解构安全运行能力体系建设:从思路到实践
安全运行能力体系建设的本质是构建基于装备、战术战法、兵力部署的“作战”体系。在现实工作中大家经常探讨的常态化、体系化、实战化,都涉及非常重要的环节,这就是落地和实际的运营建设问题。
一、安全运营的现状
近年来安全行业对运营探讨得比较多。甲方单位、乙方安全公司对运营理念都有很多的思考和摸索。从各个角度上看,安全运营针对于不同形态、不同规模和不同业务类型的企业,落地的时候有不同的呈现形式。但总体而言,安全运营工作的内容以及具体细化需求,很多方面有不少的相似点。
1、运营理念
从规范化的定义方面看,安全行业更多的是把人、工具、流程等的一系列输出,视做运营的整体部分。
在近20年的安全建设发展过程中,前10多年时间,政企机构更多的以合规化建设为主;从2016年实战化攻防演练开始,我们发现偏合规或堆砌式的安全架构实际效果已经不再那么明显了。
我们讲运营,“运”就是用起来,使整个安全平台、安全工具正常运转。人作为工程师、司机,甚至是厨师也好,不论是各种角色,都是通过技艺与工具实现价值的输出。在安全工作中,我们有SOC类平台如安全信息和事件管理(SIEM)、威胁检测及响应(TDR)等工具,数据源源不断地进来,供我们去分析,就像买辆车就得加油,他才能走,其实也是相应的输入。而“营”则是持续的输出价值。
安全行业的很多问题,跟我们生活中的很多做法是很类似的,可以做同类型的思考或者说换位研究。
我们买车的目的是载着我们去远方,去工作,或者周末出去玩。买了一辆车不会开怎么办?车的价值怎么来体现?车动起来才能实现价值,恐怕很少人买车是为了放在那里摆着。车肯定不能仅仅实现摆设工具的价值。
这时我们要思考一个问题:如果开车是项技能,到底是司机重要,还是车本身重要?这个问题跟安全行业的思考有些类似。
我们需要的安全价值或者说解决安全问题的做法,一定是通过人加工具一起实现的,二者缺一不可。光有人没有车,很难实现;没有车,你可以走着去,但效率很低。只有车没有人,车用不了,买来就是个摆设。
2、国内安全运营工作的基本情况
2020年5月起,我们配合赛迪顾问机构,对国内近200家的政企与事业单位进行了调研。接受调研的包括安全从业人员、团队负责人,还有CIO、CSO。主要是调研安全运营中心建设相关的做法。
调查发现,政企机构在近两年内已经意识到运营的价值和作用,并在运营中心建设上逐渐发力,尤其是大中型企业和一些政府机构。
调查结果印证了我们对行业的判断:整个行业安全人员稀缺,而运营中心建设中最缺乏的就是人员和能力的不足。在受调查机构中,安全团队规模在1~4人的占39.8%,超过了调查结果的1/3;而5~10人的占17.4%,这两类之和超过一半多。也就说,安全团队多数为10人以下小团队。
机构开展的运营工作维度调查显示,更多的是围绕资产和其他一些具体基础类运营工作。更为全面和复杂的运营工作并不多,更多是最有实效性的工作。政企机构的运营工作做的很基础,但是最基础的往往是最有效、最扎实的。
猜测上面一段的文字意思是:
调查显示,当前国内绝大多数政企机构所开展的运营工作都还是比较基础的,或者是围绕资产进行的,能够组织完成全面的、复杂的运营工作的机构还不多。不过,客观的说,基础的工作也很重要,把基础的工作扎扎实实的做好,往往也是安全运营工作中最有效的内容。
同时,我们看到政企机构缺乏运营指标评定,少有单位会制订相关数字指标、评价标准等,这使得安全运营中心的能力和成效无法衡量。
二、能力建设的基本要求
我们通常所说的运维、运行、运营,代表着不同阶段。
