网络安全运营介绍

网络安全运营是什么？

如何将现有的安全防护工作做得更好的这个过程就是安全运营的核心体现，换句话来说，安全运营的核心就在于提升和持续输出价值，对于企业网络安全防护建设来说，如果只按照等保标准开展那企业的安全得分就是60分勉强及格而已，而安全运营工作则是通过不额外增加安全设备的情况下，将企业的安全得分提高到85分，那剩下的15分则是因为现有体系建设中存在我们安全能力覆盖区域的空白，而缺失的能力并不能通过安全运营工作去凭空创造。

网络安全运营建设阶段

安全运营工作覆盖到了整体安全防护工作当中的方方面面，而安全运营的理念在不同的安全建设阶段的展现也不同。

第一阶段：设备闲置阶段

企业按照等级保护的标准采购各类安全设备，无专门的安全人员发挥设备应有的价值，该阶段称之为设备闲置阶段，防火墙负责访问控制，WAF负责web应用防护，IPS负责入侵防护，态势感知负责整体安全防护，但仅仅依靠设备本身的防护能力往往是不够的，可以说这些设备在企业内部发挥的安全作用微乎其微。

安全运营理念在设备闲置阶段的体现则是建立常态化的日常防护工作，将仅仅依靠设备本身的安全能力提升为由人利用安全设备保障企业网络安全运行。通过建立常态化的日常防护工作发挥设备应有的安全能力，在这一个阶段是从单纯设备的防护模式转变为“人+设备”的防护模式，网络安全的本质依然是人与人的对抗，而人是整个安全运营从始至终不可缺少的一环。

第二阶段：能力挖掘阶段

能力挖掘阶段顾名思义就是挖掘企业安全防护能力，从技术层面上讲，优化现有设备安全防护能力，减少设备误报，更新设备规则；从管理层面来讲，优化原有常态化工作模式，建立完善的管理流程。安全运营工作并不是通过各类安全设备的叠加增强安全能力，而是通过技术与管理结合的形式将企业现有的安全能力进行最大化展现。

第三阶段：运营转型阶段

运营转型阶段则是安全运营理念在每个不同的企业具像化展现，安全运营工作是要结合企业实际的工作场景，并不是1:1复制其他企业的安全运营模式就能够符合企业的发展需要。每个企业的安全防护体系面临的问题是不相同的，企业面向服务对象不同，企业业务不同，企业网络架构形式不同等等一系列的因素影响都会导致企业的安全防护需求不同，而运营转型阶段则是随着时间的积累，对于企业运行模式的了解，逐步衍生出符合不同企业自身的网络安全运营模式。

第四阶段：查漏补强阶段

查漏补强阶段则是在持续平稳开展运营工作后，通过日常的工作积累发现部分安全能力的缺失是无法通过安全运营工作提供，由企业领导测评估是否需要进行相关安全防护能力的补充。而查漏补强阶段也分为两部分，“查漏”部分是发现企业现有安全防护能力无法覆盖的安全区域盲点，需要结合日常运营的需求挖掘梳理企业需要建设的安全能力，并不是无脑接入未涉及的安全防护设备。

“补强”部分不同于能力挖掘阶段，安全设备本身是存在能力上限的，而补强部分是通过建设新的能力完善优化现有的安全运营工作。

查漏补强阶段应关注的问题一是企业的安全投入是否能够消除同等价值的安全风险隐患，企业是否面临相关风险，风险发生概率性，风险发生造成影响都是决定是否需要进行安全投入的参考因素。二是能力补强工作本身属于锦上添花的操作，不同规模的企业对于安全运营的需求标准其实并不一致，该阶段需要根据企业自身情况进行调整，不应该让锦上添的“花”成为安全工作开展的负担。

第五阶段：运营优化阶段

安全运营本身的核心就是提升，安全运营工作本身也需要优化，内部形成符合企业特色的安全运营的考核指标，例如：安全事件响应时长、处理时长、漏洞修复时间、威胁情报产出率、WEB检测规则盲区等指标，结合考核指标发现目前安全运营工作中存在的问题，梳理运营工作优先级，合理分配人员的工作精力，持续优化安全运营的工作模式。

