甲方乙方视角下的安全运营
一、甲方视角下的安全运营
0x1:甲方安全运营概述
随着国家对信息安全的推动,我国企业对于信息安全的意识和重视程度也在不断提升。很多优秀的企业对于自身的企业安全也自发提出了越来越多的要求。传统的安全建设往往聚焦于企业安全的某个或某几个环节,并不能兼顾统一运营,或运营成本耗费大量人力物力。不论在效率还是质量上都存在比较明显的短板。
近几年,随着大型互联网企业在企业信息安全的探索,逐渐提出了安全运营的概念。我们从传统的运营类的岗位类比,运营的职责是为了保证最终目标而不断诊断分析、提出需求或问题、推动优化、协调各方资源、完成闭环达成目标的一类工作。而对于企业安全的最终保证需求,也作为安全运营的职责,需要通过安全运营从业者对企业安全的各个环节进行诊断分析、提出要求需求、推进优化、协调资源等最终落地。
当然在当前的大环境下,甲方安全运营工程师往往会遇到各种各样的问题,为了保证企业安全在各环节上最终目标效果,往往要采取很多种方式、方法、产品、服务来实现,甚至有些甲方安全运营工程师会因此主动组织开发一些程序,使得整个环节变得更加可控。从甲方的诉求上,我们可以明显感到对于企业安全保障是甲方最直接最迫切的刚需。
0x2:甲方安全运营人员的职责和技能需求
安全运营人员的最重要的是解决问题的能力,在因地制宜规划安全运营体系、诊断企业安全状态、提出问题和需求、推进问题整改、协调各方资源最终实现运营落地闭环等关键节点上的体现尤为重要。因此甲方视角下安全运营人员应具备的技能可能是:
- 具有信息安全技术背景,对安全建设具有充分的认识和了解,具有信息安全管理经验,具有良好的清晰总结表达能力,能够利用自己的能力解决不同场景的问题。
- 具备一定的安全服务、开发、运维等相关知识背景,并且对于安全管理方案咨询有一定经验,能够根据不同场景问题提出合理的解决方案。
- 具有较好的沟通能力,可以在安全工程师、安全开发工程师、业务和研发之间进行良好的协作协调。
- 具有数据驱动意识,能够利用数据推动优化分析,并能够自主开发相关的工具。
- 具有较强的责任感,能够为达到目标主动进行各种优化和调整
0x3:甲方安全运营的具体内容
基础的安全运营是包括威胁情报、Web漏洞检测、流量监测、终端监测与防护、态势感知等内容,涵盖了企业应对各种网络攻击的措施。
安全运营就是根据所在公司和安全运营产品的需要,以任意多种方式配置安全运营生态系统的一种流程。其中包含的技术有信息数据搜集技术、安全信息与事件管理工具、工作流和漏洞响应管理与优先级排序、威胁情报与机器学习运营、风险管理治理与企业负面风险评估、工作流程与自动化数据处理等。
二、乙方视角下的安全运营
0x1:乙方安全运营概述
在乙方安全的概念逐渐普及,国内安全厂商逐渐从面向安全技术产品研发向面向客户需求靠拢的过程中,乙方安全厂商在面对客户的运营需求的过程中,也提出了很多自己的解决方案。
一方面乙方安全厂商具备提供相应服务的基础条件;另一方面根据行业趋势及企业安全成熟度,为了更好地适应市场环境推出相应的产品及服务也是迎合市场发展的需要。
乙方安全运营也从一开始的传统安全角度驻场服务,到提供相应安全运营相关平台,再到企业安全运营系列解决方案转变。
从安全运营的关注点上,乙方的视角更多地关注各关键环节防治管控上。乙方的视角安全运营可以根据不同资产所属区域进行相对详尽细致的划分,大致分为强控制区、区域控制、边界防护、暴露面。从支撑体系上又可以大致分为管理体系、技术体系、运营体系。通过对各体系内容的梳理可以更清晰地看出乙方视角中所关注的安全运营各环节的内容重点。
乙方安全运营概述如下图所示。
0x2:乙方安全运营人员的职责和技能需求
根据乙方安全运营服务能力的需求,在红队攻击、企业防御、运营改进优化、安全事件或隐患处置、威胁情报、技术赋能、安全管理等方面都有一定的需求或要求。
乙方对安全运营人员的技能要求相对于甲方的要求更为专业。
- 具有安全运营相关的暴露资产监测、安全防护管控策略、威胁狩猎、应急处置、安全运维等基本能力。
- 具有安全响应落地执行能力。
- 具有一定的软件开发能力,能够参与全周期安全运营工作、建设、开发等服务工作。
