近20年的安全建设发展过程中,前10多年时间,更多的以合规化建设为主;从2016年实战化攻防演练开始,我们发现偏合规或堆砌式的安全架构实际效果不是那么明显。
我们讲运营,“运”就是用起来,使整个安全平台、安全工具正常运转。人作为工程师、司机,甚至是厨师也好,不论是各种角色,都是通过技艺与工具实现价值的输出。在安全工作中,我们有SOC类平台如SIEM、TDR等工具,数据源源不断地进来,供我们去分析,就像买辆车就得加油,他才能走,其实也是相应的输入。而“营”则是持续的输出价值。
安全行业的很多问题,跟我们生活中的很多做法是很类似的,可以做同类型的思考或者说换位研究。
我们买车的目的是载着我们去远方,去工作,或者周末出去玩。买了一辆车不会开怎么办?车的价值怎么来体现?车动起来才能实现价值,恐怕很少人买车是为了放在那里摆着。车肯定不能仅仅实现摆设工具的价值。
这时我们要思考一个问题:如果开车是项技能,到底是司机重要,还是车本身重要?这个问题跟安全行业的思考有些类似。
我们需要的安全价值或者说解决安全问题的做法,一定是通过人加工具一起实现的,二者缺一不可。光有人没有车,很难实现;没有车,你可以走着去,但效率很低。只有车没有人,车用不了,买来就是个摆设。
2、国内安全运营工作的基本情况
前一段时间,我们配合赛迪顾问机构,对国内近200家的政企与事业单位进行了调研。接受调研的包括安全从业人员、团队负责人,还有一些CIO、CSO。主要是调研安全运营中心建设相关的做法。
调查发现,近两年整体的政企机构,尤其是大中型企业、一些政府机构,日益意识到了运营的价值和作用。在运营中心建设上在逐渐发力。
调查结果同时也印证了我们的判断:整个行业的安全人员非常短缺。运营中心建设中最缺乏的可能就是人员和能力方面的不足。安全团队的规模而言,被调查机构中,1~4人的占了39.8%,超过了1/3;5~10人的17.4%,这两类之和超过一半多。也就说,安全团队多数是人数在10人以下的小团队。
机构开展的运营工作维度调查显示,更多的是围绕资产和其他一些具体基础类运营工作。更为全面和复杂的运营工作并不多,更多是最有实效性的工作。政企机构的运营工作做的很基础,但是最基础的往往是最有效、最扎实的。
在机构的SOC运营指标方面,也就说政企机构是否会制订相关的数字指标、评价标准等,目前绝大多数是没有的。
二、能力建设的基本要求
我们讲运维、运行、运营,这其实代表着不同的阶段。
运维是保证可用;运行则是按照固定的要求,相关的SOP或者操作手册有步骤的执行下去,然后输出相应的结果,它是规范化和整齐划一的;相对而言,运营则需要加入更多个人主观因素及能动性,来发掘和创造。
现阶段,我们做的很多工作,从运营成熟度角度来讲,前三个级别都叫运行,一般来说都是按照定义好、规范好的步骤去做,是最稳定可控的。凡事靠人去工作,比如,攻防测试、渗透、红队等主动工作,都有很大的人的因素在里面。
我们很多的时候做的方法论的出发点,都是去减少人为因素。在运营运行工作中,最好的办法就是相对的标准化,实现可靠稳定的运行,在能力提升之后,达到运营的高阶成熟度。
1、安全运营中心概述
安全运营能力包括几个方面,第一点是人的因素,人的能力是其中之一。第二个因素是工具和平台的因素。第三块是流程以及数据等资源。
首先,安全运营至少要有平台和工具。现阶段来讲,很多大的机构,通过整合原来的支撑平台,逐渐形成为大的安全运营中心或者综合性的调度指挥中心、应急响应中心。名称可能多种多样,但其实功能差不多,有共性也有各自的特色。
安全运营中心有以下几个共性特点:
第一,安全运营中心是指挥平台,或者说它是整体的安全管理的统筹的收集起来的平台,通过它能看到整体的状况。
第二,安全运营中心本身是工具平台,能够提供给运营人员很好的工具支撑,通过它可以高效率的大幅减轻人的工作量。比如说分析规则的灵活性,知识的储备整理,以及自动化生成的一些成果。
第三,安全运营中心一定是大数据结构的。在现阶段,如果不是大数据结构的,恐怕很难来跟上现在的安全发展形势。
第四,安全运营中心会整合很多内部的资源。包括资产、网络的结构、应用的情况,都要整合到安全运营中心平台上来,通过它能够看到全局。
最后,安全运营中心是整个安全业务的中枢环境,或者可以称为安全一体化业务平台。
对大的政企机构来讲,运营中心是保障企业核心安全的重要抓手。
2、一个基础,两个必备
安全运营包括一个基础、两个必备。其中,基础就是安全运营平台。
下面这张图从整体串了起来,包括体系构建,工作流系统,运营技术支持,态势感知平台,运营的流程,包括如何从基础设施收集数据。整体运营平台收集的所有数据都源于资产。