网络安全保障体系

WPDRRC模型是信息安全专家提出的适合中国国情的信息系统的安全保障体系建设模型，包括六个环节和三大要素，六个环节包括预警、防护、检测、响应、恢复和反击，具有较强的时序性和动态性，可以反映出信息系统安全运营体系的能力。三大要素包括人员、策略和技术，人员是核心，策略是桥梁，技术是保证。三大要素落实在WPDRRC模型6个环节的各个方面，将安全策略变为安全现实。

网络安全运营工作场景

在不同的网络安全运营建设阶段，重点开展的工作也并不相同，按照实际工作中自身参与的部分工作进行梳理，形成了网络安全运营整体概念图，由基础安全设备提供安全能力，人员作为运营核心，流程作为保证，共同发挥作用。

安全设备仅提供基础安全能力，安全运营本身也建设在一定的安全能力之上，基础安全能力的覆盖面则决定了安全防护能力的上限。

基础工作为针对企业现有的安全设备建立常态化工作流程，为保障日常防护的需要，需要梳理内部安全架构以及资产情况，安排人员参与监控预警以及事件处置工作，企业内部定期开展渗透测试及整改加固工作。

运营工作则是针对常态化工作内容进行优化调整，包括明确组织架构，优化防护流程，对于公司现有设备策略进行调优，度量企业安全防护能力，预先梳理应急响应预案，提升实战攻防演练能力，同时加强溯源反制及威胁狩猎能力。

安全运营指标

01

检测到的入侵企图

入侵企图指的是未形成安全事件或后果的攻击探测行为，所有成功的入侵事件都可能由其发展而来。因此，企业应该将攻击者尝试获得非法访问的次数作为安全工作的衡量指标之一，这需要通过防火墙和SOC系统的日志来收集相关情报。入侵企图表明了企业面临的威胁总数量。企业安全运营普遍存在的一个问题是，当威胁预防机制奏效、很少发生事件时，管理者往往会错误认为本企业不再是攻击者的主要目标，但事实并非如此。

02

已经发生的安全事件数量

企业组织已发生的安全事件指的是攻击者已经成功实现的攻击行为，对组织的资产或数据造成了实际的损失。攻击者破坏企业信息资产或网络的次数可以作为衡量企业网络安全建设不足的重要指标。安全运营工作的一个关键方面是密切关注改变工具和流程是否会带来改进。通过汇集企业安全事件数量和发生率方面的数据，可以帮助企业确保落实到位的防御措施对保护企业的数字资产带来了积极影响。

03

网络安全事件严重程度

了解组织的网络入侵或数据盗窃的严重程度将有助于合理设定安全运营工作的优先级，以确保导致企业业务中断等严重网络安全事件不会继续发生。这个绩效指标还可以用来评估新的安全措施或流程是否切实有效。

04

平均威胁响应时间（MTTC）

威胁响应是指在安全事件检测与有效处置之间的事件应对情况。解决安全事件的总成本很大程度上取决于安全团队对突发事件的快速响应能力，响应时间越短，解决问题的成本就会越低。如果企业需要很长时间才能启动有效的响应机制和流程，这就反映出整体安全能力建设的不均衡。

05

平均威胁处置时间（MTTR）

迅速响应网络安全事件只是安全事件处置的一方面，平均威胁处置时间（MTTR）则可以反映安全事件发生后安全运营团队的处置效率有多高。如果跟踪这个指标，就可以评估调整安全运营策略将可以获得哪些好处。MTTR还可用于评估安全团队快速解决不同安全事件的能力，比如DDoS攻击、勒索软件攻击和数据泄漏等。

06

误报和漏报程度

网络安全运营需要依赖各种安全工具来识别和检测恶意软件或可疑行为，并在发现可疑情况时提醒安全运营团队。然而这类工具需要微调和定期维护，以免发生误报和漏报。跟踪误报和漏报的数量情况可以帮助团队确定各项安全工具的配置是否恰当。

