千呼萬喚始出來 安全運營平臺不再“半遮面”
作者:啟明星辰
2020-09-23
安全運營平臺是支撐安全運營工作的全生命周期核心樞紐��,是在【策略】的目標下�,對【工具】�、【人員】進行1對1��、1對n�、n對1的合理分配�����,在【流程】的準則下����,對安全運營服務進行全方位的支撐與管理����。
這句話讀起來比較拗口����,那究竟是什么意思呢�����?
安全運營的所有工作應該都能在平臺上進行追溯�����,一方面是為客戶提供可信���、可追溯的安全服務���;另一方面也是SOC自身安全性�����、人員考核的剛性要求�����。
基于此���,安全運營平臺在頂層規劃上�,應該考慮以下幾個要素:
? 安全運營平臺理解【安全運營】�,且與安全運營團隊互相成就
我們以往采購平臺時�����,幾乎所有的平臺部署以后�,需要人員去適應平臺�,包括它的功能�、平臺的流轉方式等�,往往是削足適履�����,導致使用效果不佳�。而在安全運營平臺的規劃建設上��,我們強調安全運營平臺是理解“安全運營”的����,并在流程的準則下����,去匹配甚至適應安全運營人員的工作�,讓工作更加高效��,更加得心應手��。安全運營的工作是一個長期的工程�,要取得好的建設效果����,必須使安全運營人員愿意且自發地使用它��,并且在使用過程中越來越依賴�����,這就是我們所講的安全運營平臺與安全運營團隊互相成就����。
? 安全運營平臺實現對安全服務的精細化管理
安全產品或者安全服務的價值是在于服務成果�,但是安全運營服務只注重成果是不可取的����。例如�����,某客戶買了我們的安全產品后沒有出現類似問題��,其原因可能是用戶之前的問題壓根沒有再出現了����,它的成果(沒有出現問題)達到了���,但是它怎么達到的卻沒有深究���。而我們安全運營中心提供的服務可以對服務結果進行復盤�,也就是我們常說的“精細化��、可追蹤����、可衡量”的安全運營服務�。而這個服務怎么可視呢����?這就由我們的安全運營平臺來實現了�。安全運營平臺實現對安全服務的精細化管理�,可以參考ITIL相關服務管理體系標準����,對【策略】下設計的服務進行全生命周期管理�����。
? 安全運營平臺的核心是圍繞安全運營的目標達成而設計�����,而并非某個技術功能
我們一直在強調【策略】是5P的核心�,其實這個【P(核心)】它是一個多邊體����,在不同的客戶中是不一樣的�����,例如�����,政府單位以“合規”為核心�����,行業運營單位以“風控”為核心等�,目標不一樣���,平臺也是不一樣的����。簡單來說�����,安全運營平臺是達成目標的路徑���,我們希望在這個平臺上把目標落地成一個一個模塊(100%分解)�。由于目標不同及客戶現狀不同��,分解后模塊也是不同����,也就能理解安全運營平臺為什么需要定制了�����,因為它本來就是客戶量身設計的���,是在運營框架一致性下的百花齊放�����。
進行安全運營平臺建設理念取得一致后�,也需要對一些功能進行要求�,可能大家會覺得有點矛盾��,上文不是說不需要糾結某個技術功能嗎��?
不要著急�,聽小編娓娓道來����。
為什么這里才開始說功能呢��?因為安全運營的建設必須是“自上而下”與“自下而上”同時考慮�,既要在頂層上進行整體設計來完成運營的目標����,也要考慮核心的管控點��。而達成目標的關鍵點是什么�?其實���,不管是以“合規”為驅動的政府單位還是以“風控”為驅動的行業運營單位��,其運營的框架��,都須關注幾個核心的細節�,這關系到運營質量的問題�。它依然不強調技術功能�����,而是運營機制的核心關注���。這個核心關注下�����,像未知威脅檢測�、數據安全等平臺�,是達成目標的平臺及工具�。
在安全運營平臺下��,它的核心關注至少應該有以下幾點:
? 資產管理���,強調業務相關性
安全運營必須圍繞業務安全�����,基礎資產是這些核心數據的載體���。在構建安全運營平臺時�,應該做好基礎資產的發現和管理���。通過對資產探測或自身資產梳理����,這里不關注具體技術����,而是盡量去做到更加精細化的資產識別���,如每個域名IP上所部署的應用及服務相關信息����,它與業務系統的關系及重要性�,一旦這些應用及服務在暴露出來安全風險�����,安全運營平臺能夠及時對業務進行定位���,確定風險級別及受影響的范圍����。
? 風險檢測�,強調多元化與持續性
風險檢測最重要的就是檢測策略�����。服務風險檢測主要包括系統基礎服務相關的通用漏洞和服務配置不當的風險檢測�;應用風險檢測主要包括一些應用的通用漏洞和相關漏洞帶來的應用風險����。由于網絡安全在不斷變化的過程����,也帶來了不同的漏洞風險����。因此�����,在風險檢測的實現上���,盡量做到海納百川��,如引入第三方更加專業的團隊�,使用更加廣泛的工具等���。而安全運營平臺除了能提供足夠好的引擎框架和兼容工具外�����,也為第三方專家建立提供了策略路徑��。
持續檢測能夠避免由迭代更新帶來新的安全風險和曾經修復過的安全問題再次出現��。此外��,通過對持續風險監測的結果進行趨勢分析����,能夠幫助我們發現當前階段主要面臨的安全問題�����,并為下一階段的安全建設提供有效的指導建議����。至于如何高效地進行持續風險管理��?一方面需要能夠自主配置周期性的檢測����,這樣可以適應業務的迭代更新頻率���;另一方面需要支持不定時的手動啟動檢測風險來滿足突發的應用上線���。
? 及時高效處置����,打通安全與業務“最后一公里”
在安全運營中���,我們發現的風險或漏洞大都是與業務系統息息相關的���,督促業務部門進行整改�。這個過程中往往容易忽略兩個問題:一是業務部門的研發人員其實是不了解安全的�,所以在安全問題及修復過程中可能會存在修復不當的情況����;二是對最后修復處理完畢后還要進行及時回歸測試��,以免造成對業務的其他影響����。這兩個問題如果解決不好�,安全對于業務就不是一個良性的上升機制���。那怎么解決這兩個問題呢����?
我們提出了“打通最后一公里”�����,也就是在安全運營平臺的設計上�����,安全運營平臺應該與業務部門的產品生命周期管理平臺進行連通�����,最好有API直接對接到產品開發上線的流程中去�,可以讓安全問題作為產品的嚴重BUG一樣得到及時排期修復�����。同時��,在這個過程中�,指派專業的安全人員進行跟蹤服務����,確保問題完全修復���,不再反復出現���。
不知不覺�����,關于安全運營平臺的講解已說得口干舌燥了����。不過呢�����,小編還想強調三個重點:
第一�����、安全運營平臺建設并非一蹴而就�,它是與安全目標同步發展����,需要長期投入及調整的�;
第二�����、安全運營平臺不能解決所有安全問題��,我們也不能解決所有問題���,只能在當下階段�����,團結一切可以團結的力量��,把安全這件事情做得更好����,平臺是工具����,可以依賴但是不能完全依賴�����;
第三����、安全運營平臺是抓手�,它可以連接業務��,連接其他工具及平臺�,它需要專業的人在上面對病人進行診斷�,每一次診斷問題的時候��,沒有扎實的技術基本功和行業專業視野�,就算給你好的工具也用不好�����。因此���,人員專業性依然是運營結果的第一要素���。
京公網安備11010802024551號