前沿 | 企业安全运营体系建设思路及最佳实践
2024-11-11 17:56:0 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

 扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

安全运营是网络和信息化安全发展到一定程度的产物,它是指结合安全产品与服务能力,提升企业网络安全综合水平的一系列过程。通过将人员、流程和技术有机结合,实现对网络安全威胁的持续感知与处置。民营企业作为国民经济的重要组成部分,亦是贯彻习近平总书记总体国家安全观的重要主体之一。因此,在网络安全风险和挑战日趋复杂的大背景下,贯彻落实总体国家安全观,需要持续推进企业安全发展,践行安全运营最佳实践。

一、实行安全运营的重要意义

在日益严峻、复杂多变的网络安全形势下,网络安全对抗经过多年的“攻防相长”,国内企业当前的安全防护能力基础建设已经达到了一个日趋稳定的状态。在各能力体系独立、产品平台繁多的企业内部安全态势下,建设一支安全运营队伍,在最下游横向应对纵横交错的安全风险是当前的重要课题。因此,企业急需建设集中响应、模块兼容的安全运营体系,通过实行安全运营体系可以帮助企业高效解决层出不穷的安全风险。

(一)安全运营是风险治理过程中的重要环节
安全运营的主要任务是对风险的持续处置。风险治理是信息安全领域永恒的话题,网络安全、数据安全、办公安全、内容安全等企业内部安全体系建设正逐渐完善,黑客攻击、员工违规、数据泄漏等各类风险治理方案经过了从专家经验的有效性验证到沉淀为自动化工具系统的多个阶段。随着安全能力不断迭代升级为安全产品,安全运营团队需承担起持续处置检测结果的任务。
安全运营是风险治理过程中最高效的环节。风险治理的基本目标是以最小的成本收获最大的安全保障,过程包括风险识别、风险估测、风险评价、选择风险管理技术和评估风险管理效果。将风险治理的过程进行推演,第一步是由安全专家制定解决方案并进行方案的有效性验证,第二步是产品与研发工程师将解决方案进行工具化与平台化实现,最后一步是由运营人员依照安全专家制定的标准作业程序(SOP)在平台上操作处置。安全团队日常面临多个领域的风险同时处置,防范风险与提高效率的平衡是一个绕不开的问题。在当前企业营收成本的压力下,安全团队需要探寻最少的人力处置最多风险的最优解,需要制造一个杠杆去撬动风险治理的最大收益。因此,对参与风险治理过程中的三类角色与岗位特点进行分析显得尤为重要:安全专家是在某一特定风险领域高度专业的顶尖人才,依赖自身能力与经验能够制定高可靠的解决方案;产品和研发工程师的技能主要集中在平台实现,更关注工具平台的稳定性和实用性;而安全运营则主要依赖上述解决方案的 SOP 执行处置操作。由此可见,安全运营岗位的通用技能是高效、准确地执行处置 SOP,这一岗位特点决定了安全运营能够横向处理多个风险。每类风险的解决方案最终形成一个或多个 SOP 组合执行的过程,称为运营模块。每个运营模块根据其作用可以应对多类风险,例如消息触达模块可以承接上游漏洞风险、事件风险等处置结果,并将结果传达给下游处置人员。综合来看,只要把多个风险治理方案中作用类似的 SOP 抽象合并,形成运营模块后与其他模块灵活组合,就能达到用一个运营模块应对多个解决方案的效果。
安全运营体系建立的核心目标是保证风险处置的准确与高效响应。通过单个运营模块的建设和不同模块的组合应用,能够以最高性价比获取安全价值与业务价值。把多个模块关联组合,对执行模块操作的人员统一管理,根据任务量级、难易程度、紧急性等动态分配,安全团队能够快速产出应对不同类型风险的处置能力,这就是安全运营体系建设的核心思路。同时,在安全运营体系运行过程中,通过各环节的时效性和准确性指标指导运营人员的操作,进一步分析多个安全产品运转各阶段产生的海量信息数据,综合研判企业各领域的风险水平和安全态势,也是安全运营体系建立后的重要价值。
(二)构建安全运营体系的重要性
一是协助安全部门获得业务部门的信任。促进双方形成紧密合作、信息共享的良性互动模式。通过将安全风险转化为详尽的数据态势报告,旨在增加业务部门的信心,而非制造恐慌。这一举措有助于确保施行安全措施与业务发展的并行实施。通过综合呈现安全态势,展示安全保障效果与预测风险,以支持业务部门在业务发展中的决策。同时,向业务证明安全部门具备识别风险和妥善应对的专业能力,能够对低风险问题提供稳定支持,并为高风险问题制定全面的解决方案。业务部门的信任是确保安全工作顺利进行的关键。在获得业务信任的基础上,安全部门还可以通过数据趋势评估安全投入产出比,更合理地确认业务部门应提供的人力资源成本。
二是促进安全部门效率提升,优化人力资源配置。经过对安全专家、产品研发、安全运营等人员的技能经验评估,将复杂的攻防对抗工作交给安全专家团队,而将基础的运营操作稳定在安全运营团队,这样的资源配置是最优解。此外,面向业务部门提供基础运营服务的团队进行统一化管理,可以使各个团队更好地协同工作,提高问题咨询、事件响应等工作的效率。设置统一化的运营渠道,及时发布当前业务部门面临的主要风险以及解决方案的进展。对于安全部门而言,这是一个非常有效的团队提效思路。通过团队的人员能力分层,使专业人士专注于各自领域,深入研究风险并提出相应的解决方案。而模块化的运营体系则提供了一种快速复用机制,使不同的解决方案能够在实际工作中得到有效应用,从而既保证了团队的稳定运作,又提高了整体工作效率。

