安全運(yùn)營(yíng)中心的演化是隨著安全威脅和業(yè)務(wù)的變化而演化的。迄今為止,安全運(yùn)營(yíng)中心已經(jīng)發(fā)展了三代,啟明星辰分別梳理了從以資產(chǎn)為視角的安全運(yùn)營(yíng)中心1.0、以業(yè)務(wù)為視角的安全運(yùn)營(yíng)中心2.0,到如今的以全面的威脅感知與響應(yīng)為視角的安全運(yùn)營(yíng)中心3.0。本文啟明星辰將帶您一起回顧安全運(yùn)營(yíng)中心的前世、今生,探索安全運(yùn)營(yíng)中心的未來(lái)之旅。
安全運(yùn)營(yíng)中心1.0-以資產(chǎn)為視角
在信息安全建設(shè)早期,更多地是部署各類安全設(shè)備和系統(tǒng),逐漸形成了“安全防御孤島”,導(dǎo)致了安全管理的成本急劇上升,而安全保障效率迅速下降。為此,出現(xiàn)了最早的安全管理系統(tǒng),主要是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中分散的防火墻/VPN等設(shè)備的集中監(jiān)控與策略下發(fā),構(gòu)建一個(gè)較為完整的邊界安全統(tǒng)一防護(hù)體系。
隨著對(duì)信息安全認(rèn)識(shí)的不斷深入,安全管理體系化思想逐漸成熟,出現(xiàn)了以信息系統(tǒng)資產(chǎn)為核心的全面安全監(jiān)控、分析、響應(yīng)系統(tǒng)—安全運(yùn)營(yíng)中心1.0。它以資產(chǎn)為主線,實(shí)現(xiàn)了較為全面的事件管理與處理流程,以及風(fēng)險(xiǎn)管理與運(yùn)維流程。
1、資產(chǎn)為主線;
2、事件收集和管理;
3、服務(wù)內(nèi)容:風(fēng)險(xiǎn)管理和安全運(yùn)維。
隨著客戶業(yè)務(wù)的深化和行業(yè)需求的清晰,傳統(tǒng)安全運(yùn)營(yíng)中心1.0理念和技術(shù)的局限性逐漸凸現(xiàn)出來(lái),主要體現(xiàn)在三個(gè)方面:
1、在體系設(shè)計(jì)方面,傳統(tǒng)安全運(yùn)營(yíng)中心圍繞資產(chǎn)進(jìn)行功能設(shè)計(jì),缺乏對(duì)業(yè)務(wù)的分析;
2、在技術(shù)支持方面,傳統(tǒng)安全運(yùn)營(yíng)中心缺少全面的業(yè)務(wù)安全信息收集;
3、在實(shí)施過(guò)程方面,傳統(tǒng)安全運(yùn)營(yíng)中心實(shí)施只考慮安全本身,沒(méi)有關(guān)注客戶業(yè)務(wù)。
以資產(chǎn)為核心、缺乏業(yè)務(wù)視角的軟肋使得傳統(tǒng)安全運(yùn)營(yíng)中心不能真正滿足客戶更深層次的需求。
安全運(yùn)營(yíng)中心2.0-以業(yè)務(wù)為視角
安全運(yùn)營(yíng)中心1.0的出現(xiàn),提升了用戶信息安全管理的水平,從而也對(duì)信息安全管理有了更高的期望。對(duì)于用戶而言,真正的安全不是簡(jiǎn)單的設(shè)備安全,而是指業(yè)務(wù)系統(tǒng)安全。IT資源本身的安全管理不是目標(biāo),核心需求是要保障IT資源所承載的業(yè)務(wù)的可用性、連續(xù)性、以及安全性,因?yàn)闃I(yè)務(wù)才是企業(yè)和組織的生命線。要保障業(yè)務(wù)安全,就要求為用戶建立一套以業(yè)務(wù)為核心的管理體系,從業(yè)務(wù)的角度去看待IT資源的運(yùn)行和安全,于是出現(xiàn)了面向業(yè)務(wù)的安全運(yùn)營(yíng)中心2.0。
安全運(yùn)營(yíng)中心2.0繼承和發(fā)展了傳統(tǒng)安全運(yùn)營(yíng)中心1.0的集中管理思想,將安全與業(yè)務(wù)融合,真正從客戶業(yè)務(wù)價(jià)值的角度去進(jìn)行一體化安全體系的建設(shè)。
