1. 引言
安全运营是个老生常谈的话题,但在新的威胁形势、新的技术和运营理念下,安全运营又彷佛是一颗常青树,隔三岔五成为安全行业的热门话题。毕竟,一个产品和解决方案的好坏及价值,越来越取决于运营,尤其是针对高级威胁,本质是人和人的对抗,高级威胁检测分析类产品的价值呈现,三分靠产品、七分靠运营,安全运营已经成为产品和方案交付中必不可少的一部分,并且成为交付价值呈现中最重要的组成部分。基于体系化、实战化、常态化的安全运营受到越来越多用户的关注和青睐,更多用户愿意为不断提升的安全能力和最终的安全效果买单,而这恰恰需要安全运营的支撑和转化。
2. 什么是安全运营?
事实上,安全运营是用户侧的概念,是站在用户角度,以体系化、实战化、常态化的方式打造和提升用户的安全能力,应对不断演化的新型威胁为目的,实现运营全过程的统筹和管理。
3. 安全运维、安全服务、安全运营的区别?
一般来讲,安全运维侧重于产品的日常化使用,日志、报表、日常运行状态监控等,一旦发生安全事件,还得联系专业安全人员处理;安全服务是基于厂商视角,根据用户需求或遇到的问题提供服务方案,如应急响应、渗透测试、漏洞扫描、风险评估、等保测评、安全审计等,服务具备一定的针对性和专业度,但总体上偏重短期效果、事件驱动、被动响应和安全应急,无法长期跟踪用户安全状况,随时随地解决用户的事前、事中和事后问题;安全运营是用户视角下,长期的、伴随式的,以持续的能力建设和问题解决为核心的系统性工程,而非短期、被动、碎片化地解决某个安全问题或安全需求。
实际中,几乎每个用户都需要以上三种服务,这三种服务也不是互相对立的,最终是用户根据不同的需求找到的符合自身经济条件的方案搭配。
4. 安全运营的三种业务模式
从厂商角度来看,可切入用户安全运营的场景大概可划分为三种:
1) 产品赋能模式(授人以鱼,托管运营)
用户将其安全运营业务托管给厂商,厂商基于用户的各类安全产品提供安全运营,使得产品通过运营展现和提升安全价值,客户为最终的安全结果买单。
2) 运营赋能模式(授人以渔,教人运营)
用户自有安全运营团队,需持续提升自身安全运营能力,厂商可长期给用户提供安全运营的能力支撑,包括各类运营策略、技战术、团队建设、资源、标准、流程、知识等,帮助用户建立健全安全运营体系,起到咨询、支撑和指导的作用。
3) 业务赋能模式(领域业务,数据运营)
顾名思义,业务赋能模式需要和用户的安全业务深度融合,比如:公安、国安、军队的反恐、反独、反黑灰产、反黄赌毒等安全业务,还比如,基于车联网的安全运营、基于电力物联网的安全运营等。在这种模式下,厂商是否了解用户的安全业务,是否具备支撑用户安全业务的相关数据显得尤为重要,也成为厂商进入这一领域的门槛。
5. 安全运营演化的三个阶段
安全运营预期发展可划分为三个阶段:
1) 本地驻场运营(Local SecOps)
本地驻场运营是目前被大多数用户所接受的安全运营模式,用户可以搭建自己的安全运营团队,也可以购买厂商的驻点安全运营服务,考虑到安全管理的风险以及日常管理的便捷性,安全运营人员通常要在用户现场执行日常安全运营的各项工作。由于高端专家资源稀缺,厂商不可能安排此类专家长期驻守在用户侧,表现出色的厂商驻场人员也常被用户挖走,安全运营的效果往往取决于驻场人员个体的经验和能力,因此参差不齐,无法标准化。分布在多个用户侧的厂商驻点人员更像是一个个孤岛,只关注自身的个体问题,而无暇兼顾其他,因此更谈不上情报、经验和知识的共享和复用,这类驻点更像厂商派驻到甲方的接口人,而非真正的运营人员,一旦用户遇到重大事件,还得第一时间请求厂商专家现场支援。
2) 云端专家运营(Remote SecOps)