二、安全运营中出现的问题与挑战

安全运营体系能够支撑企业应对网络安全威胁,落地一套全面且系统的解决方案,帮助企业识别和应对各种潜在的安全风险。然而,安全运营体系的实施过程中可能面临诸多挑战,这些问题不容忽视。首先,构建安全运营体系需要企业投入大量人力资源与人才培养成本。其次,实施过程可能受到多个技术团队之间在末端运营职责范围的划分问题的影响,导致协调不畅、沟通不足等,进而导致实施进度缓慢甚至失败。这些问题都可能影响到企业的安全运营效果。因此,为了确保安全运营体系的顺利施行,行业应加强对企业安全运营体系建设、实施和运行的指导和监督,帮助企业提高安全运营体系的建设水平和实施效果。

一是安全运营领域缺乏一套完善的资质认定体系,以促进人才培养的体系化。当前,针对渗透测试、软件安全、电子取证、风险管理、安全运维等专业领域均有人员资质认证,这些专业资质可以为安全人才提供更多职业发展机会。然而,行业内对安全运营类人才的需求标准是“无所不能,多才多艺”,要求从业人员不仅具备扎实的技术基础,还需对业务有深入理解,能够进行有效的风险管理,并具备丰富的工作经验。为了更好地满足行业对安全运营人才的需求,需要行业联合支持,构建更加完善的人才培养体系,提升安全运营人才的专业素质和综合能力。
二是行业安全运营形态泛化,缺乏清晰职责的定位。由于安全运营涉及多个领域和复杂的任务,因此行业中仍没有明确的岗位职责定位。目前,国内企业的安全运营中心多通过采买 SaaS 服务来运转,由乙方厂商提供边界防火墙、入侵检测系统(IDS)、Web 应用防护系统(WAF)等传统网络安全设备的日志采集与告警处置服务。主要落地形态是各类 SOC 平台,并配备 7×24 监看告警的服务人员。早期谈到安全运营岗位,主要涉及甲方企业安全应急响应中心(SRC)的漏洞与白帽运营或制度体系建设的安全管理类岗位,以及乙方企业提供的安全运维、漏洞复测等打包服务。随着网络安全行业的迅猛发展,安全运营的重要性日益凸显,当前岗位职责主要聚焦在各类告警与事件处置、漏洞验证与推修、通过数据论证安全水平等方面。
三是构建企业安全运营体系缺乏成熟经验参考。相比安全攻防和数据安全等概念,安全运营仍是较新领域,其工作流程亟需行业共同探索。企业需建立完善的安全运营机制和流程,确保各项安全措施能够得到有效执行。同时,企业还需要通过扩大影响力来推动安全工作的开展,提高员工的安全意识和业务参与度,形成从“要我实行安全”到“我要践行安全”的文化氛围。此外,数据驱动的安全运营能力不可或缺的,企业应对各类安全数据进行收集、分析并呈现各类安全数据,以更好地了解网络安全状况,预测潜在的安全风险,并为安全决策提供有力支持。从行业层面看,需建立跨部门、跨企业的安全运营人才交流平台,促进人才经验与合作。通过这个平台,安全运营人才可以共享经验、互相学习,从而不断提升企业安全运营的成熟度。

