在企业安全建设的早期,主要以等级保护等合规政策驱动,通过部署相关安全设备形成边界安全防护体系。伴随从信息化到数字化建设进程的迈进,一方面,IT架构和业务系统迅速扩展,安全设备层层加码逐渐形成了“防御孤岛”,安全的成本明显上升,而保障的效率却在迅速下降;另一方面,新兴技术的落地应用使得传统网络安全边界消失,并带来新的安全风险,快速地发现威胁、响应和恢复成为安全团队的普遍诉求。
因此,面向最终的安全目的,一系列的安全建设更多是作为偏向于技术层面的前奏动作,闭环的安全价值还需要持续的安全运营,作为链接安全工具、安全人员以及安全流程和安全场景的纽带,识别威胁、快速分析、精准响应、协同防御,让安全建设中的能力得以施展并提升。这种统筹资源、一体把控的管理手段,已成为现代安全体系中必不可少的环节。
安全运营伴随网络安全需求而持续演进
回顾网络安全行业三十多年的发展历程,安全运营的思想及实践一直贯穿其中。早期出现的安全管理系统,通过对网络环境中多点分散的防火墙、VPN等设备进行集中监控和策略下发,协同构建起一个较为完整的边界安全统一防护体系。
随着对网络安全认识的不断深入,安全管理体系化的思想渐成主流,出现了以信息系统资产为核心的全面安全监控、分析、响应系统,以SIEM为代表的技术大放异彩,聚合来自本地或云端各单点工具产生的安全日志与数据,进行标准化处理和关联分析,实现了较为全面的事件管理与处理流程,以及风险管理与运维流程。
对于用户而言,真正的安全不是简单的设备安全,而是指业务系统安全,顺应上述的统一管理思想,以业务为核心的管理运营体系诞生,通过SOC作为基于人员、流程和技术安全原则的集中协调单位,采集组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。
进入2010年之后,新兴技术迅猛发展,网络应用日新月异,0day漏洞、APT攻击、勒索病毒等新型攻击手段层出不穷,安全团队每日在海量低价值警告以及误报带来的噪音中疲于奔命,安全事件却愈演愈烈却得不到有效缓解。任何基于“规则”、单纯强调“防护”的安全体系亟需主动转变到注重预警、检测、响应的格局,安全能力强调“快速检测和响应能力”的构建。
近年来,数字化转型成为新时期的主线任务,数据量级激增,数据资产价值被提升到前所未有的高度,既是威胁和风险的敞口也是安全运营的基础。而从市场层面观察,密集出台的政策对各行业的安全建设及运营进行持续宣贯和落地,国家级攻防演练等行动更是极大地推动了安全运营市场的发展。全面感知威胁、常态化进行风险管理与响应是如今安全运营的重心。
一体化思维奠定安全运营体系的地基
诚然,如今安全运营在安全厂商和用户侧都是比较受关注的话题,相关的产品工具及解决方案不断推出并积极投入市场,也因此,安全运营的内涵和范围在不断地延展并模糊,被纳入的核心能力越来越丰富,以及应该如何实施、如何评价,并没有形成统一的认知。
首先不可否认的是,无论采用什么样的实施方案,运用什么样的技术工具,一体化的安全思维始终一脉相承,这对于安全运营体系的建立、运行和价值发挥都非常重要。
安全数据的统一。安全运营本质上是数据在安全领域的运营,安全运营体系实际上是构建了一个安全领域的数据应用要素体系,定义出数据以及数据源,依靠工具和专家共同实现基于数据的分析体系。对多源异构的安全数据进行统一采集和标准化处理,将为后续的威胁感知和分析打下优质且易用的良好基础。
安全能力的统一。单点跨域的安全工具造成了明显的安全瓶颈,运营管理体系及运营流程的引入,正是要打破孤岛,实现对遍布网络、终端、云端的各类安全设备、平台的集中调度和管理,以有逻辑的作业流程打造安全服务的工程化能力,提供覆盖预警、监测、分析、响应一体化、全方位的安全能力。
安全管理的统一。所谓的一体化、全方位安全能力的实现,需要安全运营融入安全体系架构的各个环节,通过松耦合的机制,实现统一的安全运营管理,形成快速协同体系,提供包括指挥调度、流程管理、能效管理等能力,形成决策科学、指挥响应及时的一体化指挥链条,建立贯穿事前事中事后的全域安全过程管理。
围绕识别、检测和响应 建立安全运营核心能力
在一体化的指导思想之下,我们可以从安全的目标,来探讨面向未来的安全运营应该具备的核心能力。为了让资产得到更加周全的保护,让业务保持稳定运行状态,同时还要关注效率、成本与体验,安全运营旨在从全局上提高对安全威胁的感知、理解和处理能力,同时根据运营反馈结果,自动化且智能化地构建并执行最优决策,持续地改善组织的安全态势。
首先在于提升感知识别能力。一方面是识别梳理组织的数据、资产、资源及其运用的状况,掌握潜在的缺陷和弱点,另一方面是能够实时、全面地发现威胁,无死角地感知威胁,并体系化评估点、线、面风险及其影响。在实践上包括资产盘点与管理、暴露面检测、安全监控与检测、攻击面验证等等,并且协同威胁情报等大数据能力,覆盖边端纵深和横向感知,形成全面的感知基础能力建设。
其次在于加强检测分析能力。从单一的安全事件、到整体的安全威胁、到全局的安全风险,安全视角不断拔高,跳出规则监测之后,需要着重洞察攻击过程中持续的多个动作与正常用户行为的区别,比如通过XDR平台进行威胁狩猎,不仅仅要分析出攻击,还原完整的攻击链条,更应该溯源挖掘本质原因,强化防御能力,提升对全局性安全风险的判断。
再次在于优化决策响应能力。在攻击者对业务系统造成最终损害之前,制止损害或降低损失是安全体系的最终防线,也是及时响应的目标。安全运营需要在对系统以往发生和正在发生的事件进行分析的基础上,对系统未来和当下事件变化规律做出最优判定,结合了安全事件响应、安全编排与自动化、共享威胁情报等能力的SOAR被大量应用,大幅度缩短MTTR,提高决策水平和响应速度。
模式创新、AI加码 安全运营市场发展势头强劲
围绕上述识别、检测和响应的安全闭环进行能力扩展和强化,面向未来的安全运营应该是高效、精准和普惠的,让安全建设可衡量,让安全防护有效果。
安全运营成为广受认可的重要发展方向,市场发展势头强劲,根据安全419观察:
- 包括XDR、XTI、ASM、BAS、SOAR等在内的技术或框架得到大力发展应用,为安全运营提供底层技术及核心能力支撑;
- 同时,MSS、MDR以托管模式将安全运营服务化提供,用户可以按需选择,让获取高阶安全能力更便利;
- 并且,随着机器学习、生成式人工智能等技术的在安全领域的探索尝试,安全运营朝着完全自动化和智能化阶段大踏步迈进,有望发挥出更加令人惊喜的价值。
为了帮助更多用户了解并获取安全运营的能力与价值,接下来,安全419将从第三方产业观察视角,围绕安全运营在识别、检测、响应等各个维度所需的关键能力,通过实际的解决方案和落地案例,成系列地为业界分享呈现安全运营的市场应用情况、真实用户反馈和未来发展趋势。在此欢迎在安全运营领域有所思考及实践的厂商和用户们与我们联系,共同分享见解展示成果。