一 . 安全運營理念
現階段,網絡安全產業呈現出創新、變革的發展趨勢,這促使企業不斷探索新的技術和方法,來應對潛在的網絡威脅。在這種形勢下,安全運營作為網絡安全常態化建設中的一項重要內容,被認為是應對現有網絡安全挑戰的有效方法。
1. 什么是安全運營
從狹義層面來看,安全運營是以 IT 資產為核心,以威脅事件管理為關鍵流程,利用安全運營平臺,建立的一套實時的 IT 資產風險評估模型,是進行事件發現、風險分析、預警管理和應急響應處置的集中安全管理體系。
從廣義層面來看,安全運營是一個將技術、流程和人有機結合的復雜系統工程,通過對已有安全產品、工具和服務產出的數據進行有效的分析,持續輸出價值,解決安全問題,以確保網絡安全為最終目標。
2. 協同安全運營體系
做好安全運營,首先需要構建起標準化的安全運營體系,協同“安全能力”進行賦能,協同“安全數據”提供決策,協同“運營能力”作為交付,通過這樣的協同運營模式來發現問題、驗證問題、分析問題、響應處置、解決問題并持續迭代優化,從而實現網絡安全。
安全運營包括了四大體系,分別是安全運營管理體系、安全運營支撐體系、安全運營服務體系、安全合規與檢查體系:
安全運營管理體系解決安全組織、制度、流程的問題。企業需要根據國家信息安全等保相關規定、ISO27000 信息安全管理體系標準以及業界最佳實踐等,建立起安全運營管理體系框架,將安全方針、目標、制度、規范、流程進行約束,界定日常安全運營的范圍、職責和程序,規范日常安全運營行為,保障安全運營的有序、高效運行。
安全運營支撐體系解決安全運營的平臺與支撐工具的問題。企業首先需要協同防火墻、防毒墻、入侵防御檢測系統、Web 應用防火墻、漏洞掃描等安全防護類產品,建立從物理層、網絡層、到應用層的整體安全防護措施;然后建立起統一的安全運營平臺,協同各類安全資源,在進行安全風險感知的同時,開展安全管理、指揮調度、安全風險監測、事件應急處置等活動,依托安全運營中心開展持續的監控、檢測、評估、整改、指揮調度等工作,形成網絡安全運營的閉環管理。
安全運營服務體系解決安全運營周期性、日常性工作落地的問題。安全運營服務體系的關鍵在于運營人員的專業程度,專業化的安全運營團隊需要開展安全事件的事中、事后處理,及時阻斷或消除安全威脅,對發生的安全事件進行溯源,對產品、工具及服務產出的數據進行有效分析,查找引發威脅事件發生的原因,總結安全處理預案,調整安全技術策略,串聯起發現問題、驗證問題、分析問題、響應處置問題、持續迭代優化的整個安全運營生命周期過程。
安全合規與檢查體系解決合規測評、風險整改的問題。企業首先需要根據安全管理制度和技術策略開展落實情況檢查,查找制度、技術策略落實方面的不合規行為,促進制度與技術策略的有效落實,同時針對制度、流程方面的問題進行有效整改;企業還需要通過技術手段與人工檢查分析等手段,對信息系統的安全威脅與脆弱性進行檢查評估,尋找網絡安全方面的弱點和短板,不斷優化、完善技術策略。
因此,我們所說的協同安全運營體系,是指將制度流程、產品技術、專業人員以及安全數據進行協同,實現安全運營體系的整個閉環,保證我們的關鍵信息系統資產得到有效保護。
3. 動態安全運營
網絡安全是動態的而非靜態的,保證網絡安全不能一勞永逸,需要樹立動態的防護理念,攻擊者技術不斷更新,網絡安全防御技術就要在與安全威脅的對抗中持續提升。這不僅點明了企業網絡安全運營的要點,也指明了網絡安全運營的方向,網絡安全運營作為網絡安全常規保障建設的一項重要內容,企業需要深入把握這一理念,持續推進安全運營工作。
此外,等保 2.0、數據安全法、網絡安全法等法規制度的不斷出臺,促使我國的安全頂層設計逐步完善,也推動企業的安全需求從被動、靜態、產品堆砌的安全運維向主動監測、快速預警、有效聯動、準確處置的閉環式動態安全運營體系轉變。企業需要的安全已經不再只是合規,而是能夠不斷自我迭代優化、演進、提供持續性能力輸出的安全運營保障體系。
實現動態的安全運營,一方面需要安全運營圍繞業務系統,隨著威脅與響應、攻與防的變化而演進,從第三方獨立視角,讓產品、技術、平臺、人員各司其職,協同發揮最大作用,從管理、制度、流程等多方面進行優化及改進安全建設,滿足“解決安全風險”的訴求,實現業務動態安全的建設目標;另一方面需要建立快速、靈活的網絡安全監控、預警、研判、決策、處置、追溯、報告機制,加強聯系、調度、流程平臺的建設,建立完善的安全應急處置預案,規范化應急指揮流程,加強對指揮流程的演練,增強第一時間對安全事件進行響應與處理的能力。
利用信息化手段促進安全事件的快速響應和處理是實現動態安全運營理念的重要體現。比如企業可以建立安全感知大數據平臺,在傳統的安全運營監控基礎上,建立安全操作日志及安全設備類報警的大數據平臺,并引入威脅情報建立安全大數據資源底盤。利用大數據分析技術及算法構建多種分析模型,對海量安全日志進行綜合關聯分析,實現對安全事件的預測,增強安全風險感知能力,輔助安全運營人員決策,提前對可能的安全事件做出處理,防患于未然;另外,企業可以通過建設網絡安全 SaaS 云服務,在安全運營中心平臺對安全監控、安全策略、安全事件調度管理的基礎上,實現與安全事件流程的對接,在突發安全事件處理上可通過 SaaS 服務及時響應。
二 . 中小企業的安全運營挑戰
當前企業網絡管理人員基本上都具備了一定的網絡安全意識,初步形成了一套網絡安全運營機制,對日常網絡安全運營工作具有一定的應對能力。
對于像銀行、能源等頭部企業,在安全建設上的特點是預算充裕、對業務的安全要求極高、普遍擁有規模不小的內部安全團隊。在安全建設方面,他們也能夠根據自己的業務系統去構建自身的安全防御體系。這類群體不僅自身非常重視安全運營,而且也擁有安全運營的能力。
腰部企業的特點是有一定的安全預算,對安全的關注重點在于合規,這一點同上面的頭部企業有著明顯的區別,但在內部安全團隊建設方面,可能就只有幾個專職甚至兼職的人員去做。這決定了這類客戶的安全能力普遍較弱,安全團隊從人員數量到人員素養都難以進行高效的安全運營。
中小企業是體量最大的群體。在數字化轉型的過程中,更多擁抱數字化的其實是中小企業。這類群體的特點是,對業務的重視程度高于其他方面,因此在安全相關方面投入普遍較少,即便有預算也非常緊張,而在安全人員的配置方面幾乎沒有。因此,這類企業主要是通過購買簡單的、標準的安全產品或安全服務來解決安全問題,其自身是很難有能力去做安全運營的。
新技術的大量引入和企業業務模式的變化也導致近年來網絡安全事件發生更加頻繁,勒索病毒、蠕蟲木馬、漏洞攻擊、掃描滲透等網絡攻擊手段層出不窮。單靠被動響應,中小企業無法及時發現風險源頭,也無法快速實現業務恢復,企業業務也因此會造成巨大損失。即使部署了大量的安全設備,企業也缺乏全局視角的安全管理和故障響應能力,因此中小企業的網絡安全運營面臨著嚴峻的挑戰。
三 . 山石云·景賦能中小企業安全運營
面對中小企業客戶所面臨的網絡安全運營挑戰,山石網科基于動態、協同的安全運營理念,通過山石云 • 景——云端安全運營與管理平臺,從產品、技術、平臺和人員這四個維度,來幫助中小企業解決安全運營方面所面臨的諸多問題。
山石云 • 景是一款 SaaS 化的安全運營管理平臺,可以在云端為廣大中小企業用戶提供便捷、高效、高性價比的增值安全運營服務。用戶可以通過 Web 和手機 APP 方式按需登陸使用,實時進行安全設備監控與運維、威脅發現與處置、資產管理與報表輸出,實現在云端的一站式安全運營管理。