- 具有项目推动能力,对执行、记录、管理、评估、优化、联动等不同成熟度能够独立推动进行。
- 具有良好的沟通能力,能够辅助跟进分析安全运营环节中的问题,并能够辅助甲方安全运营负责人开展相关工作。
0x3:乙方安全运营的具体内容
因此乙方一般将安全运营定义为以资产为核心、以安全事件管理为关键流程、采用安全域划分的思想、建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。
三、甲方安全运营与乙方的区别
甲方和乙方的安全运营是一种相互补充,相互促进的关系。
- 甲方安全运营为结果负责,更关注解决问题的效果和效率,擅长利用系统的管理方法量化风险、统一管理、建立一套安全运营体系,通过落地优化流程将风险逐步降低。
- 乙方安全运营更加关注通用性和针对性,不同场景下通用的方案是什么,针对性的问题方案有哪些,并倾向于对风险的治理讲究策略的有效性,通过将乙方优势内容策略化、产品化,最终形成产品或服务辅助甲方进行安全落地。
简单地说,就是甲方注重结果效果和效率,乙方注重将自身安全积累通过产品服务形式输出,更注重有效性提升。
实际上从安全运营整体成熟度上看,一个成熟的安全运营需要有一个执行、记录、管理、评估、优化、联动的平台,而这个平台的开发不论是落在甲方自研还是借助乙方开发的平台而运用都是安全运营逐渐走向成熟的过程。
四、安全运营痛点
0x1:过多的安全设备告警
随着企业安全中安全产品的增多,安全运营工程师所要处理的安全事件告警正逐渐变得越来越多。而由于运营中所使用的产品的质量参差不一,导致产生的告警很多,尤其是在一些运营商或数据中心的场景下,安全事件的每日告警量正变得越来越多。甚至有些安全设备监测到的误报的成功的告警占所有安全事件80%。
在告警过多的情况下,有很多误报的告警没有办法第一时间处理和补救,因此导致安全运营人员在应对安全事件告警上显得力不从心,进而影响到日常运营过程中的工作效率。
0x2:大规模业务场景
没有适应性的安全运营平台可以直接使用。在很多互联网企业中,由于自身的业务系统相对繁杂,并且大规模的业务数据交互过程中想要做到安全运营,紧紧依靠传统的安全运营来应对是不足以应对其复杂的业务场景。
因此,企业要么采取自研平台的方法,要么使用相对检测功能强大且规则配置相对灵活一些的产品来应对。不论哪种方式都需要一定的成本来维护,但相对来说后者是绝大部分企业的选择。
0x3:告警误报问题
众所周知,浪费时间来判断一个误报的告警事件往往是一件很痛苦的事情。原因可能有两个,
- 一个是安全事件分析的时间成本、人力成本大幅增加
- 一个是误报的不仅仅是在判断成功的安全事件,还有在判断不成功的安全事件上由于误报导致漏报
因此,安全运营的过程中通过设备产品的选型、安全设备的策略更新、安全设备的自定义规则库的易用性上,将会是日常安全运营面对。
通常在很多场景下,某些业务数据出发误报情况也算属于特有的比较普遍的问题,这也同样需要自定义的相对灵活的告警配置来应对。
0x4:防御缺口
由于传统企业安全并未将各安全纵深防御产品作为一个整体运营,因此在鉴伤研判、追踪溯源等过程中存在较大的协作困难,往往需要频繁登录切换不同的产品平台查询对比数据分析关联,也因此往往在碎片化的数据分析中出现遗漏,造成防御方面的空白。
先进的威胁情报管理系统,在应对这一部分安全运营环节时可以扮演不同技术关联及关键数据关联的线索,在适当的环节共享或调用情报数据,起到协同分析研判的作用。当然我们还可以通过工作流的设计,按照级别设置自动化的应对措施,在触发时自动进行应对,来积极主动应对。
0x5:知识协同问题
除了安全产品外,安全团队的情报无法共享也导致无法第一时间与团队并行处理调查,这些调查工作往往相互隔离但又相互关联,一些关于对手的战术、技术和过程等调查记录应第一时间可以和团队共享。
0x6:混乱的环境
混乱的环境表现在,当需要采取行动的时候,各团队并未相互协作,并且效率低下,缺少一个团队之间互相协调监控任务时间表和结果的管理平台。例如,威胁监测分析人员、安全运营中心和事件应急团队人员之间应该可以协同工作,缩短应急响应和补救时间。