企业如何构建有效的安全运营体系.docx

1、企业如何构建有效的安全运营体系企业如何构建有效的安全运营体系在企业信息安全建设初期，在网络层、系统层、应用层、数据层等部署了一系列安全设备和管控措施进行日常运维，并确保其稳定运行。但往往会发现安全状况并没有得到有效的改善，安全问题仍然频发，究其根本原因，是没有进行有效的安全运营。那么，企业如何构建有效的安全运营体系呢？1.安全运营是什么有一些安全工程师非常喜欢写一个扫描器、做一个HIDS的DEMO、搭建一套大数据分析的平台、分析某个漏洞的细节并研究POC，这些工作都是有意义的，但是，这不是全部。“手段不是目标”，写出一个扫描器，是手段，目标是为了提前检测出漏洞，减少公司因漏洞带来的安全风险，写

2、出一个HIDS也是手段，目标是能够发现入侵事件，及时止损，搭建一套大数据分析平台同理。站在为目标负责的角度，你的确写出来了一款扫描器，但是我使用开源产品或者商业产品同样拥有一款扫描器，除了让你本人有成就感之外，究竟对目标作出了什么样的贡献？“我做出来了扫描器，可是没例行跑起来啊，因为一跑起来，把业务扫挂了/业务告警一大堆抗议了”“我的扫描器有例行跑，但是测试用例没人家的全啊，好多漏洞检测不出来啊”“我的测试用例特别全，集众家之所长，就是误报多了点，多到什么程度呢？每一个漏洞我都能检测出来，但是伴随着成百上千的误报，所以得人肉一个一个筛选才能转发给RD修复”“我的扫描器很厉害，就是目标URL不在

3、扫描列表里，经常不在列表里”但是企业真的是为了我们做出来的扫描器、HIDS之类的手段而付费么？企业多数情况下是为产出付费，而不是为知识付费。在大的公司，解决问题的需求很强烈，安全技术、安全管理、安全开发等角色都具备的前提下，老板发现某一些安全问题总是无法收敛，最终，引入一类新的角色，对问题进行分析、诊断，发现症结后，协调资源，终于实现了目标。自此，安全运营工程师就出现在了世人的面前。他们什么都做，看起来没有技术含量，但他们的职责是比较清晰的：为项目的最终目标负责，从而不断诊断分析问题、提出需求、协调各方资源，共同达成目标的人。这里最重要的是解决问题，一切影响目标达成的因素，都是运营的职责。参考

4、上述内容，安全运营定义为：“为了实现安全目标，提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程”。 2.安全运营解决什么问题让我们拿着显微镜，看看安全管理员每天的工作内容。安全管理员需要每天查看各类安全设备和软件是不是正常运行；安全设备和系统的安全告警查看和响应处理如入侵检测、互联网监测、蜜罐系统、防数据泄密系统的日志和告警，各类审计系统如数据库审计、防火墙规则审计，外部第三方漏洞平台信息；处理各类安全检测需求和工单；有分支机构管理职责的还要督促分支机构的安全管理工作；填报各类安全报表和报告;推进各类安全项目；有的还要付出大量精力应对各类安全检查和内外部审计

5、。做过基层安全运维的人对上述场景都会很熟悉，这是金融企业安全各个场景的缩影，但不是全貌。如果一个企业只有少量人员、服务器和产品，那么上述内容就是企业安全工作的全部。但是，如果是有万台服务器，几百个程序员，数以百计的系统，企业安全除了安全设备部署、漏洞检测和漏洞修复外，还要考虑安全运营的问题，从工作量上看，这两类工作各占一半。占据“半壁江山”的安全运营，重点要解决以下问题：1）安全运营的第一个目标：将安全服务质量保持在稳定区间。企业部署大量的安全防护设备和措施，在显著提升安全检测能力的同时带来问题，安全设备数量急剧增多，如何解决安全设备有效性的问题？在应对安全设备数量和安全日志告警急剧增多的同时

