一 . 安全运营理念
现阶段,网络安全产业呈现出创新、变革的发展趋势,这促使企业不断探索新的技术和方法,来应对潜在的网络威胁。在这种形势下,安全运营作为网络安全常态化建设中的一项重要内容,被认为是应对现有网络安全挑战的有效方法。
1. 什么是安全运营
从狭义层面来看,安全运营是以 IT 资产为核心,以威胁事件管理为关键流程,利用安全运营平台,建立的一套实时的 IT 资产风险评估模型,是进行事件发现、风险分析、预警管理和应急响应处置的集中安全管理体系。
从广义层面来看,安全运营是一个将技术、流程和人有机结合的复杂系统工程,通过对已有安全产品、工具和服务产出的数据进行有效的分析,持续输出价值,解决安全问题,以确保网络安全为最终目标。
2. 协同安全运营体系
做好安全运营,首先需要构建起标准化的安全运营体系,协同“安全能力”进行赋能,协同“安全数据”提供决策,协同“运营能力”作为交付,通过这样的协同运营模式来发现问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化,从而实现网络安全。
安全运营包括了四大体系,分别是安全运营管理体系、安全运营支撑体系、安全运营服务体系、安全合规与检查体系:
安全运营管理体系解决安全组织、制度、流程的问题。企业需要根据国家信息安全等保相关规定、ISO27000 信息安全管理体系标准以及业界最佳实践等,建立起安全运营管理体系框架,将安全方针、目标、制度、规范、流程进行约束,界定日常安全运营的范围、职责和程序,规范日常安全运营行为,保障安全运营的有序、高效运行。
安全运营支撑体系解决安全运营的平台与支撑工具的问题。企业首先需要协同防火墙、防毒墙、入侵防御检测系统、Web 应用防火墙、漏洞扫描等安全防护类产品,建立从物理层、网络层、到应用层的整体安全防护措施;然后建立起统一的安全运营平台,协同各类安全资源,在进行安全风险感知的同时,开展安全管理、指挥调度、安全风险监测、事件应急处置等活动,依托安全运营中心开展持续的监控、检测、评估、整改、指挥调度等工作,形成网络安全运营的闭环管理。
安全运营服务体系解决安全运营周期性、日常性工作落地的问题。安全运营服务体系的关键在于运营人员的专业程度,专业化的安全运营团队需要开展安全事件的事中、事后处理,及时阻断或消除安全威胁,对发生的安全事件进行溯源,对产品、工具及服务产出的数据进行有效分析,查找引发威胁事件发生的原因,总结安全处理预案,调整安全技术策略,串联起发现问题、验证问题、分析问题、响应处置问题、持续迭代优化的整个安全运营生命周期过程。
安全合规与检查体系解决合规测评、风险整改的问题。企业首先需要根据安全管理制度和技术策略开展落实情况检查,查找制度、技术策略落实方面的不合规行为,促进制度与技术策略的有效落实,同时针对制度、流程方面的问题进行有效整改;企业还需要通过技术手段与人工检查分析等手段,对信息系统的安全威胁与脆弱性进行检查评估,寻找网络安全方面的弱点和短板,不断优化、完善技术策略。
因此,我们所说的协同安全运营体系,是指将制度流程、产品技术、专业人员以及安全数据进行协同,实现安全运营体系的整个闭环,保证我们的关键信息系统资产得到有效保护。
3. 动态安全运营
网络安全是动态的而非静态的,保证网络安全不能一劳永逸,需要树立动态的防护理念,攻击者技术不断更新,网络安全防御技术就要在与安全威胁的对抗中持续提升。这不仅点明了企业网络安全运营的要点,也指明了网络安全运营的方向,网络安全运营作为网络安全常规保障建设的一项重要内容,企业需要深入把握这一理念,持续推进安全运营工作。