安全運(yùn)營(yíng)中心2.0的定義:安全運(yùn)營(yíng)中心2.0是一個(gè)以業(yè)務(wù)為核心的、一體化的安全管理系統(tǒng)。安全運(yùn)營(yíng)中心2.0從業(yè)務(wù)出發(fā),通過(guò)業(yè)務(wù)需求分析、業(yè)務(wù)建模、面向業(yè)務(wù)的安全域和資產(chǎn)管理、業(yè)務(wù)連續(xù)性監(jiān)控、業(yè)務(wù)價(jià)值分析、業(yè)務(wù)風(fēng)險(xiǎn)和影響性分析、業(yè)務(wù)可視化等各個(gè)環(huán)節(jié),采用主動(dòng)、被動(dòng)相結(jié)合的方法采集來(lái)自企業(yè)和組織中構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的安全信息,從業(yè)務(wù)的角度進(jìn)行歸一化、監(jiān)控、分析、審計(jì)、報(bào)警、響應(yīng)、存儲(chǔ)和報(bào)告。安全運(yùn)營(yíng)中心2.0以業(yè)務(wù)為核心,貫穿了信息安全管理系統(tǒng)建設(shè)生命周期從調(diào)研、部署、實(shí)施到運(yùn)維的各個(gè)階段。
安全運(yùn)營(yíng)中心2.0的價(jià)值就在于確保IT可靠、安全地與客戶業(yè)務(wù)戰(zhàn)略一致,促使客戶有效地利用信息資源,降低運(yùn)營(yíng)風(fēng)險(xiǎn)。
從產(chǎn)品的角度來(lái)看,從安全運(yùn)營(yíng)中心1.0到安全運(yùn)營(yíng)中心2.0,實(shí)現(xiàn)了業(yè)務(wù)與安全的融合。
從服務(wù)的角度看,安全運(yùn)營(yíng)中心將成為MSSP(可管理安全服務(wù)提供商)的服務(wù)支撐平臺(tái),成為SaaS(軟件即服務(wù),安全即服務(wù))的技術(shù)支撐平臺(tái),成為云計(jì)算、云安全的安全管理后臺(tái)。所有用戶體驗(yàn)到的安全服務(wù)都會(huì)由安全運(yùn)營(yíng)中心來(lái)進(jìn)行總體支撐。一方面,安全運(yùn)營(yíng)中心產(chǎn)品的業(yè)務(wù)理念和思路會(huì)滲透到安全運(yùn)營(yíng)中心服務(wù)之中;另一方面,安全運(yùn)營(yíng)中心服務(wù)水平與客戶認(rèn)知的提升也會(huì)促進(jìn)安全運(yùn)營(yíng)中心產(chǎn)品的發(fā)展與成熟。
安全運(yùn)營(yíng)中心2.0也初步定義出了安全管理過(guò)程,對(duì)應(yīng)了安全事件管理的事前、事中、事后三個(gè)階段,事前重點(diǎn)是防護(hù)措施的部署,排兵布陣;事中是安全的監(jiān)控與應(yīng)急響應(yīng),對(duì)于可以預(yù)知的危險(xiǎn)可以防護(hù),但對(duì)于未知的危險(xiǎn)只能是監(jiān)控,先發(fā)現(xiàn)再想辦法解決;事后是對(duì)安全事件的分析與取證,對(duì)于監(jiān)控中沒(méi)有報(bào)警的事件的事后分析。
安全防護(hù)管理:負(fù)責(zé)安全網(wǎng)絡(luò)設(shè)備的管理與基礎(chǔ)安全體系的運(yùn)營(yíng)。是安全事件出現(xiàn)前的各種防護(hù)管理,其鮮明的特征就是制定的各種安全策略并下發(fā)到相關(guān)的安全設(shè)備。
監(jiān)控與應(yīng)急調(diào)度中心:對(duì)安全事件綜合分析,根據(jù)威脅程度進(jìn)行預(yù)警,并對(duì)各種事件做出及時(shí)的應(yīng)對(duì)反應(yīng)。