三、构建“安全运营能力三角形”成为当务之急

当前,甲方企业需适应安全行业发展趋势,明确定义安全运营的岗位职责和发展方向,为安全运营人才提供职业成长空间。根据各甲方企业安全运营岗位的工作范畴,安全运营已成为联动业务部门、风险治理能力部门和信息安全业务伙伴(安全 BP)之间的重要纽带。“安全运营能力三角形”的核心包含建机制、扩大影响力和数据驱动。建机制实质上是标准化能力的体现,通过标准操作程序(SOP)的建设,实现操作、处置和应急响应的标准化。扩大影响力则更多依赖于扩展沟通渠道,通过证明安全能力水平来获得业务与用户的信任。数据驱动则体现在指标产出的能力上,比如运营效率指标和风险治理指标等。安全运营的岗位职责主要是在风险治理过程中,执行各类风险的处置方案,是风险治理中的一个环节,兼顾安全价值与业务价值。

(一)建机制:构建办公风险治理运营体系
办公风险治理是为了保障员工行为合规。办公安全核心关注点是确保员工行为符合企业要求,从而降低风险发生的可能性。首先,需要将员工的主观意愿与客观行为结果层层拆解,确保执行常规工作的员工了解企业要求,避免违规操作。对于特殊需求场景,应提供相应的流程或工具支持,以减少误操作。同时,必须明确告知员工违规行为的后果,以达到警示效果。如果员工发生违规的行为能够被及时检测到并阻断其进一步探测的动作,对未被阻断的违规行为也需进行相应的处置。总之,当员工在办公设备上利用所拥有的账号权限等资源在信息系统上进行操作时,要能够对这类操作进行必要的检测与管控。
办公风险治理有章可循。第一阶段是制定规则,以匹配成本与平台技术发展的阶段。如果企业在早期技术建设尚未完善的情况下,可以从投入产出比最高的事项做起。首先制定行为守则,包括信息安全规范、事件定级处置规范、账号权限管理规范、数据安全规范等。其次,在意识层面进行宣教引导,让违规治理工作有章可循,着重于规范的细节拆解和解读。通过提炼出安全红线、指导手册等易于理解和记忆的内容,以增加规范的认知度。最后,积极开展安全培训,将安全要求从意识层面渗透到员工,避免出现“不知道企业要求”“不知道违规后果严重”的情况。安全培训已被证实能显著降低员工违规发生率,未培训人群的违规率通常高于参训人群。第二阶段是检测处置,企业需要着重完善审计的能力。通过分析员工的行为日志、进行离线数据分析和策略提取,逐步推动到线上实时的策略分析,让办公安全可感可控。第三阶段是管控预防,在员工设备、账号权限等资源上建设管控手段,在事前或事中去预防和阻断事件的发生。在员工使用设备和利用资源进行操作行为的全链路上,通过“宣教+审计+管控”的治理方案,可以实现可感可控可溯源可打击的效果。值得注意的是,在保护商业秘密的时期,要增强敏感数据系统异常访问的审计。在促进企业合规的时期,要多宣导法律要求、违规后果,重点审计涉及隐私、数据外发等行为,同时可以在设备或权限上制定更严格的管控措施。
办公风险治理的运营经验。首先是将治理过程拆分为多个运营模块。在办公风险治理过程中积累的专家规则、处置手段、审计能力、数据分析能力逐步沉淀到 UEBA 平台(员工实体风险识别与响应的中台服务),下一步由运营团队承担违规治理的处置操作。在办公风险治理中,运营执行的主要操作是事件处置。我们将事件处置的过程抽取为标准操作程序(SOP),主要包括告警产生、研判、触达、关闭工单的操作过程(如图所示)。将这一系列操作继续抽象合并,形成告警研判和工单处置两个运营模块。其次是针对各安全运营模块设置指标。在模块运营过程中,通过数据服务产出风险结果、治理能力和运营效率的指标。风险结果指标为最终产生的安全事件数,通过事件数可以反映当前的风险水位,事件数的增长趋势则体现治理效果。治理能力的有效性可通过平均检测时间(MTTD)和告警准确性共同评价。运营团队的效率则通过平均恢复时间(MTTR)和运营研判的准确率来反映。总结来说,办公风险的运营体系是通过告警研判和工单处置的模块来实现持续的事件处置,并通过模块设置的事件数、MTTD、告警准确率、MTTR 和研判准确率等指标来评价风险治理效果。
