围观次数:520 views

目前安全情报大热,不少同学也谈到了安全即服务(SECaaS)的趋势不可阻挡。今天我尝试从运营的角度简单的谈一谈。

无论是传统的各类安全系统还是未来的以智能感知和情报驱动的安全平台,无论是以考核为主要手段的安全管理还是逐步转变的安全即服务的业务模式,组织和人在安全防御体系中发挥的价值将会越来越重要。假如缺少了一个配合安全技术发展的运营体系,安全技术体系再好再完善,其作用也将大打折扣,甚至越来越多的安全措施将会给企业安全工作带来“无法承受之重”。企业的安全运营就像是在织网,通过日常的活动将许许多多的安全措施和安全策略联系起来,以期能使已有的安全投入发挥一加一不小于二“1+1≥2”的作用。

 

信息安全与公共安全

网际空间的安全攻防对抗,根本上还是人和人、组织和组织以及人和组织的对抗,因此公共安全中的各类措施和手段,其实也可以映射到信息安全中。借鉴成熟的公共安全运营方法和体系来指导信息安全运营活动开展,也许可以取得事半功倍的效果。

访问控制措施(防火墙等及策略配置),正如同“边检、海关、边防”是安全防御的基础手段和最为关键的基本措施。

统一身份认证措施、IP地址规划,正如同“护照、身份证”是安全行为判断的最基本依据。

各类资产的识别,业务和系统的配置管理、组件管理、状态管理,正如同“工商登记、税务登记、产权登记”是业务能够合法顺利开展的基础数据。

各类数据包分析、数据保护、审计等安全措施,正如同“保密、消防、安保、城管、值班大爷等”负责专项安全机制的实际开展。

而智能感知和情报获取,就如同各类情报机(军方、国安、公安)的活动,是应急响应、追查、取证、防范甚至反制的能力。

 

避免信息安全孤岛

如何避免越来越多的安全措施和投入成为技术和信息的孤岛,将是安全防御体系成败的关键。无论是SIEM,还是热议的安全大数据分析,又或者是智能感知和情报共享,要解决的都是技术上的信息安全互联和共享。但是要真正的将安全事件预防、发现、处置到威胁情报共享全环节的打通,需要的还是踏实落地的安全运营。

目前许多企业尤其是传统的大中型企业,缺乏的并不是对安全的投入和技术措施的建设,而是缺失了对历年安全投入成果的真正使用。信息安全没有真正的用户,更没有真正的运营机制,对于企业来说只会是投入越大失望越大。

对比公共安全的方法,应将防火墙和访问控制策略等边控信息在运营工作中打通(出入境信息联网可查),建立信息安全工作的基础围栏。

在安全事件调查和处置过程中做到信息资产和人员的“身份信息”统一可查询(身份证信息联网可查),并逐步和其他安全措施打通(金融系统、民政系统与公安局身份证系统联网)。

在安全运营的过程中,将业务系统可用性和业务特性与安全服务逐步贯通(BAT等互联网公司做得不错),让业务与安全有机结合,业务部们和安全主管机构各司其职,协同响应。

然后进一步利用安全大数据分析技术实现安全情报共享和安全威胁的智能感知,将安全运营工作转化为真正意义的安全即服务SECaaS。

 

提高安全效率

一个良好的安全运营体系,涵盖了技术能力、组织流程、人员素质三方面的持续优化和改进。合理的统筹规划这三方面的投入和能力提升,是企业安全防御体系的重中之重。

 

很久不写,不足之处,请大家多提建议!关于企业安全运营更多的想法和细节,我们以后继续聊。

4人评论了“浅谈安全运营”

  1. 不论有没有安全智能,抑或SECaaS,安全运营(SecOps)一直都是一个很关键的安全保障机制的组成部分,一直都是如此。可我们一直都在这方面欠账太多,究其原因,就在于客户对安全投资的结构性问题。说白了,就是安全投资结构不合理,过份重视“可见的”安全基础设施建设(包括各种软硬件安全设备/系统),而忽略了“软性”的安全能力建设,包括组织、流程、人员、意识、培训等等软性的投资,各位可以自己统计一下,一个企业/组织一年的安全投资中安全基础设施与能力建设的比重是多少。再往深说,就是这些“软性”投资的标准不好界定,价值不好衡量,与当前组织和企业衡量安全投入产出的传统方法论之间存在间隙。

    1. 而且也不能一味的把责任推给客户,毕竟绝大多数安全厂商只注重把产品卖掉,好一点的再卖一些服务。而对于使用和运营,真的没几个安全企业甚至咨询公司在培养客户领导的意识上下过功夫。

  2. 之前遇到过一个这样的领导,当安全部门提出搞一搞安全培训、安全教育,领导强调说能技术解决的问题尽量技术解决,尽量不要影响业务或其他职能部门的日常工作;
    如此可见,在安全方面,对技术能起到的作用过分夸大,也可以看出安全团队在组织内话语权不够大,也没有得到公司管理层的支持;
    这应该也算是大部分中小型公司安全团队普遍遇到的问题 !

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助