6、，如何确保安全人员工作质量的稳定输出？安全运营的目标是要尽可能消除人员责任心等因素对安全团队对外提供安全服务质量的影响。举个例子，就像大餐和快餐，大餐靠的是名厨名师的发挥，如果今天这个名厨心情不好或者换个新人，可能做出的产品质量就有非常大的下降。而快餐如肯德基，所有的操作都标准化和流程化，就是初中毕业没学过烹饪，没练过的人经过短期培训和严格管理，也能确保炸出的薯条味道一模一样。快餐的标准化流程和管理几乎完全消除了人的因素，确保对外提供的服务质量能够始终稳定，不会出现大起大落的情况。安全运营的目标之一，就是在企业变大，业务和系统日趋变复杂的情况下，在资源投入保持没有大的变化情况下，尽量确保安全团

7、队的服务质量保持在稳定区间。2）安全运营的第二个目标：安全工程化能力。安全运营还需要解决的一个问题是安全工程化能力提升的问题。举个例子，企业内很多有经验的安全工程师能够对怀疑一台服务器被黑进行排查溯源，查看服务器进程和各种日志记录，这是工程师的个人能力。如何将安全工程师的这种能力转变成自动化的安全监测能力，并通过安全平台进行应急响应和处理，让不具备这种能力的安全人员也能成为对抗攻击者的力量，这是安全工程化能力提升的收益，也是安全运营关注的问题。3.安全运营建设思路从架构、工具和资源三个方面探讨安全运营的思路。3.1 架构安全运营架构如下图1所示：图1 安全运营架构为确保安全运营架构能够灵活扩展

8、，推荐按功能模块划分成四个模块：安全防护框架、安全运维框架、安全验证框架、安全度量框架。安全防护框架的主要功能是通过不断的部署安全监测系统，提供实时检测的能力，称为安全感知器“Sensor”，为安全运维框架提供“天眼”。时下流行的态势感知、入侵感知我理解为主要靠安全防护框架来保障。安全运维框架的主要功能是统一采集安全防护框架各Sensor的监测信息，并通过黑白灰名单处理和关联分析（有很多厂商号称大数据智能分析，只是基于规则的数据挖掘），处理监测信息并通过统一展示平台输出告警，进入事件处理平台和流程，人工介入处理。安全运维框架还包括安全事件的定期review和向管理层汇报，这部分可能比单个的事件

9、处理要重要。安全验证框架主要功能是综合通过黑盒白盒验证措施，确保安全防护框架和安全运维框架的有效性。安全度量框架主要功能是通过一系列安全度量指标，衡量评价安全运营质量水平，并针对性持续过程改进，实现质量的螺旋上升。3.1.1 安全防护框架安全防护框架的目的是部署尽可能多和有效的安全感知器Sensor，这些安全感知器构成了信息安全的“天网”，这部分是基础工作，也是传统安全的主战场，需要历经多年的持续投入积累。安全Sensor的部署遵循纵深防御的理念，如下图2所示：图2安全防护框架实际中可能远远不止上述这些Sensor。比如网络层，可以把防火墙监测信息特别是Deny信息采集了，有些防火墙还自带IP

10、S功能如CheckPoint的SmartDefense，就是特别好用的安全Sensor，交换机、路由器的ACS服务器信息、堡垒机登录信息、虚拟层虚拟主机操作信息、Windows、Linux主机日志、有在主机部署安全客户端的监测信息、数据库审计系统监测信息、AD系统信息、存储备份系统操作信息、KVM、ILO等带外管理系统信息、ITIL系统工单信息、应用系统应用信息如OA系统应用日志、SAP系统应用信息、公文传输系统日志、FTP数据传输日志。企业基础安全的很大内容就是建设各类安全Sensor，解决点状的安全问题和需求。比如企业防火墙多了，如何管理防火墙规则的有效性和合规性，可能需要部署诸如Algo

11、sec、firemon等防火墙规则审计工具，审计发现的信息就可以作为安全运维框架的输入。如果想监测企业内网或服务器访问了哪些恶意地址，可以采集类似ArcOSI这样的开源恶意地址库。3.1.2 安全运维框架安全运维框架的建设目标是成为企业安全的大脑、神经中枢、耳目和手脚。在军队现代化作战体系中，美军创造性的提出了C4ISR作战指挥系统，即指挥、控制、通信、计算机与情报、监视、侦察。一个完整的信息安全作战指挥自动化系统应包括以下几个分系统：基础架构平台、安全情报监视系统、数据分析系统、安全控制系统。“大脑”-基础架构平台。基础架构平台是构成指挥自动化系统的技术基础，指挥自动化系统要求容量大、速度快