此外,等保 2.0、数据安全法、网络安全法等法规制度的不断出台,促使我国的安全顶层设计逐步完善,也推动企业的安全需求从被动、静态、产品堆砌的安全运维向主动监测、快速预警、有效联动、准确处置的闭环式动态安全运营体系转变。企业需要的安全已经不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。
实现动态的安全运营,一方面需要安全运营围绕业务系统,随着威胁与响应、攻与防的变化而演进,从第三方独立视角,让产品、技术、平台、人员各司其职,协同发挥最大作用,从管理、制度、流程等多方面进行优化及改进安全建设,满足“解决安全风险”的诉求,实现业务动态安全的建设目标;另一方面需要建立快速、灵活的网络安全监控、预警、研判、决策、处置、追溯、报告机制,加强联系、调度、流程平台的建设,建立完善的安全应急处置预案,规范化应急指挥流程,加强对指挥流程的演练,增强第一时间对安全事件进行响应与处理的能力。
利用信息化手段促进安全事件的快速响应和处理是实现动态安全运营理念的重要体现。比如企业可以建立安全感知大数据平台,在传统的安全运营监控基础上,建立安全操作日志及安全设备类报警的大数据平台,并引入威胁情报建立安全大数据资源底盘。利用大数据分析技术及算法构建多种分析模型,对海量安全日志进行综合关联分析,实现对安全事件的预测,增强安全风险感知能力,辅助安全运营人员决策,提前对可能的安全事件做出处理,防患于未然;另外,企业可以通过建设网络安全 SaaS 云服务,在安全运营中心平台对安全监控、安全策略、安全事件调度管理的基础上,实现与安全事件流程的对接,在突发安全事件处理上可通过 SaaS 服务及时响应。
二 . 中小企业的安全运营挑战
当前企业网络管理人员基本上都具备了一定的网络安全意识,初步形成了一套网络安全运营机制,对日常网络安全运营工作具有一定的应对能力。
对于像银行、能源等头部企业,在安全建设上的特点是预算充裕、对业务的安全要求极高、普遍拥有规模不小的内部安全团队。在安全建设方面,他们也能够根据自己的业务系统去构建自身的安全防御体系。这类群体不仅自身非常重视安全运营,而且也拥有安全运营的能力。
腰部企业的特点是有一定的安全预算,对安全的关注重点在于合规,这一点同上面的头部企业有着明显的区别,但在内部安全团队建设方面,可能就只有几个专职甚至兼职的人员去做。这决定了这类客户的安全能力普遍较弱,安全团队从人员数量到人员素养都难以进行高效的安全运营。
中小企业是体量最大的群体。在数字化转型的过程中,更多拥抱数字化的其实是中小企业。这类群体的特点是,对业务的重视程度高于其他方面,因此在安全相关方面投入普遍较少,即便有预算也非常紧张,而在安全人员的配置方面几乎没有。因此,这类企业主要是通过购买简单的、标准的安全产品或安全服务来解决安全问题,其自身是很难有能力去做安全运营的。
新技术的大量引入和企业业务模式的变化也导致近年来网络安全事件发生更加频繁,勒索病毒、蠕虫木马、漏洞攻击、扫描渗透等网络攻击手段层出不穷。单靠被动响应,中小企业无法及时发现风险源头,也无法快速实现业务恢复,企业业务也因此会造成巨大损失。即使部署了大量的安全设备,企业也缺乏全局视角的安全管理和故障响应能力,因此中小企业的网络安全运营面临着严峻的挑战。
三 . 山石云·景赋能中小企业安全运营
面对中小企业客户所面临的网络安全运营挑战,山石网科基于动态、协同的安全运营理念,通过山石云 • 景——云端安全运营与管理平台,从产品、技术、平台和人员这四个维度,来帮助中小企业解决安全运营方面所面临的诸多问题。
山石云 • 景是一款 SaaS 化的安全运营管理平台,可以在云端为广大中小企业用户提供便捷、高效、高性价比的增值安全运营服务。用户可以通过 Web 和手机 APP 方式按需登陆使用,实时进行安全设备监控与运维、威胁发现与处置、资产管理与报表输出,实现在云端的一站式安全运营管理。
