前言
本人最初在工作现场参与网络安全防护(监控告警封IP)工作,经过长时间的摸爬滚打,逐渐从一名只会监控安全设备的“黑铁”成长为对于整体网络安全运营工作有了初步的了解的“青铜”。而以下内容则是个人成长过程中对于网络安全运营工作的理解和思考,希望通过这个系列文章帮助大家更好的去做安全运营体系化建设。
网络安全运营理解
网络安全运营是什么?
如何将现有的安全防护工作做得更好的这个过程就是安全运营的核心体现,换句话来说,安全运营的核心就在于提升和持续输出价值,对于企业网络安全防护建设来说,如果只按照等保标准开展那企业的安全得分就是60分勉强及格而已,而安全运营工作则是通过不额外增加安全设备的情况下,将企业的安全得分提高到85分,那剩下的15分则是因为现有体系建设中存在我们安全能力覆盖区域的空白,而缺失的能力并不能通过安全运营工作去凭空创造。
网络安全运营建设阶段
安全运营工作覆盖到了整体安全防护工作当中的方方面面,而安全运营的理念在不同的安全建设阶段的展现也不同。
第一阶段:设备闲置阶段
企业按照等级保护的标准采购各类安全设备,无专门的安全人员发挥设备应有的价值,该阶段称之为设备闲置阶段,防火墙负责访问控制,WAF负责web应用防护,IPS负责入侵防护,态势感知负责整体安全防护,但仅仅依靠设备本身的防护能力往往是不够的,可以说这些设备在企业内部发挥的安全作用微乎其微。
安全运营理念在设备闲置阶段的体现则是建立常态化的日常防护工作,将仅仅依靠设备本身的安全能力提升为由人利用安全设备保障企业网络安全运行。通过建立常态化的日常防护工作发挥设备应有的安全能力,在这一个阶段是从单纯设备的防护模式转变为“人+设备”的防护模式,网络安全的本质依然是人与人的对抗,而人是整个安全运营从始至终不可缺少的一环。
第二阶段:能力挖掘阶段
能力挖掘阶段顾名思义就是挖掘企业安全防护能力,从技术层面上讲,优化现有设备安全防护能力,减少设备误报,更新设备规则;从管理层面来讲,优化原有常态化工作模式,建立完善的管理流程。安全运营工作并不是通过各类安全设备的叠加增强安全能力,而是通过技术与管理结合的形式将企业现有的安全能力进行最大化展现。
第三阶段:运营转型阶段
运营转型阶段则是安全运营理念在每个不同的企业具像化展现,安全运营工作是要结合企业实际的工作场景,并不是1:1复制其他企业的安全运营模式就能够符合企业的发展需要。每个企业的安全防护体系面临的问题是不相同的,企业面向服务对象不同,企业业务不同,企业网络架构形式不同等等一系列的因素影响都会导致企业的安全防护需求不同,而运营转型阶段则是随着时间的积累,对于企业运行模式的了解,逐步衍生出符合不同企业自身的网络安全运营模式。
第四阶段:查漏补强阶段
查漏补强阶段则是在持续平稳开展运营工作后,通过日常的工作积累发现部分安全能力的缺失是无法通过安全运营工作提供,由企业领导测评估是否需要进行相关安全防护能力的补充。而查漏补强阶段也分为两部分,“查漏”部分是发现企业现有安全防护能力无法覆盖的安全区域盲点,需要结合日常运营的需求挖掘梳理企业需要建设的安全能力,并不是无脑接入未涉及的安全防护设备。
“补强”部分不同于能力挖掘阶段,安全设备本身是存在能力上限的,而补强部分是通过建设新的能力完善优化现有的安全运营工作。
查漏补强阶段应关注的问题一是企业的安全投入是否能够消除同等价值的安全风险隐患,企业是否面临相关风险,风险发生概率性,风险发生造成影响都是决定是否需要进行安全投入的参考因素。二是能力补强工作本身属于锦上添花的操作,不同规模的企业对于安全运营的需求标准其实并不一致,该阶段需要根据企业自身情况进行调整,不应该让锦上添的“花”成为安全工作开展的负担。
第五阶段:运营优化阶段