審計(jì)管理平臺(tái):事件的取證與重現(xiàn)、安全合規(guī)性審計(jì)、數(shù)據(jù)的統(tǒng)計(jì)分析、歷史數(shù)據(jù)的挖掘。安全的審計(jì)安全管理的事后“總結(jié)”,也是安全防護(hù)的依據(jù)。
安全服務(wù)貫穿于三個(gè)維度中,防護(hù)的策略需要對(duì)安全先整體評(píng)估,預(yù)警應(yīng)急需要安全專家的分析與辦法……安全運(yùn)營(yíng)中心的三個(gè)發(fā)展方向?qū)崿F(xiàn)的功能需求是可以獨(dú)立的,但其所需的信息來(lái)源基本是一樣的,都是從設(shè)備的安全日志與鏈路的數(shù)據(jù)分析得來(lái),安全運(yùn)營(yíng)中心建設(shè)好比是一個(gè)根上開出的三朵花。
安全管理的關(guān)鍵是考慮全面,遺漏本身就會(huì)給系統(tǒng)帶來(lái)不安全的因素,所以安全運(yùn)營(yíng)中心的三個(gè)維度建設(shè)應(yīng)該是相輔相成的,單獨(dú)的哪一個(gè)方面都不可能替代其他方面的功能,三個(gè)方面相結(jié)合,覆蓋安全事件的前、中、后整個(gè)周期,才可以全面保障客戶業(yè)務(wù)的安全。
安全運(yùn)營(yíng)中心3.0-以全面威脅感知與響應(yīng)的城市級(jí)運(yùn)營(yíng)為視角
安全運(yùn)營(yíng)中心2.0雖然融合了客戶的業(yè)務(wù),基于業(yè)務(wù)出發(fā),解決安全威脅和風(fēng)險(xiǎn),但是從2010每年后,從Google Aurora極光攻擊、震網(wǎng)攻擊、夜龍攻擊等等眾多APT攻擊事件,反應(yīng)出新的攻擊手法和攻擊手段都在發(fā)生變化。而0day漏洞攻擊、魚叉式釣魚攻擊,利用漏洞遠(yuǎn)程獲得初始控制權(quán),水坑攻擊、勒索病毒,APT攻擊以及專業(yè)的攻擊組織形成了最新的攻擊事件的主角閃亮登場(chǎng)。這些新攻擊方式和攻擊者的出現(xiàn),也徹底打破了依靠傳統(tǒng)被動(dòng)式防御體系。
“魔高一尺,道高一丈”。信息安全是攻與防的對(duì)抗,在一個(gè)過(guò)程之中達(dá)到動(dòng)態(tài)的平衡。單純被動(dòng)式防御(Protection)措施無(wú)法抵御蓄謀已久的攻擊,任何基于“規(guī)則”的防御都難以避免被欺騙或被繞過(guò)。因此,Gartner提出的自適應(yīng)安全架構(gòu)強(qiáng)調(diào)了檢測(cè)、預(yù)警、響應(yīng)的重要性。Gartner預(yù)測(cè)到2020年,防范措施將不再重要,關(guān)鍵是監(jiān)控和情報(bào),60%的安全預(yù)算會(huì)投入到檢測(cè)和響應(yīng)中。
如何實(shí)現(xiàn)信息安全,應(yīng)對(duì)日益增長(zhǎng)的安全威脅?當(dāng)前,不論是用戶還是安全從業(yè)者都已經(jīng)從單純強(qiáng)調(diào)防護(hù),轉(zhuǎn)變到注重預(yù)警、檢測(cè)、響應(yīng)的格局,安全能力從“防范”為主轉(zhuǎn)向“快速檢測(cè)和響應(yīng)能力”的構(gòu)建,實(shí)時(shí)防御將以“情報(bào)”為中心,它不再?gòu)?qiáng)調(diào)單點(diǎn)的檢測(cè),也不再單純的追求告警的精確性,而是將若干的點(diǎn)關(guān)聯(lián)起來(lái),以數(shù)據(jù)為驅(qū)動(dòng)來(lái)解決問(wèn)題。
從行業(yè)內(nèi)廠商、用戶的一致看法來(lái)看,解決此類問(wèn)題的主要方式是,建立基于云計(jì)算和大數(shù)據(jù)分析的托管式第三方安全運(yùn)營(yíng)中心,是解決以上網(wǎng)絡(luò)安全能力在政府及企業(yè)側(cè)落地困難的主要方式。
