《企业如何快速提升安全运营水平.docx》由会员分享,可在线阅读,更多相关《企业如何快速提升安全运营水平.docx(11页珍藏版)》请在第一文库网上搜索。
1、企业如何快速提升安全运营水平目录前言21 .当前安全运营面临的挑战21. 1.重建设、轻运营21.2. 无法提供7X24小时网络安全保障22.构建安全运营中心32. 1.自运营32. 2.联合运营33.人机共智,安全运营有效落地43. 1.基于业界最佳实践的威胁检测技术53. 2.基于OODA循环的动态响应机制63. 3. 7X24小时在线的安全服务专家体系64.企业在运营过程中需要解决的五项网络安全项目74. 1.网络安全是否需要停止74. 2.物理安全事项84.3. 软件攻击防不胜防84. 4.财产安全95. 5. 风险95.企业网络安全运营必备的十种能力95.1. 数据采集95. 2.威
2、胁检测95. 3.风险预警95. 4.自动化运营105. 5.能力编排105. 6.事件调查105. 7.团队合作115. 8.案例管理116. 9.报告展现111刖百过去两年,说服企业领导者认真对待网络安全变得容易多了。从SolarWinds黑客攻击,到疫情促使在家办公蔚然成风带来普遍问题,越来越多的企业组织开始面临更多的安全挑战,企业高管也开始越来越关注企业网络的安全性。精心设计、精心维护且人员配备齐全的安全运营中心已经成为现代企业组织必须依靠的安全防线,它是一个进行集中安全运维的地方,安全团队通常全天候不间断地监控、检测、分析和响应网络安全事件。企业组织要确保网络安全,不妨认真审视一下自
3、己的安全运营中心。网络安全保障与安全运营管理密不可分。好比医生才能开好药方,最大化发挥药品的价值一个组织的安全运营水平也在一定程度上决定着该组织安全防御体系的实际安全防护效果。那么组织应如何快速提升安全运营水平呢?1 .当前安全运营面临的挑战首先,先剖析下目前组织在安全运营方面存在哪些挑战:1.1. 重建设、轻运营在传统的安全建设过程中,组织更倾向购买部署安全设备,对于看不见摸不着的安全运营关注较少。在这种情况下,由于组织安全团队的人力不足,分析工具有限(如缺乏威胁情报支撑),尤其缺失精准的威胁分析规则用例,导致安全设备长期处于无运营或有限运营的状态,出现安全事件时,只能匆忙应急。此外,在安全
4、事件响应的过程中,由于缺失最佳实践的操作流程指导,再加上溯源能力不足无法分析安全事件的发生原因,导致安全事件无法形成最终的闭环。1.2. 无法提供7X24小时网络安全保障安全事件频发的本质是攻守的不对等。这种不对等,不仅体现在攻防双方能力上的不对等,也体现在“敌在暗我在明。从过去的安全事件上看,黑客的习惯跟小偷类似,喜欢趁人不在或休息的时候发起攻击。但大部分的组织,往往不具备7X24小时网络安全保障能力来保障节假日或夜间的业务安全。2 .构建安全运营中心针对上述挑战,目前业内普遍通过构建安全运营中心(SOC)来开展安全运营工作。安全运营中心(SOC)是组织开展安全运营工作的必备基础设施,现代的
5、安全运营中心必须具备以下核心功能(参考Gartner Summit 2019定义):1)威胁监测与响应能力2)威胁情报与威胁狩猎能力3)漏洞全生命周期管理能力4)7X24小时全天候服务能力不同的组织可以根据自身的情况选择不同的安全运营中心建设模式,常见的以下两种:2. 1.自运营指的是组织自建安全运营中心,自己组建团队和运营流程,依靠自身的安全运营团队来开展运营工作。这种模式建设从一开始的工具选型、团队组建到流程建设,需要经过较长的建设周期和运营优化周期(35年)才能达到一个比较理想的水平,这对于不少用户而言存在一定的挑战难度。2. 2.联合运营指的是组织通过购买安全运营服务无需对现有IT安全