IT资产包括很多维度,但并不复杂。通常的企业IT资产包括终端,如PC、服务器等主机设施;网络设备;IoT设备,如办公设备、打印机等,这些设备构成了整体IT资产。按照分类,这些资产包括终端及其操作系统,主机服务器以及操作系统,中间件以及应用框架。这些资产的颗粒度是要拆分开的,最终输入到平台中,这样可以快速响应判断问题。
只要这些信息收集得齐全、处理得当,其实不需要高级的安全情报,因为现在的安全预警传递很快,只要有新的漏洞爆出,很快就能获知。如果资产管理足够好,可以通过平台迅速查询或匹配,就知道涉及哪些资产,可以去做处置了,不需要有POC或者其他验证。
这就是运营中心必须具备的平台和基础,是“一个基础,两个必备”中的一个基础。
1)必备之一:运营要尽可能是高效的
前面我们讲了很多,包括人、工具、平台。用平台和工具的目的是提高我们的效率。生产工具先进了,生产力提高的可能性就比较大,要以运营的理念实现安全的自动化。
我们在选取自动化的时候,要有自己的基本认知,比如安全响应自动化,运维自动化,测试自动化,构成了我们的很多基础的工作,这些好像跟运营工作没啥关系,其实它们都是整体输入的一部分,都会影响到整体的效率。
安全的本质是人与人的对抗。无论测试的自动化、响应的自动化,我们面对的对手和威胁,实际上也是人。就像现在的军事战争,很多时候用无人武器或者说自动化,但无人武器其实是有人操纵的,比如说大规模的无人机作战,后面的操控者可能是空军退役飞行员。
自动化的东西只能帮我们提高效率,从理论上讲,可以不断地提高,无限趋近于追赶人的步伐,但至少在目前阶段,指望自动化来精准、准确地处理解决到各种安全问题,客观来说,目前为止这个还是比较难做到的,或者说效果不那么理想。
通过自动化管理和持续的安全响应,尽可能地提高工作效率是目标,这就是两个必备的一个。
2)必备之二:数据是运营量化评估的标准
我们网络安全工作一般包括三大块——管理工作、技术工作、还有平台建设工作,也就是设施类工作。每一项都会有产生很多的要素,比如安全管理过程中,会有内控、审计、合规要求等;它就会有这些数据;技术当中会收集到各种信息、数据、日志;基础设备中会有各种流量数据、情报等。这些数据收集之后,要做到上能汇报、下能通报。
在很多单位,安全更多是辅助性、支撑性、保障性部门。我们怎么去跟业务融合,怎么去与信息化的结合好,是很重要的日常工作。可见、可控,可感知,这三点不能只有安全人员能够感受到,应该更多让我们安全人员之外的同事、兄弟部门、上级领导感知到的。
如果我们把安全运营工作分成5条线,比如态势感知展示,威胁检测分析、漏洞管理联动、合规管理检查、资产管理控制等,这些都需要大量的数据的支撑。
因此,第二个必备就是数据。筛选和利用数据,是我们的两个必备之一。
三、能力建设的行动路径
安全运行的能力建设非常复杂,周期很长。在一年内实现安全运营中心的基础建设与发展, 实现重要系统的日志管控,包括基础设施、网络安全、系统安全、威胁监测等多个领域;两年内实现二级、三级分公司所有重要的集中安全监控和分析,配合整体评价体系支撑企业网络安全工作;三年内逐渐完善形成有自身特色的安全运营中心。
1、安全运营平台建设
平台是多元化的。下图展示的是相对放之四海皆准,可以广泛套用的基础性平台建设方法。
比如,最底层平台数据如何采集,数据收集平台怎么做,数据收集后怎么归集和处理,数据怎么用,产生什么价值。平台建设的思路就是这样的。
从理论上讲,奇安信通过整体研究,对安全运营类的工作,威胁检测类的工作,还有大数据安全分析的工作,做了很多的研究,对于监管、监测、预警,具体的运营、运行、自动编排,围绕着整个安全运营的大体系,实现相关运行工作的基础设施,奇安信都有了非常多的储备和思考。
2、安全体系能力建设
我们安全体系能力建设方面,运行是很复杂的体系,需要很多上层的整体支撑。
第一个阶段,以资产为核心的技术防御能力,要跟运营成熟度的匹配;第二个以大数据分析为核心的主动防御能力,以及第三个威胁情报为核心的持续对抗能力,这是不断进阶演化的。
从常态化的实战攻防演练上来看,同样也是这种情况。第一件是把资产的很多东西做好。第二件是面对实战化的对抗,我们再去做分析。第三件是分析的过程中,大量有效的手段是情报。其实,面向整体的能力方面,这三个方面决定了实战化对抗的成绩。在能力建设方面,就是组织、流程、工具等基础要素,包括考核性的指标、考核性的办法,这些是体系能力建设的方法。
3、安全运行团队搭建
我们行动路径当中,最重要是的团队的搭建,也就是构建人的要素。
我们通常要具备什么样的人?通常包括基础研究人员、分析响应人员、高级攻防人员,高级攻防辅助人员。
