【极思】五年安全运营实践总结与未来思考

文摘   2024-01-10 18:23   广东  
文章字数3800+,主要内容为作者近5年的安全运营实践经验。感谢许总、璐哥、荣姐的帮助。回馈关注的朋友们分享,只要人还在,分享不会停。主要内容:一、安全运营的逻辑架构设计与实践;二、安全运营技术架构设计与实践;三、五年安全运营实践心得;四、安全运营的现在和未来;五、后续分享计划。


一、安全运营的逻辑架构设计与实践

安全运营在国内火起来已经有5年了,从2018年开始我们就一直在跟进,见证并实践了它的整个发展过程。要讲清楚安全运营不是一件容易的事,国内也有非常多的大佬在试图定义,想讲清楚安全运营。

我的逻辑是一个事物有什么用它就是什么,知道如何用才能产出价值,而知道定义有什么用?想做到物尽其用,需要掌握事物的原理,做到知其然知其所以然,才能做到不滞于物,草木竹石均可为剑。所以,要搞清楚安全运营的外在生态和内在逻辑。讲生态和逻辑的框架有很多,本次我们用IT人熟悉且非常经典的计算机IPO设计模型。

计算机的IPO设计模型(输入、处理、输出)可以用在任意事物上,它可以非常简洁的把前提条件、如何实现、目标说清楚。和我的思考框架相同,它可以向内推理结构,可以向外推理生态,且可无尽循环。所谓一花一世界,讲的就是向内推理结构,且可以无尽循环的向内推理,与西方无尽拆分物理最小单元的逻辑相同。

此逻辑架构图的设计,与我的工作环境有强关联,大的逻辑可以参考但细节最好不要。关键信息在图中已经展示,下面仅对运行逻辑图进行简单的介绍。

第一层逻辑,计算机输入、处理、输出(IPO)模型,其中输入(I)和输出(O)是安全运营的外部环境,输出是对信息安全整体负责的部分,输入是需要驱动和资源,而处理(P)是安全运营的内部结构。

第二层逻辑,安全运营内部结构(P),核心还是对资产、漏洞、威胁的运营。威胁运营第一,主要是安全事件、安全告警。漏洞运营第二,此处说的漏洞与脆弱性同义,vulnerability的通俗翻译就是漏洞。资产运营第三,主要是服务器、终端、网络设备、IOT等。支撑运营第四,主要有系统存活、安全验证、自动化、攻防对抗、复盘等等,其中自动化、攻防对抗、复盘最为重要。

第三层逻辑,资产、漏洞、威胁的内部结构。资产管理方面的实践见文章《安全资产管理进阶实践》,漏洞管理、威胁管理的实践后面会陆续写文章详细分享。


二、安全运营技术架构设计与实践

安全运营技术架构图各家都有且差异较大,之前也画过多个版本,但都不满意。近期在许总的提示下请教了璐哥,前后花约一周时间,完成如下架构图,期间思路卡住时请教了荣姐,在此特别感谢许总、璐哥、荣姐的帮助。下面主要介绍设计思路和模块的重点。


第一层逻辑,安全业务逻辑,核心是工具层、能力层、场景层,外加门户和资产支撑。安全工具层,主要是原生的安全系统,虚线代表非实体系统,用于掌握安全工具的覆盖、运营状态。安全能力层,主要是从安全设备中抽象出安全能力,用于掌握安全能力覆盖、运营状态。安全场景层,主要是从安全能力中抽象出安全场景,用于观察安全场景的覆盖、运营情况。安全门户层,主要是将各个安全场景管理起来,汇报非常重要。

第二层逻辑,主要是分层之后的各层运行逻辑。安全工具层,采用的逻辑是非常经典的纵深防御(DiD),公认很有效的架构,认可度和通用度都很高,可基于需求覆盖IT服务的核心过程。安全能力层,采用的逻辑是NIST的网络安全框架IPDRR功能模块,和自适应安全架构(ASA)类似,在权威、通用、易懂方面有很大的优势。安全场景层,采用的逻辑是风险管理的三大模块(资产、漏洞、威胁)为基础,再加上运营模块。

第三层逻辑,主要介绍一下安全场景中的运营,事件、告警、漏洞、资产为核心运营对象,攻防对抗、需求管理为主要输入,策略优化、复盘、学习会持续提升。其它的第三层模块设计类似,不再一一介绍。


三、五年安全运营实践心得

以下内容会从时间线或一二三个阶段聊起,以方便安全运营在不同阶段的朋友参考。

1、原则进阶,从三同步,到三跟进原则。

我翻了一下笔记和文章记录,是在2018年7月之前在公司内首提三同步原则(圈里是不是首提不确定),在近5年工作实践中发现基本不可能,同步规划不可能,主要原因是安全是铠甲(属性),只有IT规划完才能基于IT规划做;同步建设不可能,主要原因是安全供应商滞后,根本没有好的方案和设备;同步运营也不可能,主要原因是安全人才滞后。作为理想还行,但不切实际。

2、工作进阶,从随机,到全面,到重点。

安全运营第一阶段,工作逻辑是来什么就做什么,虽无规划但这种自适应的工作方式效果还是比较好的,至少干的事之中大部分是重点工作。

安全运营第二阶段,工作逻辑是全面开攻,这种工作方式的效果是最差的,导致全员疲惫、工作进展慢,且无法保证做的是重点工作。

安全运营第三个阶段,工作中只处理重点工作,问题中只处理要命的问题,其它的后面排队,有时间就处理。个人认为安全运营工作中真正重要的事不多,最小的自恰循环,管好入侵响应、漏洞修复、攻防验证即可。有时间有资源再做情报收集、资产管理,其它的再向后排。