运维是保证可用。运行则是按照固定要求、相关SOP或操作手册有步骤地执行,并输出相应结果,它是规范化和整齐划一的。相对而言,运营则需要加入更多个人主观因素及能动性进行发掘和创造。
从运营成熟度角度来讲,现阶段我们做的很多工作都仅停留在运行,认为按照定义好、规范好的步骤去做才是最稳定可控的,坚定凡事靠人去工作。比如,攻防测试、渗透、红队等主动攻击,都有很大的人的因素在里面。
因此,我们的产品都是以减少人为因素为出发点。在运营运行工作中,最好的办法就是做到相对标准化,实现可靠稳定的运行,在能力提升之后,达到运营的高阶成熟度。
1、安全运营中心概述
安全运营能力包括几个方面:第一是人的因素,第二是工具和平台的因素,第三是流程以及数据等资源的因素。
其中,安全运营要有平台和工具作为基础支撑。现阶段来讲,很多大型机构通过整合原来的支撑平台,逐渐形成为大安全运营中心或者综合性调度指挥中心、应急响应中心。名称可能多种多样,但功能相差无几。
安全运营中心有以下几个共性特点:
第一,安全运营中心是指挥平台,是安全管理的总统筹。将信息收集起来后,通过这个平台能看到整体状况。
第二,安全运营中心是工具平台,能够提供运营人员良好的工具支撑,通过它可以大幅减轻人的工作量,提升效率。比如,分析规则的灵活性、知识的储备整理以及自动化生成的成果。
第三,安全运营中心是大数据结构的。现阶段的安全运营需要结合多方资源与海量信息,如果不是大数据结构,恐怕很难跟上未来安全发展形势。
第四,安全运营中心需整合内部资源。包括资产、网络结构、应用情况,都要整合到安全运营中心平台中,才能通过它看到全局。
最后,安全运营中心是整个安全业务的中枢环境,或者可以称为安全一体化业务平台。对大的政企机构来讲,运营中心是保障企业核心安全的重要抓手。
2、一个基础,两个必备
安全运营包括一个基础、两个必备。其中,基础就是安全运营平台。
下面这张图从整体串了起来,包括体系构建,工作流系统,运营技术支持,态势感知平台,运营流程,以及如何从基础设施收集数据。整体运营平台收集的数据都源于资产。
IT资产包括很多维度,但并不复杂。通常企业IT资产包括终端,如PC、服务器等主机设施、网络设备、IoT设备(办公设备、打印机等),这些设备构成了整体IT资产。按照分类,这些资产包括终端及操作系统、主机服务器以及操作系统、中间件以及应用框架。这些资产的颗粒度是要拆分开的,最终输入到平台中,这样可以快速响应判断问题。
只要这些信息收集齐全、处理得当,就不需要过于高级的安全情报,因为基于现有安全预警传递速度来说,只要有新的漏洞爆出,便能很快获知。如果资产管理足够好,可以通过平台迅速查询或匹配,就知道涉及哪些资产、如何处置,不需要有POC或者其他验证。
这就是运营中心必须具备的平台和基础,是“一个基础,两个必备”中的一个基础。
1)必备之一:运营尽可能高效 前面我们讲了很多,包括人、工具、平台。用平台和工具的目的是提高效率。只有生产工具先进了,生产力提高的可能性才会比较大,因此要以运营的理念实现安全自动化。
在选取自动化时,要具备基本认知,比如安全响应自动化、运维自动化、测试自动化、构成了我们的很多基础工作。这些工作看似与运营关联较小,但事实上他们都是整体输入的一部分,都会影响到整体效率。
安全的本质是人与人的对抗。无论是测试还是响应的自动化,我们面临的对手和威胁仍旧是人。以现代军事战争为例,即使使用无人武器或者谈自动化,但无人武器的操控者始终是人。
从理论上讲,现有自动化产品只能追赶人的步伐、以提升效率,但是很难在现阶段指望自动化来准确地处理解决各种安全问题。目前为止,自动化完全替代人是比较难做到的,或者说效果不那么理想。
通过自动化管理和持续安全响应,尽力提高工作效率才是目标。这就是两个必备的一个。