啟明星辰在行業(yè)內(nèi)首先提出建立獨(dú)立于建設(shè)者和使用者的第三方安全運(yùn)營(yíng)中心,為城市政府機(jī)構(gòu)、企業(yè)及智慧城市建設(shè),提供托管式、外包式的7*24小時(shí)專業(yè)安全運(yùn)營(yíng)服務(wù);為城市打造專職的網(wǎng)絡(luò)空間安全應(yīng)急響應(yīng)中心,提高針對(duì)政府機(jī)構(gòu)、企業(yè)及網(wǎng)絡(luò)空間危害事件的發(fā)現(xiàn)與響應(yīng)能力、加強(qiáng)對(duì)潛在攻擊的監(jiān)測(cè)和調(diào)查能力;由區(qū)域性第三方安全運(yùn)營(yíng)中心為城市提供專業(yè)的托管式安全服務(wù),是有效提升城市網(wǎng)絡(luò)安全能力的方式,是解決安全能力交付“最后一公里”的最佳選擇,近年來(lái)逐漸成為國(guó)內(nèi)外網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重要方向。
安全運(yùn)營(yíng)中心3.0也將會(huì)在圍繞第三方安全運(yùn)營(yíng)中心針對(duì)下面四個(gè)方面重點(diǎn)進(jìn)行建設(shè):
全面的感知基礎(chǔ)能力建設(shè)
所謂“全面“是指對(duì)與信息安全相關(guān)的情報(bào)感知能力,全面的安全監(jiān)測(cè)是安全運(yùn)營(yíng)平臺(tái)的安全技術(shù)手段的基礎(chǔ),針對(duì)終端、云端和數(shù)據(jù)傳遞的管道端進(jìn)行數(shù)據(jù)的收集和分析,為整體的安全態(tài)勢(shì)提供基礎(chǔ)數(shù)據(jù)服務(wù)。包括:設(shè)備運(yùn)行狀態(tài)、資產(chǎn)、網(wǎng)站、終端事件、安全日志、流量、威脅,漏洞,攻擊者的戰(zhàn)術(shù)和技術(shù),自身的安全狀態(tài)和安全能力感知。
當(dāng)前用戶獲得的告警能力和響應(yīng)能力都來(lái)自于安全設(shè)備的威脅以及脆弱性分析報(bào)告,而對(duì)于安全系統(tǒng)自身的安全狀態(tài)和能力方面的檢測(cè)卻十分缺乏。例如:關(guān)鍵業(yè)務(wù)系統(tǒng)和重要數(shù)據(jù)的安全狀態(tài),安全防護(hù)能力的執(zhí)行情況,以及內(nèi)部威脅違規(guī)的感知能力等。
其次,對(duì)于攻擊者來(lái)說(shuō),所采用的攻擊手段和攻擊戰(zhàn)術(shù)不能及時(shí)發(fā)現(xiàn)或者不了解,或者不能及時(shí)更新,現(xiàn)有的安全技術(shù)、安全管理手段無(wú)的放矢,應(yīng)對(duì)失措導(dǎo)而致信息安全體系失效。
在這方面,MITER發(fā)布的的ATT&CK知識(shí)庫(kù)是一個(gè)了解攻擊者采用何種戰(zhàn)術(shù)和技術(shù)攻陷企業(yè)信息系統(tǒng)的有效途徑。
構(gòu)建異常行為的線索發(fā)現(xiàn)能力
傳統(tǒng)基于關(guān)聯(lián)規(guī)則的威脅監(jiān)測(cè)手段是無(wú)法發(fā)現(xiàn)高級(jí)持續(xù)性威脅(APT、未知威脅)等攻擊,因?yàn)锳PT攻擊的時(shí)間軸有可能長(zhǎng)達(dá)數(shù)年,而每次的攻擊動(dòng)作需要長(zhǎng)時(shí)間的關(guān)聯(lián)才能被發(fā)現(xiàn)。