6、架构进行大的调整即可迅速复用安全运营服务商的云SOC以及专家团队开展安全运营工作,为业务提供7X24小时的安全保障。这种模式建设成本适中,见效快,比较适合大多数组织。工具人员/流程(质量管理)J安全运营中心要素安全运营平台 应急响应工具集数据源探针安全分析师安全运营专家高级安全专家资产管理流程-漏洞管理流程 威胁管理流程事件管理流程自运营a(成本高,周期长,团队建设困难)工具采购消耗大量预算,成本高且运营难运营平台需基于流程开发,定制工作繁杂.周期长 人才短缺招聘难 安全专家培养难 人员内部晋升难,人员流动影响工作持续开展流程浮于表面,难以执行 知识固化困难,难以有效传承联合运通1(成本低,见
7、效快,专家团队稳定) 数据源探针灵活按需 复用安全运营平台,快速开展安全工作 平台建设成本低 资金专项专用,确保效果 复用安全专家团队 内部晋升通道宽广,人员稳定,持续保障安全工作 7*24H安全保障能力高效的漏呈执行能力指标驱动的流程进化能力 开放的知识分享能力图1两种运营模式优劣势对比结合在数字化转型时代下,组织的业务系统普遍迁移云端的趋势,组织完全依赖自身的能力进行网络安全管理已经分身乏术。因此,联合运营的建设模式更受欢迎。2018年全球IT安全投资分布中,硬件占比36.9%,软件占比18.9%,而服务的占比高达44.2%。(数据来源于IDC白皮书面向未来有效保护护航数字化转型)3.人机
8、共智,安全运营有效落地联合运营模式最大的优势在于能够以比较低的成本,通过复用安全专家团队,以更具经验的流程确保7X24小时的安全保障能力。以深信服MSS安全运营服务为例,该服务以资产、漏洞、威胁和事件四个核心风险要素作为核心抓手,通过云端安全运营中心和安全专家团队有效协同的“人机共智”模式持续性开展网络安全保障工作,帮助组织单位大幅度降低组织发生安全事件的概率,同时较大幅度地提升整个组织的安全能力。人机共智*平台/工具A一威胁监浏预警混洞管理安全运彗能力评估一费产管理应急处濯知识转移产资洞漏件小流程/方法木图2深信服MSS安全运营服务安全能力框架整体MSS安全运营服务的背后,主要由以下3点做支
9、撑:3.1. 基于业界最佳实践的威胁检测技术MITRE的ATT&CK是当前最流行威胁检测框架,这个框架系统地描述了黑客攻击过程的十二个阶段,从初始化,到中间的横向移动到最后窃取数据造成影响,所有已发现的黑客攻击手法和检测建议都收录在里面,由业界全球顶尖攻防专家共同维护。深信服依托自身近20年的安全沉淀,对标ATT&CK框架,具备全面的网络检测和端点检测能力,结合云端强大的威胁情报能力、AI检测能力(200+个Usecase)以及专家研判能力,为用户输出精准的告警研判信息。特征分析校正脱敏挖矿病毒关联访问凭证发现 C析防御规避横向移动 I归并聚合提权持久化日采集 执行过淀1A娥命令控制初始化AT
10、T&CK数据获取专家;研判影响n图3 MITRE的ATT&CK检测框架3. 2.基于00DA循环的动态响应机制OODA环,又称博依德环,由美国空军上校约翰博依德(John Boyd)提出,最早应用于美国空军的战术 美军在海湾战争中大放异彩很大原因归功于这个战术。现被广泛应用于网络战、诉讼战以及金融战。深信服MSS安全运营服务应用OODA,通过系统化的动态响应机制,来解决与黑客攻防对抗过程中的及时监测与响应问题,通过自动化的操作流程(Playbook+Runbook),协同用户快速处置并控制安全事件的风险。端点检测防护日志下火毋日志VPN日志威胁情报观察关联/分析漏滑若理日森智能诊断上网行为伶理
11、日志判断rivnt决策Wide研判/预防专家定位大数据分析+威胁情报+关联分析+ AI算法彳锄,心遵制厢除/恢复快速晌应图4动态响应机制3.3.7X24小时在线的安全服务专家体系目前深信服安全运营中心拥有完善的三级安全专家梯队。其中涉及病毒专家、安全数据分析专家、安全事件响应专家、威胁追踪专家、情报分析专家、安全架构专家、Web安全专家、渗透测试专家、漏洞挖掘专家等等,安全专家团队在各自领域拥有丰富的专业经验,通过集中办公将各自优势整合统一,帮助用户应对各类风险。疑产育动漏密测威就色笠T2安全运营专家持钠测凶睑枝丸星阳处SET3首席安全专家溯源分析离级处25而略加因峻狩猎样本分析课戈研究图5三
12、级安全专家梯队依托近20年的安全能力沉淀,深信服已经在长沙建成业内首个服务于全国用户的现代安全运营中心,为用户提供从安全评估到持续运营的一站式安全服务涵盖口常管理、隐患排查、应急响应等典型场景,帮助组织单位快速提升安全运营水平,7X24H守护用户的信息资产!4.企业在运营过程中需要解决的五项网络安全项目在疫情期间 企业利用增加的网络安全预算几乎一夜之间就转向了在家工作的新规范,改变了原有的工作体系。与企业为完成其核心任务而花费的任何其他重大预算支出一样,网络安全团队的能力和绩效现在应成为常规议程项目。对一些人来说,工作内容的敏感度低,有备忘单的项目添加到企业员工安排的可能涉及到的议程老板作为企
13、业发展的领头人和企业监督员的角色与营销新产品发布一样适用于网络安全。在没有特别重要性的顺序中,以下是企业在疫情期间运营需要考虑的5个关键点:4. 1.网络安全是否需要停止这两年,由于少接触的大众理念,使得网络沟通交流成为必需,这也使很多重要数据都保存在电脑上,但凡出一点问题的话,直接会导致业务瘫痪,而这还只是较为轻松的网络攻击,严重的情况下会使业务直接崩溃,所有的客户数据全部丢失。在这种前期下,企业负责人就需要考虑网络安全是否对自己的业务产生大的影响,在很多老板的心目中,觉得自己的业务目前处于前期,涉及金额不大,于是产生了一种消极信息 觉得网络攻击者也不会攻击自己毕竟自己小门小户的,人家看不上
14、,但是,事实是网络犯罪80%都在这种小网站中产生,一方面是因为小公司网络安全意识不具备,另外一方面则是比较好攻击,勒索也比较容易,很多老板都会在第一时间妥协处理。4. 2.物理安全事项随着办公室开始慢慢挤满了在走廊里戴口罩的人可能更难确定谁是雇员或其他人员,而其他人可能没有正当理由在办公室工作。如果我们能够认识到这一现实,那么可以放心地假设,网络罪犯可能会试图利用在很长一段时间内未执行或测试的安全协议,将已关闭一年、未应用最近安全修补程序的角落隔间中的桌面计算机物理连接起来。这是一个风险相对较高、成本较低的关注领域,安全、设施和人力资源团队可以联合起来进行必要的教育和结构改革 以确保每个人的身体和网络安全得到保护。4. 3.软件攻击防不胜防如果有一个项目来自SolarWinds网络攻击,它是驱动数字转换(DX)的应用程序的安全性,以及帮助保护此数字环境的安全工具,由程序员编写,他们利用自己的专有编码、开源代码和其他第三方应用程序的组合。任何或所有这些成分都充满了将漏洞引入基于云的应用程序和容器的可能性 这些应用程序和容