2)必备之二:数据是运营量化评估的标准
网络安全工作一般包括三大块——管理工作、技术工作和平台建设工作(也就是设施类工作),每一块会产生很多要素。比如安全管理过程中,会有内控、审计、合规要求等,这些内容就会产生数据;而技术中会收集到各种信息、数据、日志;基础设备中会有各种流量数据、情报等。这些数据收集之后,需要做到“上能汇报、下能通报”。
在很多单位,安全更多是辅助性、支撑性、保障性部门。如何跟业务融合,怎样与信息化结合是很重要的日常工作。“可见、可控,可感知”,这三点不能只有安全人员能够感受到,应该让更多安全人员之外的同事、兄弟部门、上级领导感知到。
如果把安全运营工作分成5条线,可以按照能力分为态势感知展示,威胁检测分析、漏洞管理联动、合规管理检查、资产管理控制。这些都需要大量的数据的支撑。
因此,第二个必备就是数据。筛选和利用数据,是我们的两个必备之一。
三、能力建设的行动路径
安全运行的能力建设非常复杂,周期很长。建议在一年内实现安全运营中心的基础建设与发展,实现重要系统的日志管控,包括基础设施、网络安全、系统安全、威胁监测等多个领域;两年内实现二级、三级分公司所有重要部门的集中安全监控和分析,配合整体评价体系支撑企业网络安全工作;在三年内逐渐完善并形成有自身特色的安全运营中心。
1、安全运营平台建设 平台是多元化的。
下图展示的是相对放之四海皆准,可以广泛套用的基础性平台建设方法。
比如,最底层平台数据如何采集,数据收集平台怎么做,数据收集后怎么归集和处理,数据怎么用,产生什么价值等。平台建设的思路就是这样的。
从理论上讲,奇安信通过整体研究,对安全运营类工作、威胁检测类工作、还有大数据安全分析工作做了很多研究。对于监管、监测、预警、运营、运行、自动编排,奇安信已有丰富的储备和思考。奇安信希望围绕安全运营的大体系实现相关运行工作的基础设施。
2、安全体系能力建设
安全体系能力建设方面,由于运行是很复杂的体系,因此需要诸多上层的整体支撑。
第一个阶段,以资产为核心的技术防御能力,要跟运营成熟度匹配;第二个阶段,以大数据分析为核心的主动防御能力,以及第三个阶段,以威胁情报为核心的持续对抗能力,这是一个不断进阶演化的过程。
从常态化的实战攻防演练来看,同样也是类似的情况。第一件是把资产的内容储备做好。第二件是对于实战化对抗进行分析。第三件是在分析的过程中使用情报作为大量有效的手段。这三个方面决定了实战化对抗的最终成绩。在能力建设方面,组织、流程、工具等基础要素、考核性的指标与办法,这些是体系能力建设的方法。
3、安全运行团队搭建
在行动路径当中,最重要是的是团队的搭建,也就是人的要素。
我们需要具备什么样的人?通常包括基础研究人员、分析响应人员、高级攻防人员以及高级攻防辅助人员。
我们运行团队为何需要攻防人员?如果要构建运营中心,攻防人员是必不可少的,或者通过外部的高级别服务来帮助实现。因为主动探测自身脆弱性是很重要的措施,实战化攻防演练其实采取的就是这种模式。公司内部更多聘用基础运营人员和分析型人员才操作和实现安全运营,具体的员工数目取决于业务需求和实际情况,包括数据规模、业务依赖性、企业规模等。
培养人员能力的难度是递增的。尽管培养基础技术人员的时间周期相对较短,但是技术学成后的经验积累靠的是长期工作经历和事件处置能力的锻炼,因此时间相对较长些。培养高水平分析响应人员的过程,就是由实习医生,住院医生培养成坐诊医生的过程。行业内经常讲,攻是一个点,防是一个面,难度不是对等的。
