专题 | 智慧安全运营探讨
大型企业网络安全工作实践中,往往购买了许多安全产品,但安全状况改善不大,问题依然不断。主要原因在于安全管理与技术脱节,安全协同不到位,缺乏安全运营体系并持续运营,以致安全事件和安全问题的管理不能从根本上闭环。本文结合多年的网络空间安全运营经验,从安全运营认知、监管控一体化运营、智慧协同方面探索解决上述问题。
一、引言
我国的信息安全行业全面发展已走过了10多年,政府、大型企业、各行业均已建设信息安全管理体系,并已具备一定的安全攻防能力。随着互联网+和物联网的兴起以及智能化手段的运用,各企业和各行业的业务模式在不断的演变,业务规模在不断地增长,业务关联性和架构复杂性在不断增大,物理空间和网络空间在不断扩大,信息资产种类、规模、互联网开放性也在不断增多,企业和各大行业所面临的网络空间安全环境在发生急剧变化,主要表现在因时空和资产的扩大化而导致的战线延长、因安全攻击技术的发展和信息资产安全漏洞的增多而导致的安全威胁增大、因国际政治形势的变化而导致的国外安全威胁加剧。
在此复杂多变的网络空间安全环境下,企业和各行业已构建的静态网络安全防护体系和安全投入规模在持续保障业务活动安全稳定有序得开展方面显得力不从心、捉襟见肘。
为适应新的变化和发展,目前业界都在从静态防御向动态防御的转变,但更多的是从产品技术上着手,还是在堆砌产品。要从根本上解决问题,就需要围绕业务活动场景、关注“人、资产、行为”、辅以“人、流程、技术”,构建动态地、可持续发展的“监”、“管”、“控”一体化智慧安全运营生态体系,智慧协同内外部各方资源,共同抵御内外部威胁。
二、安全运营认知
在安全工作实践中,安全工作通常分为三个阶段:安全咨询与规划、安全建设、安全运维,安全运维作为后端既具有独立性也与前面的阶段息息相关、相辅相成,但这个相关性并没有被很好地突出和体现出来,安全运维的价值和潜力也没有得到激发,安全问题依然很突出,安全运营也就应运而生,这也是信息化到数字化转型的一个必然结果。
(一)安全运营定义
安全运营就是感知网络空间和物理空间中的安全态势,洞察其中的过程、行为、状态,进行高效决策,形成安全策略或安全指令,进而按需有机协同各类组织和人员、各类安全系统和厂商执行安全策略或安全指令的一个循环的、动态的、闭环的一种智慧型活动。这个活动过程也是一个在不断探索、寻求“安全感”的“安全心理”认知过程,也是“敌”、“我”博弈的攻防过程。
(二)安全运营价值
安全运营价值宏观上表现就是信息安全价值,具体体现为:
安全运营价值微观上表现,就是实现安全制度与策略执行、安全意识提升、安全风险管理、安全合规管理、安全漏洞管理、安全告警与事件处置的闭环,是安全规划和建设的灯塔。
(三)安全运营对象
安全运营的对象范围其实就是安全管控对象及由其产生的关系和行为。
其中,“人”是最复杂的,主要表现在 “人”的身份类别的复杂性,如内部人员(VIP、核心员工、流动性大的员工、不同业态下的员工等)、外部人员(实习生、外包人员、厂商服务人员等)、攻击者,一切因“人”的身份类别和行为而变。
这些对象及其关系具备很强的时空性和可变性,是动态的。
(四)安全运营手段
按照安全运营定义,要实现安全运营价值,靠人工方式、各自独立作战方式已是无法应对;只有通过智能化技术手段感知、洞悉网络空间和物理空间中资产、行为的变化及其趋势和影响,通过数字化技术手段进行安全可视化呈现,通过智慧协同技术手段驱动多级安全组织-多级安全人员-异构安全系统-外部服务厂商四级协同。
(五)安全运营服务
安全具有强管控属性,但安全策略很大程度需要业务在其业务活动中落地。从企业实践中看,安全策略落地,只靠管控手段很难推动,因为安全策略是抽象的规则,远离业务场景。只能借助管控手段,以服务的理念和方式,深入业务场景,为其提供安全服务,才能将安全策略很好地落地。安全策略落地就是靠安全运营保障,因此安全运营的方式就是服务方式,为安全咨询和规划、安全建设提供安全数据服务,为各级安全组织和人员提供安全数据服务和能力服务。
(六)安全运营度量
安全运营度量有三种方式,第一种是按对服务的度量方式,如及时性、满意度等;第二种是用效果度量方式,如发生的安全事件程度、规模、数量等以及安全告警的精准度与全面性等;第三种是经济度量方式,如发生的安全事件对业务价值影响、非经营性损失(如一把手被依法经济处罚)。