安全运营本身的核心就是提升,安全运营工作本身也需要优化,内部形成符合企业特色的安全运营的考核指标,例如:安全事件响应时长、处理时长、漏洞修复时间、威胁情报产出率、WEB检测规则盲区等指标,结合考核指标发现目前安全运营工作中存在的问题,梳理运营工作优先级,合理分配人员的工作精力,持续优化安全运营的工作模式。
网络安全保障体系
WPDRRC模型是信息安全专家提出的适合中国国情的信息系统的安全保障体系建设模型,包括六个环节和三大要素,六个环节包括预警、防护、检测、响应、恢复和反击,具有较强的时序性和动态性,可以反映出信息系统安全运营体系的能力。三大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证。三大要素落实在WPDRRC模型6个环节的各个方面,将安全策略变为安全现实。
网络安全运营工作场景
在不同的网络安全运营建设阶段,重点开展的工作也并不相同,按照实际工作中自身参与的部分工作进行梳理,形成了网络安全运营整体概念图,由基础安全设备提供安全能力,人员作为运营核心,流程作为保证,共同。
安全设备仅提供基础安全能力,安全运营本身也建设在一定的安全能力之上,基础安全能力的覆盖面则决定了安全防护能力的上限。
基础工作为针对企业现有的安全设备建立常态化工作流程,为保障日常防护的需要,需要梳理内部安全架构以及资产情况,安排人员参与监控预警以及事件处置工作,企业内部定期开展渗透测试及整改加固工作。
运营工作则是针对常态化工作内容进行优化调整,包括明确组织架构,优化防护流程,对于公司现有设备策略进行调优,度量企业安全防护能力,预先梳理应急响应预案,提升实战攻防演练能力,同时加强溯源反制及威胁狩猎能力。
总结
人、数据、工具、流程共同构成了安全运营的基本元素,以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标通常是现阶段企业的安全运营的主旨。
安全运营更像是技术和管理的合理结合,通过人员的培养,流程的定义,设备的优化最终帮助企业将安全体系建设做到符合企业实际情况的最优解,不刻意追求精益求精,也不忽略可解决的问题。
安全运营本身覆盖了安全建设场景的方方面面,针对企业的安全建设工作,安全运营更像是一个自由度极高的养成游戏,不同的人会有不同的运营方法和理念,不同的企业也需要不同的运营方式,企业的安全能力最终会被养成不同的方向,这也是安全运营工作最有趣的地方在于你需要经过你自身的思考去寻找最优解,这是单纯地看告警封IP所体验不到的快乐,网络安全运维工程师和网络安全运营工程师其实仅仅是一字之差,而两种岗位其实差距也就在于能否改变自身的想法从安全整体看待问题,运营是将固定的安全工作做出新的高度,运维是将自己的思想困陷在固定的安全工作当中,改变自己思维,以现有的安全工作为基,提升看待安全的视角,挖掘现有能够提升的空间,寻找能够解决问题的答案,这就成为了一名安全运营工程师。
未完待续
安全运营包含了安全建设工作的方方面面,而我能够提炼总结也只是运营工作的冰山一角,后续本人将陆续通过这种浅谈的方式分享具体安全运营工作如何开展,从实际工作出发凝练出个人对于安全运营的理解,也想通过这一栏目文章的分享讲述安全运营工作从基础到进阶的养成过程,不管是从企业安全建设出发,还是从个人能力提升出发,我都希望我的想法能够为大家带来一点帮助,也希望我的想法在乐于交流同行的碰撞下能够为自己带来提升。
往期回顾
商务咨询:
0571-87031601
商务邮箱:
原文始发于微信公众号(雷石安全实验室):网络安全运营工作浅谈(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论