2024年1月14日22:45:07评论26 views字数 4074阅读13分34秒阅读模式

文章字数3800+，主要内容为作者近5年的安全运营实践经验。感谢许总、璐哥、荣姐的帮助。回馈关注的朋友们，坚持分享，只要人还在，分享不会停。主要内容：一、安全运营的逻辑架构设计与实践；二、安全运营技术架构设计与实践；三、五年安全运营实践心得；四、安全运营的现在和未来；五、后续分享计划。

一、安全运营的逻辑架构设计与实践

安全运营在国内火起来已经有5年了，从2018年开始我们就一直在跟进，见证并实践了它的整个发展过程。要讲清楚安全运营不是一件容易的事，国内也有非常多的大佬在试图定义，想讲清楚安全运营。

我的逻辑是一个事物有什么用它就是什么，知道如何用才能产出价值，而知道定义有什么用？想做到物尽其用，需要掌握事物的原理，做到知其然知其所以然，才能做到不滞于物，草木竹石均可为剑。所以，要搞清楚安全运营的外在生态和内在逻辑。讲生态和逻辑的框架有很多，本次我们用IT人熟悉且非常经典的计算机IPO设计模型。

计算机的IPO设计模型（输入、处理、输出）可以用在任意事物上，它可以非常简洁的把前提条件、如何实现、目标说清楚。和我的思考框架相同，它可以向内推理结构，可以向外推理生态，且可无尽循环。所谓一花一世界，讲的就是向内推理结构，且可以无尽循环的向内推理，与西方无尽拆分物理最小单元的逻辑相同。

此逻辑架构图的设计，与我的工作环境有强关联，大的逻辑可以参考但细节最好不要。关键信息在图中已经展示，下面仅对运行逻辑图进行简单的介绍。

第一层逻辑，计算机输入、处理、输出（IPO）模型，其中输入（I）和输出（O）是安全运营的外部环境，输出是对信息安全整体负责的部分，输入是需要驱动和资源，而处理（P）是安全运营的内部结构。

第二层逻辑，安全运营内部结构（P），核心还是对资产、漏洞、威胁的运营。威胁运营第一，主要是安全事件、安全告警。漏洞运营第二，此处说的漏洞与脆弱性同义，vulnerability的通俗翻译就是漏洞。资产运营第三，主要是服务器、终端、网络设备、IOT等。支撑运营第四，主要有系统存活、安全验证、自动化、攻防对抗、复盘等等，其中自动化、攻防对抗、复盘最为重要。

第三层逻辑，资产、漏洞、威胁的内部结构。资产管理方面的实践见文章《安全资产管理进阶实践》，漏洞管理、威胁管理的实践后面会陆续写文章详细分享。

二、安全运营技术架构设计与实践

安全运营技术架构图各家都有且差异较大，之前也画过多个版本，但都不满意。近期在许总的提示下请教了璐哥，前后花约一周时间，完成如下架构图，期间思路卡住时请教了荣姐，在此特别感谢许总、璐哥、荣姐的帮助。下面主要介绍设计思路和模块的重点。

第一层逻辑，安全业务逻辑，核心是工具层、能力层、场景层，外加门户和资产支撑。安全工具层，主要是原生的安全系统，虚线代表非实体系统，用于掌握安全工具的覆盖、运营状态。安全能力层，主要是从安全设备中抽象出安全能力，用于掌握安全能力覆盖、运营状态。安全场景层，主要是从安全能力中抽象出安全场景，用于观察安全场景的覆盖、运营情况。安全门户层，主要是将各个安全场景管理起来，汇报非常重要。

第二层逻辑，主要是分层之后的各层运行逻辑。安全工具层，采用的逻辑是非常经典的纵深防御（DiD），公认很有效的架构，认可度和通用度都很高，可基于需求覆盖IT服务的核心过程。安全能力层，采用的逻辑是NIST的网络安全框架IPDRR功能模块，和自适应安全架构（ASA）类似，在权威、通用、易懂方面有很大的优势。安全场景层，采用的逻辑是风险管理的三大模块（资产、漏洞、威胁）为基础，再加上运营模块。

第三层逻辑，主要介绍一下安全场景中的运营，事件、告警、漏洞、资产为核心运营对象，攻防对抗、需求管理为主要输入，策略优化、复盘、学习会持续提升。其它的第三层模块设计类似，不再一一介绍。

三、五年安全运营实践心得

以下内容会从时间线或一二三个阶段聊起，以方便安全运营在不同阶段的朋友参考。

1、原则进阶，从三同步，到三跟进原则。

我翻了一下笔记和文章记录，是在2018年7月之前在公司内首提三同步原则（圈里是不是首提不确定），在近5年工作实践中发现基本不可能，同步规划不可能，主要原因是安全是铠甲（属性），只有IT规划完才能基于IT规划做；同步建设不可能，主要原因是安全供应商滞后，根本没有好的方案和设备；同步运营也不可能，主要原因是安全人才滞后。作为理想还行，但不切实际。