但是,從攻擊開始到攻擊結(jié)束,整個(gè)攻擊過(guò)程會(huì)持續(xù)多個(gè)“動(dòng)作”,每個(gè)動(dòng)作一定區(qū)別于正常的用戶行為,如:尋找重要資產(chǎn)信息、大量訪問(wèn)系統(tǒng)和數(shù)據(jù),越權(quán)訪問(wèn)不經(jīng)常訪問(wèn)的敏感數(shù)據(jù),試圖獲取關(guān)鍵業(yè)務(wù)系統(tǒng)和數(shù)據(jù),掩蓋攻擊行為和操作痕跡,以同一身份通過(guò)不同設(shè)備登錄等。那么對(duì)于已經(jīng)滲透到系統(tǒng)內(nèi)部的攻擊者而言,異常行為檢測(cè)則成為識(shí)別該類威脅的唯一機(jī)會(huì)。因此,對(duì)企業(yè)內(nèi)部用戶和設(shè)備行為異常的檢測(cè)和預(yù)警是發(fā)現(xiàn)高級(jí)安全威脅的關(guān)鍵。
利用各類數(shù)據(jù)源,構(gòu)建的企業(yè)信息安全情報(bào)系統(tǒng),感知“什么人、什么設(shè)備(Who),在什么時(shí)間(When),什么地點(diǎn)(Where),通過(guò)什么應(yīng)用(How),訪問(wèn)或操作了哪些資產(chǎn)(What)”,構(gòu)建以用戶和設(shè)備為基點(diǎn)的信息系統(tǒng)畫像,是發(fā)現(xiàn)異常行為——不論是自動(dòng)的機(jī)器學(xué)習(xí)方式,還是人工分析方式的基礎(chǔ)。
在這個(gè)基礎(chǔ)上,基于UEBA技術(shù),通過(guò)分析挖掘與“正常”模式存在偏差的異常行為,來(lái)檢測(cè)具有威脅的用戶和實(shí)體,使用機(jī)器學(xué)習(xí)、算法和統(tǒng)計(jì)分析等手段來(lái)了解何時(shí)與已建立的模式存在偏差,通過(guò)與自身賬號(hào)原行為模型進(jìn)行比較,結(jié)合其他維度的異常行為模型進(jìn)行分析,發(fā)現(xiàn)哪些賬戶可能被不法分子盜取控制,還可以對(duì)涉及的異常類型,異常情況明細(xì)、軌跡分布等信息進(jìn)行發(fā)現(xiàn),顯示哪些異??赡軐?dǎo)致潛在的真實(shí)威脅,是檢測(cè)內(nèi)部用戶的異常行為、分析鑒別威脅的一件利器。系統(tǒng)還可以聚合報(bào)告和日志中的數(shù)據(jù),以及關(guān)聯(lián)文件、流和數(shù)據(jù)包信息,在海量日志數(shù)據(jù)的噪聲中,有效降低安全事件分析的工作量,提高告警的針對(duì)性和準(zhǔn)確率。通過(guò)與SIEM類平臺(tái),譬如安全運(yùn)營(yíng)中心和態(tài)勢(shì)感知平臺(tái)的結(jié)合,可發(fā)揮更多有效價(jià)值。
構(gòu)建關(guān)鍵事件的分析能力
異常行為就是安全事件的一條重要線索。現(xiàn)實(shí)場(chǎng)景中,用戶一線的安全分析師在發(fā)現(xiàn)可疑線索后,由于對(duì)線索研判的可信原始數(shù)據(jù)支持的條件制約,很難實(shí)現(xiàn)對(duì)其事件定性及溯源,處于被動(dòng)防御的局面。如果構(gòu)建異常行為的鉆取、關(guān)聯(lián)、挖掘非常重要,能夠化被動(dòng)防御為主動(dòng)防御。通過(guò)分析將一連串的線索穿起來(lái),由點(diǎn)及面進(jìn)而逼近真相。例如:從可疑IP、關(guān)聯(lián)到訪用戶,從可疑的用戶關(guān)聯(lián)到其使用應(yīng)用、數(shù)據(jù)庫(kù)或相關(guān)敏感文件等,以時(shí)間維度,確定出惡意行為的行為序列,進(jìn)一步可進(jìn)行相關(guān)的威脅定位等。對(duì)攻擊能力強(qiáng)的攻擊者IP和被攻擊次數(shù)最多的IP 進(jìn)行流量溯源取證,查看攻擊的原始流量包或內(nèi)部異常行為的原始流量包,確認(rèn)是否已攻入內(nèi)網(wǎng)。