3、组织进阶,从专业,到成长,到梯队。

第一阶段,无团队管理经验,无团队人难招,对于人员的要求是专业即可,成长、表达、沟通、协作等均可让位。

第二阶段,有1-2年团队管理经验,团队3-7人规模,对于人员的要求是专业+成长意愿,无成长意愿的人不要招,用起来是非常痛苦的。

第三阶段,有3-5年团队管理经验,团队规模7人以上,对于人员的要求是专业+成长+梯队,人员分组形成梯队是第一要务,招一线成长为二三线,尽力不招二三线。

4、流程进阶,从无流程、到SOP,到SOAR。

第一阶段,无任何安全流程,工作质量依赖人员能力、责任心、抽查,一般情况下做好抽查工作即可。

第二阶段,编写标准作业流程(SOP),安全工作由于范围大(事多)且专业(精深),做SOP的难度和工作量都很大,导致收益很低;此外SOP从写到用之间经历转换层过多,且安全人员一般个性很强,看不看、遵从度、理解度、执行度都是大问题;结论是不建议。

第三阶段,上安全运营自动化系统(SOAR)之后,安全工作让安全人员直接写成剧本,只要控制好剧本质量,可以规避第二阶段大部分的问题,非常推荐;无法在SOAR上实现的安全流程,建议做到协作流程级别,不要搞操作流程。

5、工具进阶,从合规,到专业,到专长。

第一阶段,受限于监管要求、公司文化、采购合规、商业环境、领导风格、商务关系等等各种因素影响,最终使用实效最好的工具(安全产品或设备)的概率很低,只能说合规就好。

第二阶段,以安全运营目标倒推安全产品的要求,对于防御体系中对抗类的重要系统必须技术主导,否则安全运营工作根本无法保证效果;功能实现类可以其它因素主导。

第三阶段,攻防对抗类工具要求进阶,专业的同时还要考察供应商对工具的长久运营能力,工具背后如果没有一个攻防研究+攻防验证+产品研发的组合团队,那这个产品是没有未来的。

6、其它进阶,事件、告警、漏洞、资产、情报等等。

由于文章篇幅和时间精力问题,其它方面的进阶后期再单独文章分享,不在这里展开。《安全运营进阶实践》完整的PPT,在行业内已分享过多次,若有需要可加我微信找我要。


四、安全运营的现在与未来

1、SIEM已死,鲸落万物生。

我的实践环境和经验里,SIEM不适用于中小企业。SIEM约1970年出现,当时专业安全产品极少,只能通过收集各种系统日志写告警规则实现安全检测能力。它的短板非常明显,比如只能收信息不能控制安全设备,比如使用效果严重依赖写规则的能力。

安全行业经过几十年的发展,各安全领域大多有非常专业的安全产品,使用SOAR+安全设备的方式做安全运营,效果比SIEM好,投入比SIEM低,难度比SIEM低。详细可参考【极思】SOAR 或 SIEM 谁才是未来

2、必经之路,运营自动化。

80%的安全运营工作自动化。自2020年到现在,我们已实践安全运营自动化三年,今年终计算出2023年新增的90+个自动化剧本,可节省22+人年;2022年的100+剧本未计算在内。自动化主要解决的是操作自动化的问题,无法解决决策自动化的问题,这是我们遇到的困难,也是未来要去的方向。

安全运营自动化的核心价值,不是自动化。相对于自动化节省的人力,让所有安全设备之间互联互通,让安全设备的能力一次接入处处可复用,让安全运营智能化成为可能,让安全运营从手工时代进入工业时代。

3、终极目标,运营智能化。

实现80%的事件和告警全秒级自适应处置,实现80%的漏洞自适应修复或预加固。同时这也是实现零改造零信任的甲方方案,可以说它是让零信任理念真正落地的唯一途径(至少目前是)。这是一个理想,不是梦想,因为实体画像的数据资产管理有了,安全设备的互联互通SOAR实现了,驱动决策的事件、告警、漏洞数据也有了,只差实体风险画像,策略计算输出,而执行SOAR的通道可以承载。

五、后期分享计划

2024年会将安全运营技术架构图中的各子模块,单独写文章分享出来,计划每月1篇。有需要的朋友可以关注我的公众号,最好加个星标,微信公众号文章展示机制变化,不加星标看不到文章。文章中提到的《安全运营进阶实践》完整PPT,安全运营逻辑架构图,安全运营技术架构图,如果有需要可加我微信留言。


每月分享最多=赠书一本+包邮

在看+点赞+关注=下期不会走丢哦


《安全运营和攻防实践群》

成员500+已满 入分群加微信



# 高阅读文章

【极思】以攻促防:勒索软件攻击实战演练

【极思】团队管理最核心的是什么?

【极思】全量安全资产管理-进阶实践

【极思】 HW思考和事前加固实践

【极思】思考框架 4.0 万法归一

【极思】SOAR 或 SIEM 谁才是未来

【极思】安全从业成长总结(2017-2019)

【安全】安全管理痛点解决实践

【极思】零信任之微隔离预研

【极思】容器(Docker)安全研究

【极思】WMIC 攻防研究

【安全】用户实体行为分析研究(UEBA )

【安全】PRE-ATT&CK:侦查阶段对抗设计和实践

A9 Team
A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践,期望和朋友们共同进步,守望相助,合作共赢。
 最新文章