网络安全运营能力建设思路

一、安全运营能力建设的意义

安全运营成为网络运营者持续不断思考、优化的命题与活动。安全运营是一系列规则、技术和应用的集合，用以保障组织核心业务平稳运行的相关活动；是通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。安全运营需要明确安全运营的目标，从系统性、动态性、实战性的角度加强认识。

系统性

一是组织业务自身的系统性和完整性，二是针对防护体系的系统性和完整性。安全运营需要将构成业务系统完整运行的各个要素看成一个整体，防护体系的构建能够完整、有效的梳理并覆盖安全风险，不因遗落或木桶原理造成整体性影响。

动态性

IT技术的飞速发展使得网络攻击和防护水平能力不断提升，安全运营需要在不断迭代中提升管理和技术防护能力。同时，组织面临的网络安全风险层出不穷，除传统的外部攻击威胁，地下黑产驱动的漏洞利用，内部员工主动恶意行为都将导致组织业务系统的防护手段和方法要与时俱进，更是需要安全运营更加具有针对性，并及时调整工作流程和行为规范。

实战性

网络攻击具有突发性、隐蔽性、潜伏性、持续性等特点，安全运营也需要保证良好的网络安全攻防状态，有应对经验和攻防能力储备。安全运营团队不断进行深人思考与刻意练习，始终保持良好的预警监测、分析研判、处置总结的能力。

因此，网络安全运营能力建设通应坚持“事先防范、事中控制、事后处置”的理念，以安全治理为核心、风险态势为导向、安全合规为基础，结合组织基础安全能力，在人、技术、过程层面不断完善组织网络安全体系，满足安全运营的系统性、动态性和实战性的需求，不断提升组织安全防御能力。

二、安全运营能力建设的驱动力

2.1 合规层面

2017年6月正式出台《中华人民共和国网络安全法》，标志着网络安全工作已上升到国家层面，《中华人民共和国网络安全法》第一章第五条规定“采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。第五章“监测预警与应急处置”则将监测预警机制提到了一个全新的高度，要求各行业和各领域均建立完善的网络安全监测预警机。

2019年12月1日《信息安全技术 网络安全等级保护》正式实施，宣告等级保护进入2.0时代。等级保护2.0提出网络安全战略规划目标，定级对象从传统的信息系统扩展到网络基础设施、信息系统、大数据、云计算平台、工业控制系统、物联网系统、采用移动互联技术的信息系统；网络安全综合防御体系包含安全技术体系、安全管理体系、风险管理体系、网络信任体系；覆盖全流程机制能力措施包括组织管理、机制建设、安全规划、安全监测、通告预警、应急处置、态势感知、能力建设、技术检测、安全可控、队伍建设、教育培训、经费保障。

2.2 业务层面

随着组织的信息化程度不断加深，IT系统的复杂度与开放度随之提升，以人工智能、大数据、云计算、边缘计算等基础的新技术带来组织业务发展的新模式，对传统的网络安全模型带来了巨大的挑战。人工智能与大数据对组织的运作基础起到了颠覆性的作用，组织以往的运营模式进入了依赖大量非结构化数据和无关数据的机器学习和深度学习建立模型的人工智能模式；而云计算和边缘计算使组织从传统的自建机房建设模式下的计算基础设施转换为集约化运营的云端以及业务成为可能，从新技术对网络安全影响的角度分析，呈现出无边界、零信任、不对称的趋势，对网络安全提出了重大的挑战。

无边界

网络安全首先希望的都是把敌人拒之门外，网络安全体系一个关键的理念就像中国建设的长城和欧洲的马奇诺防线，无论从物理还是逻辑都是边界保护。但在目前的云计算、物联网、移动互联网技术演进带来的业务发展来看，这个边界的定义，面对前所未有的挑战。组织的IT系统依存的基础设施，物理环境从传统的自建，到公共IDC的租赁，硬件基础设施从传统的服务器、网络设备、存储到私有云建设，进一步延伸到公有云以及混合云的架构，IT系统从原来的业务功能模块化架构逐渐过渡到互联网企业的解决方案，把庞大笨重的业务功能模式架构拆解成无边界公共服务组合的业务模组，带来的不仅是建模、实施的复杂度，由于服务和运营可能是以应用即服务的云计算模式，IT系统的边界也已经跨越了传统意义上的边界。

