如何绘制网络安全运营的谷歌地图？

现代企业网络安全运营的核心并不是部署防火墙和杀毒软件等安全工具，而是要真正理解安全防御的机制、人员分工和协作流程。正如Google Maps（谷歌地图）彻底改变了驾车出行时的导航模式一样，通过流程映射绘制一张指导网络安全运营的“电子地图”，可以彻底改变组织理解和管理网络安全运营工作的方式。

我们过去常常依靠纸质地图来进行导航，这种行为既危险又不方便。出于便捷和安全考虑，Garmin和TomTom等公司花费巨资研发“逐向”（turn-by-turn）导航GPS系统。而当“谷歌地图”问世后，纸质地图的时代被彻底终结，逐向导航模式变得不可或缺。

除了更加便捷和智能，“谷歌地图”还演变出了很多新的用例，人们可以像使用搜索引擎一样使用地图，获取目标单位的评级、营业时间、服务类型或商品数量等。

而在网络安全的场景中，多数组织目前仍在使用“纸质地图”来指导网络安全运营工作，例如：以手动方式更新的任务表格；以人工方式解析日志文件；依靠安全专家的人工分析实现事件串联；通过集中式的会议部署安全事件响应流程。这正是网络安全运营工作既痛苦又耗时的根本原因所在，同时也是当今网络安全防护效率低下和偏差的重要原因。

从本质上说，组织的网络安全能力建设是一个持续的运营过程，而不是大量产品的堆叠。而无数的实践表明，人类在处理视觉信息时会比处理其他格式的信息更高效。对于网络运营领域的“谷歌地图”，运营人员会有一种与生俱来的“导航”（mapping）感。

在线地图工具是历史上最受欢迎的应用之一，这是有原因的。通过将这些经验应用于网络安全领域，我们可以利用地图的力量来提高网络安全团队的效率，并最终清晰地获得一幅可以让我们不断学习和改进的安全运营“行动指南”。

那么，如何才能将网络安全运营工作从“纸质化”和碎片化的低效模式，转变为一个可提供类似于“谷歌地图”的“逐向”可见性和智能规划模式呢？答案就是采用流程映射思维并构建安全旅程的实时可视化表示，即建立一个智能化安全工作流的“谷歌地图”。而组织可以参考以下步骤，绘制适合自己的网络安全“谷歌地图”。

企业并不需要映射组织中所有的数字化活动内容，只需跟踪和关键安全流程或工作流相关的重要元素和工具即可，其中包括：

ㆍ确定关键流程：从最重要的安全工作流开始。这可能包括事件响应、漏洞管理、威胁猎杀、重要数据保护或合规性审计等。

ㆍ绘制地形：将每个流程分解为单独的步骤，并准确了解谁牵涉其中？采取了什么行动？使用了什么工具？确保对每个流程的分解要细致入微。

“谷歌地图”的奇妙之处在于通过强大的视觉体验就能够直观地展示并简化目标路径。对于安全运营工作而言同样是这样，组织需要遵循如下原则：

ㆍ选择合适的绘图工具：有许多选项可供选择，从具有动态节点的简单流程图软件到专门的网络安全流程绘图平台。理想的工具将允许安全运营者创建动态的、交互式的流程图，可以实时更新，并根据任何关键属性（角色、条件、位置、流程类型）对其进行过滤。

ㆍ与重要安全工具集成：要将地图链接到SIEM、访问控制、端点管理、电子邮件和安全编排等工具。这才能使这份“地图”实时反映当前的安全运营操作状态，并以可视化的方式展现谁做了什么，以及是在什么时候发生的。工具集成的同时，还应该在可视化流中提供交互的时间轴，以便运营者可以轻松快速地浏览感兴趣的流程。

ㆍ构建地图：这份地图必须提供完整的活动链以及对嵌套操作和反应的可见性，以正确捕捉网络安全团队导航其工作的方式。因此，需要将每个过程的步骤连接成一个可视化的流程，使用颜色编码来突出不同的团队、状态或潜在的瓶颈，还可通过添加注释和标记来提供上下文。

当已经建立关键安全流程的地图和可视化任务后，组织可以部署一个功能强大的安全商业智能（BI）工具，以实现可视化地检查和分析不同的流程如何导致不同的结果。这是安全性能调节中很关键的部分——优化人的因素，要真正了解运营人员你实际在做什么，而不是仪表板显示他们在做什么。为此，组织可以遵循如下方法：

ㆍ按类型分析流量模式：映射特定类型的事件如何流经流程以及如何执行不同的任务。哪里有延误？有没有什么不在设计中的实现路径？运营人员是否会跳过规定步骤或不遵守规定？他们是否在自作主张地“优化”流程？

ㆍ调查特定事件：使用当前的电子地图调查特定事件或操作，从响应妥协指标（IoC）到修复高危零日漏洞。看看究竟发生了什么？或者错过了什么？

ㆍ识别流程风险并优化剧本：更新您的流程以简化工作流，消除不必要的步骤，并自动执行重复的任务。

对于改善网络安全运营成效，“谷歌地图”是一个了不起的产品。但是就像在使用“谷歌地图”时，我们也不可避免地会遇到过错误。类似地，组织的安全运营流程地图也需要不断更新，才能跟上组织、工具和流程中的变化。组织的安全环境在不断变化，因此需要定期检查和更新网络安全地图，以映射新的威胁、工具或流程。