图 事件处置的运营过程
(二)扩大影响力:提供风险治理的效果评估
建立统一的安全运营部门。在内容安全、网络安全、办公安全、数据安全等不同的风险治理方案完成有效性验证后,落地成平台工具。运营团队通过告警研判、工单处置、基线巡检和权限核查等运营模块的组合,支撑风险的持续治理,并统一输出包括咨询、宣贯、安全态势、事件调查和漏洞响应等服务,为业务提供一致的数据、宣贯和响应服务。
提供风险治理的效果评估。在办公风险治理中应用的告警研判和工单处置运营模块及其关联指标,可以复用至网络安全、接口安全等类似告警的运营过程中。通过更多运营模块的组合,运营团队接触并产生了大量安全数据。这些安全数据能够产生价值,进而影响全局的安全决策。
(三)数据驱动:评估治理能力水平和运营成熟度
通过运营数据,评估治理能力水平和运营成熟度。分析各类型风险治理方案的效果,用以量化治理效果与资源投入的关系。通过办公风险治理的指标进行进一步挖掘,可以推断治理能力水平越高,自动化程度越高,且在风险覆盖的前提下,人工介入的过程越少。通过抽取风险覆盖(产生事件的策略数的增长趋势)和自动化程度(自动触达率)的指标,促进对违规风险的有效识别,使策略覆盖更全面、更迅速,违规行为的识别更准确,违规风险的发现和处置达到“准”而“全”。运营成熟度则更关注在保质保量的前提下,相同的人处理更多的事件和告警。通过运营准确性(研判准确率)和运营效率(单日处理量)来观测,促进事件处置过程的“准”与“快”。
建设沟通机制,向业务部门汇报安全态势。通过数据分析向业务部门报告安全现状与趋势,主动影响业务发展的决策,这是确保安全运营体系有效施行的必要环节。数据分析的载体包括各类趋势图表与态势报告。制作报告需明确目标读者、内容、报告周期、重要性以及读者在阅读图表后需采取的行动。一是面向业务管理者的报告,需呈现该部门在企业内的安全水平排名。如报告中提及该部门需要提升的部分,管理者可能会将报告转发给具体负责的员工。因此,报告中需清晰阐述每个问题及后续改进措施。建议面向业务管理者发送的报告周期为月度,简要描述安全趋势和部门指标。此外,根据企业内部安全规范,报告可能需要包含管理职责落地的相关内容,例如超期未修复的漏洞和发生的安全事件,这类信息可采用周度汇总方式发送。二是针对信息安全伙伴(BP)的报告,由于他们是业务信息安全的接口和负责人,是安全措施的实际执行者,因此需尽可能提供指标分析和历史情况等信息以供参考,并使用详实的数据报告辅助信息安全伙伴制定长期规划或判断当前重点。三是面向安全部门的报告需关注企业整体风险、信息安全能力建设的状况以及对业务部门资源的投入情况。同时,可以建设会议机制,按周、按月、季度和年度组织安全会议。在会前准备更丰富、准确的内容,并通过每次会议为参会人员提供信息并接受其对安全工作的反馈。

四、结 语

通过构建以机制为基础、以影响力为支撑、以数据为驱动的全方位安全运营能力三角,可以建立一个集中响应、模块兼容的安全运营体系。企业能够更快速、更准确地应对各类网络安全事件,降低安全风险对企业业务的负面影响。同时,此体系还能够帮助企业不断优化安全策略,提高安全防御能力,为企业的发展提供更加安全可靠的网络环境。

(本文刊登于《中国信息安全》杂志2024年第8期)

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664229265&idx=2&sn=c7eb60c90dd15982f4d5aac058c2812d&chksm=8b59eb68bc2e627ebebda347eba8770971a65666ae382cb1b3893b0653b8989682ae42045a6a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh