安全运营的那些事

admin 2022年5月11日11:02:50评论44 views字数 4175阅读13分55秒阅读模式

全文3714字,阅读约需12分钟


2021年注定是一个不平凡的开始年,生活中的我继续着摸啥坏啥的模式,让我着实感觉自己像极了网络攻击中的破坏者。我开始思考,是否应该有新的模式能重新定义安全运营?


安全运营是这些年网络安全领域最常见的话题,特别是在盒子工程大批量竣工后,传统需求型安全服务(eg.渗透测试、风险评估、安全加固等)已不能满足体系化、常态化、渐优化的安全需求,这时候以PPDR为原型的安全运营中心概念和操作模式应需而生。


 为什么我说安全运营或者叫安全运维早期的时候是以PPDR为原型呢?因为早期的安全运维源于IT运维。我曾经的老东家算是安全运营的先行者,仔细算起来,我搞安全运营这个事情,也有14年了。当时老东家是参考了汽车4S店的服务理念+ITIL的业务流程+开源的SIEM工具+驻场运维人员。先不说结果何如,但是这个模式放在现今安全运营体系下,有算不得过时。整个业务流程是:建设(集成)-巡检、安全检测-事件响应-处置-恢复。这套流程看起来是否熟悉?单单从流程执行上看,这就是个PPDR模型。


随着时间推移,先进客户的“理念+需求”升级,所谓高级别的安全运营服务开始在一些关基客户中应运而生,特别是运营商体系尤为明显,安全服务中心、安全管理中心的理念开始具像化,安全服务外包就是典型。服务的内容以多人7*24小时驻厂为主,提供常态化的日常巡检、风险评估、安全加固、应急响应、制度完善等服务。国内安全基线核查类产品开始应用,这类产品本质上就是通过一个脚本(play book)来做基础安全策略检测。进一步观察,这货是否可能会像极了今天我们所提及的SOAR。在我的记忆中,第一次在行业等保1.0标准规范中提到“安全管理中心”应该是在广播电视行业三级or+里独立成项,那该是11、12年的事情了吧。如今,安全管理中心已在等保2.0明确作为必选项。


再说说现在,网络安全体系建设的三大组件:技术、管理、运营。在这里我们只说安全运营。每个厂商都说自己独立的安全运营的能力,貌似看起来都似曾相识且合理。


首先,我们回归到做安全的初衷,为什么要做安全?因为资产有价值,所以就会被破坏者盯上,破坏者会想尽一切方法,找到漏洞,并通过漏洞拿到想要的有价值的东西。为了防止有价值的东西被拿走,那么我们就需要找出可能的脆弱性,进行加固,对关键节点进行实时监测,以实现防御、威慑、阻止等等。因此,安全的本质就是风险防范,这不仅仅只是在于网络安全领域。换句话说,一切不以脆弱性、不以风险为底线的安全就是耍流氓。


其次,就是要进行识别,解决看得见的问题。识别有什么用?就是有价值东西的梳理,看看其自身有没有什么脆弱性,再分析其面临的威胁,并结合已有的防御措施,来确定价值丢失的可接受程度。打个比方说,你明明受不了分手这个事实,非要去zuo,那不就是要掉自己半条命么,这和自杀有什么区别?


然后再是从技术和管理层面的防御措施,这里包括可能的盒子、传统的安全服务、人才岗位匹配等等。我不太想去详细叙述这部分内容,因为它的复杂性和普适性。前段时间我有开课讲这部分的内容,记忆中应该在2-3堂开放式的课才能梳理的七七八八。


后期的关键点还是放在了监测与响应部分。我在19年的时候,做过一个关于SIEM&SOC的发展研究报告,我拿了美国NASA做了研究对象。从整个技术发展趋势来看,在现今网络安全领域这个时间节点,不用SOAR的安全运营,好像会有些out。在我看来,此时此刻不提SOAR的安全运营的确很low,但是,大家真能做到SOAR?


SOAR更符合于甲方安全视角。这句话怎么理解呢?——我了解我家有什么,运转流程是什么,最优处置办法是什么。单看市面上的基础安全运维工具,态势感知平台、SOC、SIEM等,安装调试的工程师很多不具备基础攻防能力,单纯依靠工具自身的“场景库”,往往在客户现场的展现结果很是惨烈。所以更不用说现场调试的小伙伴能进行SOAR了。从我认知的角度而言,现今工具已相对成熟,如何使用“人才”将工具用起来,才是这个部分的关键。我的建议是,这部分的工作应该由“具备脚本能力的攻防工程师”来执行,而不是纯粹的安全售后工程师,而且这是需要依靠长期驻场服务才能完成的。很多厂商会说,安全人才的缺失,攻防人员驻场,这是多么不可能的事情。那这个时候,就要求甲方应根据岗位能力要求,提升自身人才队伍的能力。


我记得有一年RSA的议题是“Human Element(人的因素)”。一个完整的安全运营体系中,如果没有2-3个高级安全专家,所谓的SOAR也就是说说。安全人才在安全运营体系下也应该根据岗位职责分为不同的等级,就像脚本小子和工具小子是有区别一样。不同安全人才由于阅历、经历的不同,对安全事件的判断、分析和处理能力也是不同的。AI的深度学习,是需要大量数据模型来学习的,如果没有熟练的安全事件应对方法、数据、模型,怎能写出有效的play book?就更不用说真正依靠机器互动的SOAR了。这里的高级安全专家,是应该具备溯源和处置能力的安全专家,如果只是具备挖洞能力而不具备处置能力,这明显是不够的。


对于安全事件的处置,不得不说的一个点或者叫一个方面的输入——威胁情报。单一的情报源就像单点的IDS特征库,由于情报源的缺失,必定只能解决一部分的情报问题。因此,我认为,情报的获取应该是多源的。就像APT攻击,攻击组织会按照不同的对象采用不同的攻击手法,这些情报的获取、追溯,也不应该是一家独大的。至于情报的合规交易或者共享的问题,首先就需要形成一套标准体系。其次再是合规交易、共享的方式等等。美国的情报标准是STIX。以下是我从网上copy的材料:

(1)STIX 1.0定义了8种构件:可观测数据(Observation)、攻击指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(Threat Actor)、攻击目标(ExploitTarget)、攻击方法(TTP)、应对措施(CourseOfAction)在内的八个威胁信息构件。

(2)STIX 2.0定义了12种构件:Attack Pattern、Campaign、Course of Action、Identity、Indicator、Intrusion Set、Malware、Observed Data、Report、Threat Actor、Tool、and Vulnerability。2.0将1.0版本中的TTP进行更细致的描述拆分为Attack Pattern、Intrusion Set、Tool、Malware;从Exploit Target拆分出Vulnerability;从威胁主体(Threat Actor)中拆分出Identity、Intrusion Set;删去了Incident;新增了Report。


虽然,我国也有相应的标准:网络安全威胁信息格式规范GB/T36643-2018。遗憾的是,标准的遵循性可能还有所欠缺。就像,我从09年开始接触成型的SIEM产品,某信的LA。12年过去了,国内IT设施(服务器、交换机、路由器、云平台等),甚至包括网络安全设备的日志格式都不一致,往往日志的范式化/归一化又是基础数据的整理工作,也是最重要的次难点工作,如果不能对数据进行良好的治理,数据污染行为影响重要的数据建模工作,然后再是影响SOAR。前面已经说过了,数据处理的安全工程师的能力要求,这里是最好的需求佐证。


客户对安全运营需求的本质有且只有:快速止损及免责处置。所有不以安全风险防御为目的的安全运营都是在吹牛逼。请注意这里说的是本质问题,所以没什么好扯皮和矫情的事情。如何评价安全运营能力,就成了客户想要评价安全能力的硬性指标。我看过很多个版本的评价标准,这些标准绝大多数都是和“付款方式”进行关联。简单梳理一下内容,包括以下几个方面:行政类(迟到、早退、请假、换人)、能力类(服务人员资质)、服务类(响应时间、处置通道、巡检、评估、加固、重保、护网、事件分析、安全通告)。这些像极了我在11年左右看过的医疗体系评价指标。我不能说这些指标不好,可真能作为服务能力评价体系么?


回归到安全运营中心的本质:安全运营中心就是一个对外输出安全运营能力的机构。从项目管理的角度来说,安全运营中心作为一个项目,那么一个项目必然有输入、输出和工具。输入是情报、是数据,工具是SIEM、SOC、EDR、EPP、UEBA、安全人才等等,输出是安全服务的能力、安全事件的信息(大屏、文档等)。这些输出将会作为处置的输入,让整个信息系统或者整个行业、领域进行止损和形成组织过程资产(如知识库、情报库等)。这些组织过程资产的沉淀,最终可能形成事业环境因素(政策法规、行业标准、指南等等)。回头看看上一段提到的考核和交付标准,真的就能符合本质的需求?答案可能就是否定的了。


如何去指定一个有效的标准,说实话,这部分我还没有完全的想明白。但是,我开始思考一些相对通用的评估、评价能力体系标准。旨在提升安全运营的能力,更是在尝试让人+工具能够更好的协同起来。


没有目标的网络安全建设是没有灵魂的,所以安全运营中心还应该具备“安全规划”的能力。从字面上来解读:安服人员应具备规划能力。字面的解读往往是片面的。依旧回归到安全的本质:保障资产安全,抵御安全风险。安全运营中心必定是网络安全风险数据、信息最集中的部门或者区域。这些数据、信息将作为网络安全规划的输入。通过结合企业战略、网络安全方针、最佳实践、对标、先进技术、干系人需求等输入,通过高级规划专家的整合和沟通管理,每年应在预算周期前,形成干系人认可的下一年度计划,从长远角度来说,更可以说3年计划,5年规划等等。所以,不知道安全风险、不知道需求就在写解决方案、规划本子的,那就是玩PUA,能套一个是一个。


通过安全运营和客户的结合,那应该是:一开始对你有好感,然后慢慢的喜欢,渐渐的爱上,最后形成习惯。


写在最后:2021年初我有完成《网络安全的能力成熟度模型》的编写,普适于信息系统的网络安全建设。至于安全运营的能力成熟度及评价指标,路漫漫其修远兮...


KKutstar.Wu

2021.03.08


写在2021年的春天.


原文始发于微信公众号(网络安全游魂):安全运营的那些事

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月11日11:02:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全运营的那些事http://cn-sec.com/archives/598812.html

发表评论

匿名网友 填写信息