12、，兼容性强。“耳目”-安全情报、安全监视、侦察系统。主要是对安全防护框架中各安全Sensor的安全信息的收集和处理，实现异常行为的实时安全监测。“神经中枢”-数据分析系统。综合运用各类智能分析算法和数据挖掘分析技术，实现安全信息处理的自动化和决策方法的科学化，以保障对安全控制设备的高效管理，主要技术是智能分析算法和模型及其实现。“手脚”安全控制系统。安全检测和控制系统是用来收集与显示安全信息、实施作战指挥系统发出安全控制指令的工具，主要是各类安全控制技术和设备，如防病毒和主机安全客户端、防火墙等，主要实现异常行为的实时安全控制。安全运维框架实际落地时，企业会部署SIEM、安全大数据等类似平台实

13、现安全检测信息的统一采集、分析处理和存储，大部分平台支持内置或自定义的黑名单检测规则进行实时检测。安全运维框架还有很重要的一部分，安全事件的流程化处理和定期review、汇报。安全事件的流程化处理应遵循企业事件管理流程如ITIL，通过自动化下发安全工单，发送告警邮件、短信等方式进行安全提醒，安全事件确认和溯源分析主要通过人工分析和确认的方式进行。对于100%确定异常的安全攻击通过自动化方式进行阻断。同时通过安全事件日例会、周报、月报、年报等方式进行闭环管理，并进行必要的管理层汇报。3.1.3 安全验证框架安全验证框架解决安全有效性的问题，承担对安全防护和安全运维两个框架的功能验证。安全验证框架

14、是企业安全的蓝军，在和平时期，蓝军扮演着对手角色，利于及时发现、评估、修复、确认和改进安全防护和运维框架中的脆弱点。包括白盒检测（过程验证）和黑盒检测（结果验证）两部分。白盒检测（过程验证）是指建立自动化验证平台，对安全防护框架的管控措施实现100%的全面验证，并可视化集成至安全运维平台中，管控措施失效能够在24小时内发现。通过自动化验证平台达到：验证安全Sensor安全监测功能有效；验证安全Sensor所产生监测信息到SIEM平台的信息采集有效；验证SIEM平台的安全检测规则有效；验证告警方式（邮件、短信与可视化 展示平台）有效基于上述目标，自动化验证要求所有的验证事件必须为自动化模拟真实事

15、件产生，不能使用插入记录的方式产生，同时自动化验证事件应提供判断是否为验证事件的唯一标识，验证事件产生时间需统一安排，防止集中触发。安全运维平台应能够监测到安全验证未通过的系统和规则，并产生告警信息，通知安全运维人员介入处理。黑盒检测（结果验证）是通过多渠道安全渗透机制和红蓝对抗演习等，先于对手发现自己的漏洞和弱点。多渠道安全渗透机制目前常见的就是安全众测，红蓝对抗演习需要企业具有较高攻防技能的安全人员，也可外聘外部专业机构完成，用于检测安全防护框架和安全运维框架的有效性。3.1.4 安全度量框架安全度量框架主要用于衡量评价安全有效性，这是挺难的一件事，此处仅做些探讨。可以分成几个层次。一是技

16、术维度。包括防病毒安装率、正常率，入侵检测检出率、误报率，安全事件响应时长、处理时长，高危预警漏洞排查所需时间和完全修复时间。还可以考虑安全运维平台可用性、事件收敛率等。合规性方面可以设置合规率、不合规项数量、内外部审计发现数量和严重度等；二是安全运营成效。包括覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下，有多少无人问津的灰色地带，安全能在企业内部推动得多深入，多快速，这是需要综合技术和软性技能的，成败主要系于安全团队负责人。检出率和攻防对抗成功率都是衡量安全有效性的有效指标，安全团队即使不能拍着胸脯保证不出事，也不能靠运气和概率活，那持续提升检出率和攻防对抗成功率就是努力的方向；三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能力，TCO/ROI，安全用多少资源，支撑了多少业务，支撑的