1. 协同安全运维,实时资源监控
山石云 • 景作为安全运营管理平台,首先能够对山石网科的安全资源进行统一纳管。山石云 • 景能够纳管包括下一代防火墙、入侵检测与防御系统、Web 应用防火墙、负载均衡、态势感知平台在内种类丰富的山石网科安全产品,协助用户梳理安全资产,实现高效监控与运维。通过对山石网科安全资源的纳管,企业实现了对产品维度的协同,为企业进行安全运营打下基础。
安全产品被纳管入山石云 • 景后,山石云 • 景首先会对安全设备资源情况进行实时监测,如CPU、内存、网络流量等信息,同时获取设备的系统信息、特征库信息以及授权时长信息等;可周期、智能地对安全设备下发巡检任务,针对潜在的问题和风险给出优化和处置建议,输出设备巡检报告;云 • 景还配置了设备资源使用的告警规则,支持多种通知的实时告警,帮助运维人员及时发现安全资源风险情况,让中小企业能够轻松实现对安全设备的运维。
2. 动态威胁发现,及时响应处置
山石云 • 景秉持动态、协同的安全运营理念,充分利用前沿技术手段构建安全事件的快速响应和主动防御能力,围绕业务系统,把持续的威胁检测、威胁分析和响应处置固化到日常中小企业安全运营的工作中。
威胁发现与分析方面,山石云•景作为整个威胁发现和处置流程中的循环主体,首先会从安全设备端获取威胁日志,原始日志到数据湖,并引入云端威胁情报引擎和云沙箱作为安全大数据资源底座,然后利用大数据分析技术及算法构建多种分析模型,对海量的安全日志进行综合关联分析,从而实现对安全威胁事件的准确预测。
响应处置方面,山石云 • 景发现威胁事件后会第一时间通过短信、邮件、站内信、移动 APP 等途径推送给安全运维人员,运维人员接收信息后可基于自身评估和判断进行威胁阻止,包括采取 IP拦截、一键断网等操作,实现威胁事件的快速响应和处置。
通过以上能力,山石云 • 景将平台和技术实现协同,帮助中小企业构建起以主动监测、快速预警、有效联动、准确处置为特点的闭环式可持续安全运营体系。
3. 增值托管服务,轻松安全运营
面对中小企业安全运营和运维的压力,山石网科充分发挥可持续协同安全运营理念当中人的作用,将安全产品、工具(山石云 • 景)和山石网科安全专家相结合,为用户提供高性价比的 MSS 安全托管服务,保障企业自身的网络安全。
在该服务中,山石网科安全产品以下一代防火墙、入侵防御检测、Web 应用防火墙等优势产品为基础,为客户提供单点安全检测和防护能力,同时将原始日志及检测结果上送至山石云 • 景平台进行关联分析;山石云 • 景作为安全运营的平台类工具,提供资产管理、安全监控、威胁分析发现、联动处置等平台能力,以动态的安全运营理念实现威胁的持续发现和响应处置;山石网科安全专家依靠多年来积累的安全运营管理和实战对抗经验,以多角度、多层次、全方位的安全运营理念,利用山石云 • 景平台,为用户提供高质量的安全运营服务。山石网科 MSS 安全托管服务真正地把产品、技术、平台、人员实现了高效协同,充分发挥出了协同安全运营的作用。
通过山石网科 MSS 安全托管服务,中小企业能够很大程度上减少在安全运营和运维方面的人员和成本投入,同时还进一步提升了企业安全运营的整体水平,让企业安全运营无忧。
因此,对于中小企业而言,动态和协同的安全运营是提高网络安全防御的一条可行通道,而能够践行这一理念的途径,采用山石云 • 景和 MSS 安全托管服务,不失为一种保障自身网络安全的高性价比选择。
参考资料:
1、安全内参公众号《安全运营的定义与核心目标》部分内容
2、中国信息安全公众号《关于网络安全运营实践思考》部分内容
3、中国信息安全公众号《网络安全运营与实践初探》部分内容
4、安全 419《从网络安全发展趋势看安全运营技术发展》部分内容
文章来源:网络