2、工作进阶，从随机，到全面，到重点。

安全运营第一阶段，工作逻辑是来什么就做什么，虽无规划但这种自适应的工作方式效果还是比较好的，至少干的事之中大部分是重点工作。

安全运营第二阶段，工作逻辑是全面开攻，这种工作方式的效果是最差的，导致全员疲惫、工作进展慢，且无法保证做的是重点工作。

安全运营第三个阶段，工作中只处理重点工作，问题中只处理要命的问题，其它的后面排队，有时间就处理。个人认为安全运营工作中真正重要的事不多，最小的自恰循环，管好入侵响应、漏洞修复、攻防验证即可。有时间有资源再做情报收集、资产管理，其它的再向后排。

3、组织进阶，从专业，到成长，到梯队。

第一阶段，无团队管理经验，无团队人难招，对于人员的要求是专业即可，成长、表达、沟通、协作等均可让位。

第二阶段，有1-2年团队管理经验，团队3-7人规模，对于人员的要求是专业+成长意愿，无成长意愿的人不要招，用起来是非常痛苦的。

第三阶段，有3-5年团队管理经验，团队规模7人以上，对于人员的要求是专业+成长+梯队，人员分组形成梯队是第一要务，招一线成长为二三线，尽力不招二三线。

4、流程进阶，从无流程、到SOP，到SOAR。

第一阶段，无任何安全流程，工作质量依赖人员能力、责任心、抽查，一般情况下做好抽查工作即可。

第二阶段，编写标准作业流程（SOP），安全工作由于范围大（事多）且专业（精深），做SOP的难度和工作量都很大，导致收益很低；此外SOP从写到用之间经历转换层过多，且安全人员一般个性很强，看不看、遵从度、理解度、执行度都是大问题；结论是不建议。

第三阶段，上安全运营自动化系统（SOAR）之后，安全工作让安全人员直接写成剧本，只要控制好剧本质量，可以规避第二阶段大部分的问题，非常推荐；无法在SOAR上实现的安全流程，建议做到协作流程级别，不要搞操作流程。

5、工具进阶，从合规，到专业，到专长。

第一阶段，受限于监管要求、公司文化、采购合规、商业环境、领导风格、商务关系等等各种因素影响，最终使用实效最好的工具（安全产品或设备）的概率很低，只能说合规就好。

第二阶段，以安全运营目标倒推安全产品的要求，对于防御体系中对抗类的重要系统必须技术主导，否则安全运营工作根本无法保证效果；功能实现类可以其它因素主导。

第三阶段，攻防对抗类工具要求进阶，专业的同时还要考察供应商对工具的长久运营能力，工具背后如果没有一个攻防研究+攻防验证+产品研发的组合团队，那这个产品是没有未来的。

6、其它进阶，事件、告警、漏洞、资产、情报等等。

由于文章篇幅和时间精力问题，其它方面的进阶后期再单独文章分享，不在这里展开。《安全运营进阶实践》完整的PPT，在行业内已分享过多次，若有需要可加我微信找我要。

四、安全运营的现在与未来

1、SIEM已死，鲸落万物生。

我的实践环境和经验里，SIEM不适用于中小企业。SIEM约1995年出现，当时专业安全产品极少，只能通过收集各种系统日志写告警规则实现安全检测能力。它的短板非常明显，比如只能收信息不能控制安全设备，比如使用效果严重依赖写规则的能力。

安全行业经过几十年的发展，各安全领域大多有非常专业的安全产品，使用SOAR+安全设备的方式做安全运营，效果比SIEM好，投入比SIEM低，难度比SIEM低。详细可参考【极思】SOAR 或 SIEM 谁才是未来。

2、必经之路，运营自动化。

80%的安全运营工作自动化。自2020年到现在，我们已实践安全运营自动化三年，今年终计算出2023年新增的90+个自动化剧本，可节省22+人年；2022年的100+剧本未计算在内。自动化主要解决的是操作自动化的问题，无法解决决策自动化的问题，这是我们遇到的困难，也是未来要去的方向。

安全运营自动化的核心价值，不是自动化。相对于自动化节省的人力，让所有安全设备之间互联互通，让安全设备的能力一次接入处处可复用，让安全运营智能化成为可能，让安全运营从手工时代进入工业时代。

3、终极目标，运营智能化。

实现80%的事件和告警全秒级自适应处置，实现80%的漏洞自适应修复或预加固。同时这也是实现零改造零信任的甲方方案，可以说它是让零信任理念真正落地的唯一途径（至少目前是）。这是一个理想，不是梦想，因为实体画像的数据资产管理有了，安全设备的互联互通SOAR实现了，驱动决策的事件、告警、漏洞数据也有了，只差实体风险画像，策略计算输出，而执行SOAR的通道可以承载。
【极思】五年安全运营实践总结与未来思考