云端专家运营又被称为远程专家运营或远程托管运营,安全厂商提供专家团队通过远程托管运营平台给各类用户提供安全运营服务,这种模式对厂商来说有几方面好处:首先.,解决了安全运营人力资源的配比问题,一个运营人员可以同时兼顾多个客户的日常运营,同时,专家团队可以针对重大问题和突发事件群策群力,最大限度地提升运营效率;其次,通过团队化管理,可以统一运营质量、运营标准和运营流程,最大限度地降低个体因素导致的结果差异;再次,由于了解每个用户的各类安全问题和突发事件,可以对行业和区域形成“全视”,从宏观层面观察威胁动态和发展趋势,对单一用户发现的重大问题,可快速形成解决方案并统一下发到行业及区域内其他用户,帮助其他用户预防和解决;最后,由于积累了大量的基础数据,还能进一步提取安全运营的知识和规则,形成相关知识图谱,这些数据、经验和知识又可以在团队内部不断积累、继承和复用,反过来不断促进和提升团队的整体能力。
云端专家运营模式在国外发达国家接受程度较高,一来国外人力成本较高,安全人员稀缺,驻场费用较高,二来国外用户接受远程托管运营的理念,在把事情搞定的同时又能大大减少成本开销,显然远程托管比本地驻场更具成本优势。在国外,接受云端托管运营的不仅仅是中小企业,很多大型企业,甚至金融和政府机构也都接受这种方式。在国内,随着用户对云化服务的接受度逐渐增加,一部分中小企业逐步接受云端托管运营的模式,加之等保合规等要求,很多中小企业有意愿将安全外包出去,只为安全的结果买单,以购买服务的方式替代传统买盒子的方式,一来降低买盒子带来的一次性成本开销,二来有人专门打理和运营,确保安全可以落地。我们看到,这两年MSSP(安全托管服务商)越来越多,提供远程托管运营的MSSP也越来越多,云端托管运营在被更多国内用户所接受,这个市场在逐渐被打开。
3) 云端智能运营(AI SecOps)
云端专家运营的下一个阶段就是云端智能运营,当基础运营数据积累到一定程度,就可以借助机器的力量,把大量已知的重复性的运营工作交给机器来完成,从而大幅提升运营效率,降低一般运营人员支出,高端专家则专注于发现新问题、解决新问题、形成知识和规则、最后交给机器执行。机器除了执行重复性运营工作之外,还可以为专家提供辅助决策支持,提升专家研判的效率和准确性。个人预测该领域在3-5年内会成为各大安全厂商的必争之地,甚至会有不少公司专营这个领域。
6. 为什么选择云端安全运营模式(SaaS安全运营)?
客观上,安全专家资源奇缺,无法给每个用户分配驻点资源,更无法提供7*24驻点运营,驻点人员水平和能力参差不齐,无法保证运营质量和运营标准的统一,情报和知识在用户侧形成信息孤岛,无法共享和流通,不利于全视运营。云端安全运营通过团队运营的方式,优化专家资源配置,形成7*24运营能力,可及时解决各种突发问题;通过共享团队知识和经验,发挥各类专家特长,形成专家会诊能力,可集中优势兵力解决重大问题;通过情报和知识的流转,提升数据交换价值,形成跨产品、网络、用户、行业、区域的全视安全运营能力,可全局预测威胁趋势,主动预防重大风险;通过基础运营大数据的积累和挖掘,利用机器之能大幅提升自动化运营效率,提供辅助决策支持,提升专家研判能力,进一步提升安全运营的智能化水平。
这几年CrowdStrike已然成为安全行业的顶级厂商,真的是因为它的产品牛逼么?在我看有七分功劳应该归属其背后的云端专家运营团队,如果产品没有把客户端的数据都上传到云端,如果没有云端专家和大数据的智能运营和分析,很难想象最终产品效果会是什么样子,CrowdStrike的成功,很大程度上在于打通了产品、数据和运营这几方面的关系,让其更紧密地产生价值。国内很多安全厂商也在学习和效仿CrowdStrike的安全产品,殊不知,隔离网之下是难以创造下一个CrowdStrike的。
7. 用户可接受的三种云端安全运营模式
较之本地驻点运营,云端安全运营在国内的可接受程度看上去并不高,但不代表没有突破的机会,结合过往的安全运营实践,我们看到三种用户可接受的云端运营模式:
1) 云端托管运营
厂商通过云端(远程)对用户的大部分安全业务实现托管运营,常见用户有区域中小企业,还有类似运营商和IDC此类具备托管属性的影子甲方。
2) 云端联合运营
所谓联合运营,是指用户有自己的安全运营团队,但能力和经验不足,厂商提供云端专家团队,通过远程协作的方式配合用户的运营团队依照相关标准和流程实施各类安全运营。潜在用户包括各地的城商行、小金融等,他们的安全需求很高,也有自己的安全运营团队,但较之四大行,其安全运营能力无法自足,因此,他们需要借助厂商的高端专家能力共同运营,联合运营模式是他们可接受的方案之一。