1. 協同安全運維,實時資源監控
山石云 • 景作為安全運營管理平臺,首先能夠對山石網科的安全資源進行統一納管。山石云 • 景能夠納管包括下一代防火墻、入侵檢測與防御系統、Web 應用防火墻、負載均衡、態勢感知平臺在內種類豐富的山石網科安全產品,協助用戶梳理安全資產,實現高效監控與運維。通過對山石網科安全資源的納管,企業實現了對產品維度的協同,為企業進行安全運營打下基礎。
安全產品被納管入山石云 • 景后,山石云 • 景首先會對安全設備資源情況進行實時監測,如CPU、內存、網絡流量等信息,同時獲取設備的系統信息、特征庫信息以及授權時長信息等;可周期、智能地對安全設備下發巡檢任務,針對潛在的問題和風險給出優化和處置建議,輸出設備巡檢報告;云 • 景還配置了設備資源使用的告警規則,支持多種通知的實時告警,幫助運維人員及時發現安全資源風險情況,讓中小企業能夠輕松實現對安全設備的運維。
2. 動態威脅發現,及時響應處置
山石云 • 景秉持動態、協同的安全運營理念,充分利用前沿技術手段構建安全事件的快速響應和主動防御能力,圍繞業務系統,把持續的威脅檢測、威脅分析和響應處置固化到日常中小企業安全運營的工作中。
威脅發現與分析方面,山石云•景作為整個威脅發現和處置流程中的循環主體,首先會從安全設備端獲取威脅日志,原始日志到數據湖,并引入云端威脅情報引擎和云沙箱作為安全大數據資源底座,然后利用大數據分析技術及算法構建多種分析模型,對海量的安全日志進行綜合關聯分析,從而實現對安全威脅事件的準確預測。
響應處置方面,山石云 • 景發現威脅事件后會第一時間通過短信、郵件、站內信、移動 APP 等途徑推送給安全運維人員,運維人員接收信息后可基于自身評估和判斷進行威脅阻止,包括采取 IP攔截、一鍵斷網等操作,實現威脅事件的快速響應和處置。
通過以上能力,山石云 • 景將平臺和技術實現協同,幫助中小企業構建起以主動監測、快速預警、有效聯動、準確處置為特點的閉環式可持續安全運營體系。
3. 增值托管服務,輕松安全運營
面對中小企業安全運營和運維的壓力,山石網科充分發揮可持續協同安全運營理念當中人的作用,將安全產品、工具(山石云 • 景)和山石網科安全專家相結合,為用戶提供高性價比的 MSS 安全托管服務,保障企業自身的網絡安全。
在該服務中,山石網科安全產品以下一代防火墻、入侵防御檢測、Web 應用防火墻等優勢產品為基礎,為客戶提供單點安全檢測和防護能力,同時將原始日志及檢測結果上送至山石云 • 景平臺進行關聯分析;山石云 • 景作為安全運營的平臺類工具,提供資產管理、安全監控、威脅分析發現、聯動處置等平臺能力,以動態的安全運營理念實現威脅的持續發現和響應處置;山石網科安全專家依靠多年來積累的安全運營管理和實戰對抗經驗,以多角度、多層次、全方位的安全運營理念,利用山石云 • 景平臺,為用戶提供高質量的安全運營服務。山石網科 MSS 安全托管服務真正地把產品、技術、平臺、人員實現了高效協同,充分發揮出了協同安全運營的作用。
通過山石網科 MSS 安全托管服務,中小企業能夠很大程度上減少在安全運營和運維方面的人員和成本投入,同時還進一步提升了企業安全運營的整體水平,讓企業安全運營無憂。
因此,對于中小企業而言,動態和協同的安全運營是提高網絡安全防御的一條可行通道,而能夠踐行這一理念的途徑,采用山石云 • 景和 MSS 安全托管服務,不失為一種保障自身網絡安全的高性價比選擇。
參考資料:
1、安全內參公眾號《安全運營的定義與核心目標》部分內容
2、中國信息安全公眾號《關于網絡安全運營實踐思考》部分內容
3、中國信息安全公眾號《網絡安全運營與實踐初探》部分內容
4、安全 419《從網絡安全發展趨勢看安全運營技術發展》部分內容