通過(guò)機(jī)器學(xué)習(xí)算法量化出攻擊者的攻擊破壞性(攻擊武力值)和攻擊密集程度(攻擊值),對(duì)高危的IP進(jìn)行自動(dòng)封堵;
與私域情報(bào)庫(kù)進(jìn)行比對(duì),對(duì)比成功的IP地址進(jìn)行自動(dòng)/手動(dòng)封堵(需要了解安全防護(hù)產(chǎn)品是否支持)。
上述過(guò)程,必須依賴于一個(gè)專業(yè)的數(shù)據(jù)分析平臺(tái),通過(guò)這個(gè)數(shù)據(jù)分析平臺(tái),可以整合豐富的數(shù)據(jù)源,通過(guò)數(shù)據(jù)挖掘構(gòu)建企業(yè)信息系統(tǒng)“畫像”,刻畫各類用戶、設(shè)備的行為特征,對(duì)異常行為進(jìn)行自動(dòng)化檢測(cè)和預(yù)警,能夠以異常行為線索按照時(shí)間序列關(guān)聯(lián)用戶,設(shè)備,應(yīng)用,數(shù)據(jù),結(jié)合威脅情報(bào),確定威脅指標(biāo),結(jié)合專業(yè)的安全分析師最終定位威脅。
構(gòu)建及時(shí)響應(yīng)處置的安全閉環(huán)
安全以“檢測(cè)”為始,以“響應(yīng)”為終。在攻擊者對(duì)企業(yè)信息系統(tǒng)造成最終損害之前,制止損害或降低損失是信息安全體系的最終防線,也是及時(shí)響應(yīng)的目標(biāo)。當(dāng)檢測(cè)到威脅后,及時(shí)響應(yīng)則依賴于安全生態(tài),現(xiàn)在安全人員的工作強(qiáng)度和壓力非常之高,能降低工作量并提高效率的產(chǎn)品肯定會(huì)廣受歡迎,例如:SOAR。采用了自動(dòng)化的安全編排 (Security Orchestration)技術(shù),使得不同的系統(tǒng)或者單個(gè)系統(tǒng)內(nèi)部不同組件可以通過(guò)應(yīng)用編程接口(Application Programming Interface,API)和人工檢查點(diǎn)按照一定的邏輯關(guān)系組合到一起,用以完成某個(gè)特定安全運(yùn)營(yíng)的過(guò)程,使得在告警事件在被觸發(fā)時(shí)可以按照預(yù)定義的邏輯進(jìn)行多業(yè)務(wù)系統(tǒng)、多設(shè)備、多層級(jí)的聯(lián)動(dòng),實(shí)現(xiàn)了安全事件響應(yīng)的半自動(dòng)化。
未來(lái)展望
未來(lái),啟明星辰認(rèn)為安全運(yùn)營(yíng)中心一項(xiàng)重要任務(wù)是結(jié)合全國(guó)各地的個(gè)性化安全運(yùn)營(yíng)中心的實(shí)戰(zhàn)化場(chǎng)景,在三級(jí)不同運(yùn)營(yíng)中心匯總和輸出不同的安全能力,在落地的過(guò)程中深度結(jié)合人工智能技術(shù)和安全分析技術(shù),不斷提升安全運(yùn)營(yíng)的管理水平,并通過(guò)行業(yè)標(biāo)準(zhǔn)來(lái)規(guī)范化輸出安全運(yùn)營(yíng)中心運(yùn)營(yíng)腳本、ATT&CK攻擊模型和私域情報(bào)。精準(zhǔn)定位安全事件,提升安全事件響應(yīng)和處置速度。
安全攻防人員的工作環(huán)境將從被動(dòng)實(shí)戰(zhàn)化變?yōu)橹鲃?dòng)實(shí)戰(zhàn)化