综上所述,从事防护人员由于涉及门类广、知识积累多,需积累的经验和视野要求多的因素,培养周期确实很长。从某些角度上讲,搭建实战运行团队,除了通过自身培养之外,也要考虑到很多企业受限于编制、体制问题无法开展的限制。在这种情况下,可以采取外部力量输入或者协作方式,联防联控,这也是我们国家对关键基础设施防护要求中提出的做法。通过外部力量支撑自己,也是有效的提升手段,核心目标是解决实际的安全问题。
4、流程化的处置方案
在安全运营中心中,各岗位流程是否清晰决定了方案是否成功的关键。
哪怕只有简单的4~5个步骤流程,只有三、四个懂的人,只要有一套清晰的方案,即使长期运行一年,效果可能都是显著的。反过来,哪怕投了大量的钱和人,但方案杂乱无章、流程不清晰,收获可能也不大。这解释了流程化处置方案的重要性。
有时我们观察企业组织架构,会发现有些信息化部门还有个名称叫“信息化和流程部门”,这说明流程对大企业或在机制上是至关重要的。
5、常态运营机制
当人、平台工具以及流程的要素具备了后,接下来就到了如何运营、流程怎么跑、职责怎么定的问题。每一家企业因其职责和特点不同,会有相对个性化的情况出现。
奇安信在构建属于自己的安全运营能力中,主要以常态化、体系化、实战化为核心,结合实际情况提供基础服务项目。像运营人员、分析响应人员、高级攻防人员等岗位,到云端运营、远程运营等模式都会被考虑在内,进行远程中心统一管理,以此加强可靠信任因素,实现基础运营和分析响应。
除此之外,再有一种模式是云地结合,提供远程输出并推送安全情况。获取威胁后,可以依托7×24应急支撑服务进行处置,或利用本地化安全服务进行结合,达到云地结合一体,这也是未来安全运行体系的趋势。想要快速解决问题,仅靠传统手法是不现实的,需要采用多种手段、多管齐下。
四、对未来的一些思考
今年奇安信开始以系统工程方法,体系化地考虑当前安全运行实战化的问题,其中有几个方面值得我们思考:
1.实战化安全运行的目的是什么?
数字化时期的威胁瞬息万变,按次开展的安全检查与测评模式无法达到业务安全保障要求,只有面向实战化的安全运行才能最大化发挥安全技术能力、安全人员技能、持续提升安全保障能力,满足业务安全需求。
2.如何将安全目标落地?
需要将安全目标转化为可执行的系列性安全管理办法、安全技术标准及安全运行规范。依据这些安全管理办法、标准、规范形成安全服务目录,并根据服务目录来定义安全运行的岗位职责、组建安全运行团队、制定安全运行流程并与IT运维流程和IT开发流程打通。同时,每项安全服务应制定标准化的安全运行和安全维护操作规程,才能确保安全目标按需落地。
3.如何建设实战化安全运行体系?
实战化安全运行体系涵盖安全运行团队、流程、操作规程、支撑平台和工具等。安全运行团队作为安全运行活动的执行者,需明确定义岗位职责并持续提升团队安全技能和经验,并与先进的安全技术相匹配,发挥“人防”与“技防”融合提升的效果;安全运行流程和安全操作规程是保证安全运行人员合规、快速、准确执行闭环安全运行活动的依据和指导,每个流程都应该形成闭环,并应考虑与IT运维流程和IT开发流程的打通;安全运行支撑平台和安全工具的建设也需要与实战化安全运行能力相匹配,并能对提升安全运行效率提供有力支撑。
4.实战化安全运行的核心工作内容是什么?
以人员为主线的身份、凭证、权限管理和以资产为主线的配置、漏洞、补丁管理是安全的基础,以安全策略和访问关系为主线的纵深防御安全策略管理是安全的保证,以威胁和安全事件为主线的事件处理、威胁猎杀、攻击模拟、策略优化是安全防护水平的提升,以情报数据为主线的威胁情报运营和适配提升响应速度是安全预防能力的体现。
安全运行体系包括流程评估、专业技术人员能力评估、技术支撑平台能力评估等。需要持续优化、找出差距并制定相应提升计划,才能促使安全运行体系成熟度持续提升。