我们运行团队为何需要攻防人员?如果要构建运营中心,攻防人员是最好是要有的,或者用外部的高级别服务来帮助实现,因为主动的探测自身的脆弱性是很重要的措施,我们实战化攻防演练其实采取的就是这种模式。我们自身的更多是基础运营人员,还有一些分析型人员,这个决定了我们按业务需求和实际情况来匹配,包括数据规模,对业务的依赖性、企业的规模等。
培养这些人员的能力的难度是递增。培养基础技术人员的时间还是相对比较短的,最多是经验的增长慢一些,但基础技能培养是很快的。培养水平相对比较高的分析响应人员的过程,就是由实习医生,住院医生培养成能够坐诊医生的过程。行业内经常讲,攻是一个点是,防是一个面,难度不是对等的。
从事防护的人员由于涉及的门类、需要积攒东西过多,以及积累的经验和视野的要求,培养周期确实很长。从某些角度上讲,搭建实战运行团队,一方面通过自身培养,但很多企业可能受限于是编制、体制的问题,没法去开展,就可以采取外部力量输入或者协作方式,联防联控也是我们国家对关键基础设施防护要求中提出的做法。通过外部力量支撑自己,也是有效的提升手段,因为我们的目标是解决实际的安全问题。
4、流程化的处置方案
安全运营中心,每一个岗位相应的流程是否清晰,是否能够跑得起来,这个决定了是否成功的关键。
哪怕只有简单的4~5个步骤流程,只有三、四个懂的人,只要有一套清晰的方案。长期运行一年,效果可能都是显著的。反过来,哪怕投了特别多的钱、投了特别多的人,但方案杂乱无章,推动工作也不利,流程也不清晰,收获可能也不大。这是流程化的处置方案是很重要的原因。
有的时候,我们看各种企业组织架构,会发现有的信息化部门还有个名称叫信息化和流程部门,这说明流程对大企业或者说在机制上是非常重要的。
5、常态运营机制
人的要素具备了,平台工具的要素具备了,流程的要素具备了之后,就是运营起来、运行起来怎么跑,职责怎么定的问题。每一家企业因其职责、特点不一样,会有相对比较自我的个性化情况。
奇安信在构建自己输出的安全运营能力中,主要是以这种现场化、结合实际情况提供基础性的服务项目,像运营人员、分析响应人员,甚至高级别的攻防人员,再到云端运营,通过远程的运营,做远程的中心统一管理,加强可靠信任因素,同样实现了相关的基础运营和分析响应。
再有一种就是云地结合,我们远程输出及推送安全情况。获取威胁之后,处置方面可以依托7×24的应急支撑服务,或者本地化的安全服务来结合,云地结合一体,这可能是我们未来做安全运行体系的趋势。如果要快速地解决问题,指望传统的手法,恐怕是不现实的,一定是多种手段、多管齐下。
四、对未来的一些思考
今年奇安信开始以系统工程的方法,体系化的考虑安全运行实战化的问题,有几个方面值得我们思考:
1. 实战化安全运行的目的是什么?
数字化时期的威胁瞬息万变,按次开展的安全检查与测评模式无法达到业务安全保障要求,只有面向实战的安全运行才能最大化发挥安全技术能力,安全人员技能,持续提升安全保障能力,满足业务安全需求。
2. 如何将安全目标落地?
需要将安全目标转化为可执行的一系列安全管理办法、安全技术标准、安全运行规范,依据这些安全管理办法、标准、规范形成安全服务目录,根据服务目录定义安全运行的每个岗位职责并组建安全运行团队,制定安全运行流程并与IT运维流程和IT开发流程打通。每项安全服务应制定标准化的安全运行和安全维护操作规程。
3. 如何建设实战化的安全运行体系?
实战化的安全运行体系,涵盖安全运行团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等。安全运行团队作为安全运行活动的执行者,需明确定义岗位职责并持续提升安全运行团队的安全技能和安全经验并与先进的安全技术相匹配,发挥人防与技防融合提升的效果;安全运行流程和安全操作规程是保证安全运行人员合规、快速、准确执行闭环安全运行活动的依据和指导,每个流程都应该形成闭环,并应考虑与IT运维流程和IT开发流程的打通;安全运行支撑平台和安全工具的建设也需要与实战化安全运行能力相匹配并能对提升安全运行效率提供支撑。
4. 实战化安全运行的核心工作内容是什么?
以人员身份为主线的身份、凭证、权限管理和以资产为主线的资产、配置、漏洞、补丁管理是安全的基础,以安全策略和访问关系为主线的纵深防御安全策略管理是安全的保证,以威胁和安全事件为主线的安全事件处理、威胁猎杀、攻击模拟、策略优化提升安全防护水平,以情报数据为主线的威胁情报运营和适配提升响应速度和安全预防能力。
整个安全运行体系需要持续的评估、优化,包括安全运行流程评估、专业技术人员能力评估、技术支撑平台能力评估等,找出差距、制定提升计划,促使安全运行体系成熟度持续提升。
本文基于作者在“虎符论坛”演讲整理。
关于作者
万京平,虎符智库安全专家、奇安信安全运营中心总经理。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。