以前安全廠商的安全攻防人員研究都是被動(dòng)式的實(shí)戰(zhàn)化處置安全問(wèn)題,客戶只有出現(xiàn)問(wèn)題才能去找到原廠去解決,發(fā)現(xiàn)一些攻擊事件。而廠商構(gòu)建頂部運(yùn)營(yíng)中心后,省級(jí)和地市級(jí)將會(huì)構(gòu)建出基于不同業(yè)務(wù)的實(shí)戰(zhàn)化攻擊場(chǎng)景。所以。未來(lái)廠商的安全攻防人員很有可能隸屬于原廠安全運(yùn)營(yíng)中心,進(jìn)行實(shí)戰(zhàn)化分析,發(fā)現(xiàn)高危安全威脅、APT攻擊、輸出ATT&CK攻擊模型和安全情報(bào)等。
圍繞業(yè)務(wù)產(chǎn)生的個(gè)性化安全運(yùn)營(yíng)中心
根據(jù)客戶業(yè)務(wù)的需求不同將會(huì)產(chǎn)生個(gè)性化的安全運(yùn)營(yíng)中心,基于駐場(chǎng)形式的重量級(jí)安全運(yùn)營(yíng)服務(wù),構(gòu)建個(gè)性化安全運(yùn)營(yíng)中心,以客戶需求為導(dǎo)向,根據(jù)用戶現(xiàn)狀及安全目標(biāo)為基準(zhǔn)進(jìn)行定制化安全服務(wù),提供覆蓋客戶信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)和運(yùn)行的全生命周期的專業(yè)安全服務(wù)解決方案和最佳實(shí)踐服務(wù),并且在用戶現(xiàn)場(chǎng)持續(xù)運(yùn)營(yíng)。
其中基于駐場(chǎng)形式的重量級(jí)安全運(yùn)營(yíng)服務(wù)涵蓋綜合安全監(jiān)管服務(wù)、綜合安全運(yùn)營(yíng)服務(wù)、數(shù)據(jù)安全專項(xiàng)運(yùn)營(yíng)服務(wù)、工控安全專項(xiàng)運(yùn)營(yíng)服務(wù)和云安全專項(xiàng)運(yùn)營(yíng)服務(wù)五大類,其中包含多個(gè)服務(wù)子項(xiàng),針對(duì)安全運(yùn)營(yíng)服務(wù)進(jìn)行了全覆蓋,為用戶提供全方位的安全服務(wù)、全程無(wú)憂的安全運(yùn)營(yíng)交付。
三級(jí)安全運(yùn)營(yíng)中心將匯集和輸出不同的安全能力
運(yùn)營(yíng)中心按照規(guī)模可以分為地市級(jí)和行業(yè)級(jí)安全運(yùn)營(yíng)中心、省級(jí)安全運(yùn)營(yíng)中心及廠商頭部安全運(yùn)營(yíng)中心共三級(jí)運(yùn)營(yíng)中心。
地市級(jí)和行業(yè)級(jí)安全運(yùn)營(yíng)中心輸出實(shí)戰(zhàn)化安全場(chǎng)景,省級(jí)運(yùn)營(yíng)中心輸出實(shí)戰(zhàn)化安全分析師,而廠商級(jí)安全運(yùn)營(yíng)中心將輸出APT發(fā)現(xiàn)、ATT&CK攻擊模型、高危漏洞、安全運(yùn)營(yíng)工作腳本等攻擊發(fā)現(xiàn)能力和運(yùn)營(yíng)能力。
地市級(jí)和行業(yè)級(jí)安全運(yùn)營(yíng)中心充分構(gòu)建可視化網(wǎng)絡(luò)態(tài)勢(shì)感知能力,用不同的邏輯空間發(fā)現(xiàn)網(wǎng)絡(luò)空間事件、事件影響和關(guān)聯(lián)動(dòng)作。打造實(shí)戰(zhàn)安全攻防場(chǎng)景,及時(shí)掌握威脅態(tài)勢(shì),進(jìn)而做出更快速、更明智的行動(dòng)決策,為上游運(yùn)營(yíng)中心提供實(shí)戰(zhàn)化安全場(chǎng)景,地市級(jí)和行業(yè)級(jí)運(yùn)營(yíng)中心將會(huì)構(gòu)建三大能力:
1、實(shí)現(xiàn)“看見自己的威脅”階段;
2、實(shí)現(xiàn)“看見攻擊場(chǎng)景的能力”階段;
3、實(shí)現(xiàn)“感知攻防態(tài)勢(shì)的能力”階段。