(七)安全运营发展
安全运营通过数字化、智能化、智慧协同三种理念融合了安全组织、人、安全系统、安全服务商或相关机构,已构成了一个安全生态,安全运营未来趋势就是生态化经营。
三、安全运营体系设计
安全运营工作涉及对象多、技术手段多,场景复杂,需要体系化的模型支撑。安全运营体系模型有两种不同维度:“监管控”一体化运营维度、全面感知与智慧协同维度。
(一)“监管控”一体化运营
围绕业务活动场景,关注“人、资产、行为”及其关联关系,通过“监”、“管”、“控”三个手段的闭环,使得安全管理与安全技术深度融合,规范人和资产的行为,降低安全风险,并感知网络空间和物理空间的异常行为、信息泄露行为、攻击行为。
(二)全面感知与智慧协同
安全运营过程是个“攻防”博弈过程,只有调动各兵种、联合人民群众形成多维度的协同作战,才能有效防御攻击。
全面感知与智慧协同体系即围绕业务特征、网络拓扑、防御力量特点进行排兵布局,形成梯次防御,逐层消灭、消耗攻击力量;对安全人员和工作进行合理编排,形成常态化安全运营任务及流程,有序展开各项安全活动;通过梯次防御的防御日志、漏洞扫描结果、合规检查结果、风险评估结果,组建以安全态势感知平台和安全分析人员为主体的作战指挥核心,全面感知,洞悉安全风险发生的规律与趋势,实时指挥网络空间和物理空间的攻防,一体化协同防御内外部威胁;通过安全数字化技术和自动化技术,实现智慧协同,驱动人机联动、异构组织联动、人人联动。
四、安全运营体系落地
不同的企业、行业,在业务特征、安全文化、安全管理水平及成熟度、安全防御能力方面差异性很大,需要围绕自己的特点去逐步落实和加强安全运营体系的各个方面。总体上安全运营体系落地有如下几个方面可重点关注:
(一)框架搭建与体系化遵从
“麻雀虽小,五脏俱全”,再小的安全团队,其所面临的安全工作场景和内容与大安全团队大同小异,没有本质区别。因此,在开启安全运营工作时,一开始就需要按照安全运营体系,搭建好安全运营框架,遵从体系化运营,有序开展工作。在人力、物力、任务安排方面,可以根据实际情况进行不同侧重点的调整,突出当前主要矛盾和领导关注的问题。这样一来,既保证了安全运营效果,又能让领导知道能清晰知道安全运营工作的不足点,比如因缺少某方面的人员导致某些工作无法开展或开展效果不如人意、因缺少某方面的安全防御力量导致某些安全威胁无法识别等。领导关注、上心,就会加大安全投入,就会促进安全运营能力提升,安全运营价值增大,形成良性循环。
(二)关键技术支撑
“人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。”安全运营的效果、价值体现是否能高效达成,最终还是要通过必须的安全技术来保障。当前来讲,关键的技术如下:
安全运营活动是个智慧型活动,这个智慧体现在只有“游刃有余”才能高效协同,协同到位,安全策略、安全指令必能落地。要做到“智慧”,只有深度融合。深度融合的催化剂就是“五化”技术理念:
一体化,首先是理念,其次是技术保障;唯有一体化,全盘考虑,才能洞察其中,统揽全局,实时应变。
智能化,攻击智能化只能通过防御智能化来抵抗,保持攻防对等。
自动化,弥补安全人力不足, 让安全运营能高效运转。
可视化,协同的桥梁,让一切可见,大家赤诚相待。
模型化,避免一枝独秀,自上而下安全能力赋能,全局性提升安全能力。
五、安全运营效益预期
安全运营体系持续运行与完善,预期可将达到如下效益:
社会效益:保障企业网络安全和形象声誉。
管理效益:促进企业内各级信息安全组织的相互合作;为企业信息安全风险管控提供有效数据和评价依据;为企业信息安全规划提供实际数据和案例支撑;具备事后回溯、攻击取证能力。
技术效益:提升安全系统动态防护能力,最大化发挥安全系统防护力量的价值;提高安全威胁及隐患的发现能力,缩短发现时间和响应时间;可直观的、实时的展现网络安全状况;拥有安全数据,为基于大数据和AI的全面智能化持续分析奠定数据基础。
六、结语
随着云、大、智、物、移的深度发展与融合,业务形态和场景更加复杂化、智能化,将会对安全运营的工作带来巨大挑战,必将驱动安全运营走向智慧生态化。
(本文刊登于《中国信息安全》杂志2019年第8期)