07

漏洞补丁更新时间

网络犯罪分子正在大量使用威胁情报工具，以利用补丁发布和实际修补之间的时间差。因此，企业应准确了解实施应用程序安全补丁或缓解CVE列出的高风险漏洞需要多长时间。典型的事例就是勒索软件“WannaCry”的广泛破坏，虽然其所利用的“永恒之蓝（EternalBlue）”漏洞很快就被修补，但由于很多企业的补丁更新工作不够及时，结果还是沦为了受害者。

08

漏洞评估结果

漏洞扫描工具会针对IT系统和用户设备运行测试，查看它们是否针对已知漏洞进行了修复，并识别其他潜在的安全问题。漏洞评估结果会列出各种新的和仍然存在的漏洞、风险评级、漏洞得逞/失败率及其他数据。如果将该信息与漏洞修复时间这一指标结合使用，企业就可以确定是否应该分配更多的资源来保障漏洞管理工作。

09

内部用户的访问安全性指标

企业负责人可能会认为网络安全威胁主要来自企业外部。然而在很多数字化企业中，针对内部用户的网络安全指标显示，内部威胁是更为严重的问题。收集和分析员工的访问权限以及应用程序和数据访问方面的信息，可以表明内部安全问题以及需要对用户访问控制所做的更改。

10

网络整体流量数据

虽然企业网络中的整体流量数据量不是严格意义上的安全度量指标，但对于识别潜在威胁、确定安全工具和流程的可扩展性大有裨益。网络流量的变化（无论是逐渐的变化还是突发的变化）都可能表明恶意软件入侵或其他类型的网络攻击。该度量指标还有助于证明需要新的或升级的安全措施。它有助于传达这个观念：随着网络使用量增加，用于保护网络和IT系统的资金应该随之增加。

11

安全审计和渗透测试次数

网络安全运营工作应该包括一系列的安全性审计、风险评估、渗透测试及其他检查，这样才可以确保安全流程和工具发挥正常功效。但是组织的安全运营团队往往日常任务负担过重，导致这些重要的工作被延迟或遗忘。在此背景下，组织应该通过跟踪安全审计和渗透测试等任务的次数，了解网络安全运营工作中是否有存在疏忽的环节。

12

与同行横向比较的安全基准

安全团队向董事会级别进行工作报告时，一种重要的主题就是，企业目前的网络安全状况如能力，与所在行业的同行企业相比如何。这些汇报信息和评价指标更容易被管理层所理解，且在视觉上更加具有吸引力，容易受到非专业型领导的关注。从某种意义上说，与同行横向比较的安全基准是一个“比较指标的指标”。这样的基准测试有助于确定IT安全团队与同行相比是处于正常水平还是需要重新调整。

总结

人、数据、工具、流程共同构成了安全运营的基本元素，以威胁发现为基础，以分析处置为核心，以发现隐患为关键，以推动提升为目标通常是现阶段企业的安全运营的主旨。

安全运营更像是技术和管理的合理结合，通过人员的培养，流程的定义，设备的优化最终帮助企业将安全体系建设做到符合企业实际情况的最优解，不刻意追求精益求精，也不忽略可解决的问题。

安全运营本身覆盖了安全建设场景的方方面面，针对企业的安全建设工作，安全运营更像是一个自由度极高的养成游戏，不同的人会有不同的运营方法和理念，不同的企业也需要不同的运营方式，企业的安全能力最终会被养成不同的方向，这也是安全运营工作最有趣的地方在于你需要经过你自身的思考去寻找最优解，这是单纯地看告警封IP所体验不到的快乐，网络安全运维工程师和网络安全运营工程师其实仅仅是一字之差，而两种岗位其实差距也就在于能否改变自身的想法从安全整体看待问题，运营是将固定的安全工作做出新的高度，运维是将自己的思想困陷在固定的安全工作当中，改变自己思维，以现有的安全工作为基，提升看待安全的视角，挖掘现有能够提升的空间，寻找能够解决问题的答案，这就成为了一名安全运营工程师。

原文始发于微信公众号（网络安全备忘录）：网络安全运营介绍