省級(jí)運(yùn)營(yíng)中心輸出實(shí)戰(zhàn)化安全分析師,由于地市級(jí)安全運(yùn)營(yíng)中心在當(dāng)?shù)厝狈I(yè)的安全運(yùn)營(yíng)人才和安全分析師,省級(jí)運(yùn)營(yíng)中心將會(huì)作為安全運(yùn)營(yíng)資源池,積極服務(wù)安全運(yùn)營(yíng)人才,如安全運(yùn)營(yíng)人員,一線分析師、二線分析師等等。另外,不同的運(yùn)營(yíng)中心輸出不同的安全運(yùn)營(yíng)人才,如:數(shù)據(jù)安全方向、云安全方向、工業(yè)安全方向等。
啟明星辰安全運(yùn)營(yíng)中心,作為主要技術(shù)能力輸出資源池,積極構(gòu)建安全運(yùn)營(yíng)中心管理資源池,安全工具開發(fā)能力資源池,結(jié)合地市級(jí)和省級(jí)安全運(yùn)營(yíng)中心提供的實(shí)戰(zhàn)化攻防場(chǎng)景,結(jié)合頭部專業(yè)的三線安全分析師,持續(xù)輸出APT發(fā)現(xiàn)、ATT&CK攻擊模型、高危漏洞、安全運(yùn)營(yíng)工作腳本等攻擊發(fā)現(xiàn)能力和運(yùn)營(yíng)能力,持續(xù)為省級(jí)和地市級(jí)各個(gè)運(yùn)營(yíng)中心輸出威脅感知能力和安全運(yùn)營(yíng)管理能力。
私域情報(bào)的誕生
個(gè)性化的運(yùn)營(yíng)中心一定衍生出符合自己運(yùn)營(yíng)中心業(yè)務(wù)的私域情報(bào)。
目前,公有威脅情報(bào)這一安全數(shù)據(jù)源擺在企業(yè)安全團(tuán)隊(duì)面前的應(yīng)用難題主要有三個(gè):
多,威脅情報(bào)數(shù)據(jù)源多、數(shù)量多,數(shù)量的龐大加上情報(bào)本身的置信度問(wèn)題,會(huì)帶來(lái)大量的檢出誤報(bào),安全人員疲于應(yīng)對(duì);
雜,威脅情報(bào)種類雜,應(yīng)用場(chǎng)景復(fù)雜,不同的情報(bào)可能位于攻擊鏈的不同階段,不同的場(chǎng)景側(cè)重的是不同的攻擊者,例如云平臺(tái)的情報(bào)應(yīng)用關(guān)注外部攻擊者,企業(yè)側(cè)的情報(bào)應(yīng)用主要關(guān)注的是內(nèi)網(wǎng)有無(wú)受感染的主機(jī)或者對(duì)外的惡意行為。不同場(chǎng)景中應(yīng)用威脅情報(bào)的種類也是有差異的;
快,威脅情報(bào)更新快,在前面兩個(gè)問(wèn)題“多”和“雜”的映襯下,更新速度可能成為壓倒安全管理人員的最后一根稻草。如果沒(méi)有合適的情報(bào)自動(dòng)化運(yùn)營(yíng)流程,這一系列的情報(bào)檢測(cè)、事件跟蹤、事件確認(rèn)和威脅溯源將會(huì)是人力投入產(chǎn)出比極低的工作。
所以,構(gòu)建安全運(yùn)營(yíng)中心自己的私域情報(bào)尤為重要,私域情報(bào)是根據(jù)個(gè)性化安全運(yùn)營(yíng)中心的攻擊場(chǎng)景,進(jìn)行實(shí)戰(zhàn)化分析,確定攻擊動(dòng)作、攻擊手法、攻擊工具和使用的攻擊漏洞,尤其是在不同的業(yè)務(wù)領(lǐng)域,如大數(shù)據(jù)領(lǐng)域、數(shù)據(jù)安全領(lǐng)域、云安全領(lǐng)域,這些攻擊動(dòng)作、手法、漏洞和工具都是不同的。構(gòu)建私域情報(bào)將會(huì)為不同的個(gè)性化安全運(yùn)營(yíng)中心快速定位安全事件的攻擊過(guò)程,快速應(yīng)急和響應(yīng)攻擊事件的影響范圍,積極提供修復(fù)建議,這也是未來(lái)衡量安全運(yùn)營(yíng)中心能力的可量化指標(biāo)。