3) 云端咨询运营
用户的安全运营工作大部分依赖自己本地的运营团队完成,但对于高端安全运营专家咨询有一定的需求,比如,咨询当前流行的威胁情报,最新的网络攻击事件详情,如何检测和研判一个新型攻击,如何改进和提升安全运营的质量和效率,如何自建安全运营知识图谱等等。云端的安全专家就像远程坐诊的老中医一样,可随时针对用户的各类疑难杂症或疑问提供咨询和建议,承担7*24安全顾问的角色,虽不直接参与一线运营,但在关键问题上可给予专业的指导和意见,陪伴用户打造和提升自身的安全运营能力。
8. 安全运营体系建设六要素
为实现安全运营的最终目标,需要建立健全对应的安全运营体系,一个完整的安全运营体系至少需要以下六个要素:
1) 团队
作为厂商,组建一个完整的面向用户的安全运营团队需要四层人员架构支撑:中央军、地方军、民团、家丁。中央军是厂商最优秀的高端安全专家团队,坐镇大后方,统筹规划管理,统一协调指挥,具备顶层建设和指导能力,兼顾重大活动、重大事件的安全保障和应急响应,以及重案要案的分析和研判,同时支撑各区域和行业的安全运营团队;地方军是厂商在各个区域和行业驻扎的安全运营团队,通常团队中有少数管理和技术能力较强的带头人,负责相关区域和行业内各用户的安全运营工作;民团指区域和行业的安全运营合作伙伴,是区域和行业安全运营资源的重要组成部分和机动力量;家丁,顾名思义是用户自己的安全运营人员或厂商及合作伙伴的驻场运营人员。这样的分层架构有利于把安全运营按照紧迫性、重要性、复杂度等进行资源划分,兼顾平时和战时,短期目标和长期目标,可有效协调各级人力资源配比,优化人力资源结构。安全运营人员的培养同样也可以按照层次化、梯队化的思路开展,以适应不同级别不同岗位的用人要求。
2) 资源
安全运营所需资源大概分三类:平台资源、工具资源以及数据资源。一部分平台用于对接用户的各类安全产品和安全数据,比如SIEM或SOC,部署在本地或托管在云端,另一部分平台用于远程托管运营和分级运营,对接用户侧的各类数据和后台运营资源;工具资源主要是安全运营人员日常用到的各类工具,包括自动化运营工具等;数据资源主要是安全运营人员针对威胁分析研判时所用的第三方数据,如威胁情报等,在业务赋能模式中,数据资源对安全业务的支撑则更为重要。
3) 技术
安全运营所需技术集合中最具挑战是针对高级威胁的检测和响应,对应的核心能力主要体现在MDR的事前、事中和事后三部分,另有专题介绍,这里不做赘述。
4) 标准
安全运营的近期和中长期目标一经明确,就需要围绕目标建立一整套运营方案和运营规范,配套相应的运营标准、制度以及考核指标。这一整套标准不是固化不变的,相反它需要不断迭代和优化。
5) 流程
安全运营全生命周期工作流程的定义、编排、执行及优化。厂商可提供标准的安全运营框架和主要工作流程,也可以根据用户的现状和规划情况进一步帮助用户梳理和优化流程。
6) 知识
安全运营会涉及到用户安全的方方面面,通过安全运营会积累海量的、内容繁多、类型丰富的基础数据,对这些数据进一步提取、加工和分析,日积月累不断丰富,逐渐可以形成庞大的安全知识图谱,最终会成为重要的竞争壁垒。
一个厂商面向用户所提供的安全运营体系建设,其实就是以上几个关键要素的建设。产商的核心能力、业务侧重点、价值主张不同,这几个要素的建设和落地也会千差万别,最终呈现给用户安全运营的特点也会不同。
9. 业务价值
安全运营,尤其是托管安全运营一定是即将开启的网络安全大市场,云化的安全托管运营一定也是重要的业务方向。通过云端安全运营,可以将原有本地驻点运营向云端迁移,优化资源配置,实现业务模式突破;复用专家资源和专家知识,可提高产品价值呈现,借助机器之能可降低边际运营成本,提升运营利润率;还能深入用户的安全运营核心业务,提升用户粘性,便于持续项目开展;通过全视运营,可提升数据的跨产品、网络、用户、区域、行业的流转,为更多用户带来使用价值。
完。
声明:本文来自白日放歌须纵9,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。