零信任

对安全而言，另外一个绕不过去的核心概念是信任，而诸多安全机构的调研证明，内部风险往往是网络安全的核心问题。传统意义的信任包括人员的信任，如何识别内部人员的身份、角色与权限，另一个关键问题是外包模式带来的信任问题，包括在供应链管理，合作伙伴管理基础上带来的人员信任问题，这些场景中，不仅在于身份的识别与认证，还包括合格性的检查和监督管理。在信任的概念上，容易被忽视的是信息化系统的相关组件。在信息化系统开发、部署、实施过程中，除了购买商用的套件之外，组织为了满足高速的发展以及差异化带来的定制化需求，越来越多的采用第三方的开源软件，引入第三方的代码库，采用第三方的公共服务，而这些第三方的软件、组件、代码和公共服务的身份、权限往往可以访问组织的核心系统和核心资源，缺少信任机制的验证和监控，会带来重大的安全问题。数据同样是信任体系中不能被忽视的关键环节，在云计算、大数据、物联网、移动互联网背景下的数据，来源复杂，结构多样，如何确认数据的来源可靠，采集、传输、存储完整，可以信任是一个绕不过的问题。因此，在人员、设备、应用、接口、数据层面，在复杂的组织场景中，要以零信任作为网络信息安全的起点。

不对称

组织面对的攻击场景中，也不再是传统意义的无差别攻击，而是具有针对性的、长期持久的APT攻击和精准打击，无论出于何种目的，组织一旦被作为攻击对象，就会面临巨大的攻防不对称性。黑客攻击的漏洞挖掘，0day漏洞，黑客武器库，高精尖的攻击模式和攻击手段，对组织全方位的攻击，而组织出于投入产出比的原因，网络安全保障体系的建设投入资源不是无限的，这种攻防角度的不对称性，是组织网络安全体系不得不面对的现实情况。

2.3 风险层面

根据Verizon的全球安全事件调查报告显示，攻击者只需几个小时即可在不累积早期侦察和信息获取过程的情况下成功进行攻击和入侵。但是61%的公司或组织的安全部门需要数周甚至数月才能发现来自外部的攻击，然后需要数天至数周完成响应和修复工作。在Mandiant最新的高级安全威胁报告中公司或组织平均需要229天才能在黑暗中发现攻击者。更为令人担忧的是，只有33%的企业或组织发现了攻击本身。它是在被外部机构通知，暴露于黑暗网络甚至公共互联网后被发现的。Ponemon Institute对全球236个组织的1625起安全事件的统计数据发现，平均安全事件为43天。延迟发现和解决攻击的成本需要每天21555美元。针对全球安全现状，有权威机构大胆预测，到2020年，组织安全部门投入安全检测和响应的预算将高达60%，只是为了应对日益复杂的网络安全环境。组织面临的风险如下：

不可见的业务资产

看不清的新增资产。因为缺少安全检查与访问控制，成为攻击者攻入关键业务区的跳板；看不清的资产配置信息及开放的服务端口。由于缺乏安全访问规则的控制，它是远程访问的最佳方式；看不清的资产漏洞。由于没有适当的安全加固，最简单的攻击代码就能轻易攻陷这些主机。

不可见的业务关系使业务安全防护失效

目前大部分组织的安全防护的重点均停留在网络与业务系统方面，对业务与数据访问的防护还不健全。黑客在突破和绕过边界以后，往往利用合法用户身份对组织的关键资产进行非法访问，数据窃取与资产破坏工作。而这些访问往往只是正常的增删查改操作，并不需要借用攻击代码或恶意软件，传统基于网络和应用系统的防御措置往往无法识别这类攻击行为。

缺乏有效手段主动识别手段

内网潜藏威胁的不可见。IT服务向互联网，移动互联网和公有云的发展为攻击者提供了更多的攻击媒介，安全边界变得越发模糊；APT、0-day病毒、0-day漏洞、恶意软件欺骗与混乱、沙箱逃逸等技术是绕过传统防御的最佳方式；攻击工具集和攻击即服务的兴起使得攻防平衡日益失衡。

内部横向攻击的不可见。攻击者绕过网络边界后，无法检测到发生在内部的横向移动攻击边界防御设备的事件，例如，如内网嗅探、内网扫描、漏洞扫描、远程监控、攻击会话等，都是难以被发现。

违规操作的不可见。攻击者往往是通过社会工程学、钓鱼、以失陷主机为跳板等手段获取高级管理员的账号与权限；内部潜在的恶意用户也会通过窃取、窥探等手段获得合法权限。

异常行为的不可见。攻击者在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链条中，均会非常小心地隐藏自己的攻击行为。攻击者会将关键文件进行打包加密甚至隐写，所有的网络会话也会在加密通道上传输，而会话维持以及远程控制服务器的通信会夹杂在代理、VPN隧道、NTP、DNS等正常网络协议中混淆视听。

传统的安全设备无法检测到伪装成合法用户的攻击者。例如非授权用户对关键资产的违规访问、授权用户在非授权时间地点对关键设备的违规访问、授权用户对设备的非授权操作（如批量下载，批量加密，非法篡改等），都不能被有效的发现与识别。

三、安全运营能力建设总体设计思路

3.1 设计思路

3.2 总体框架

---

长按下方二维码或点击底部【阅读原文】查看完整文章内容

精彩推荐

本文始发于微信公众号（FreeBuf）：网络安全运营能力建设思路