安全運營的價值在于安全專業人員
作者:啟明星辰
2020-09-23
對于安全運營中心來說����,專業人員在“安全運營5P”中占據核心地位��。合理地配置專業人員能夠保證策略可有效執行����、平臺可有效使用���、產品可合理管理���、流程可正常運轉���。
配備合適的專業人員至關重要
在建立安全運營中心的時候���,我們常常會遇到這樣的問題:
? 從零開始組建團隊�、構建安全體系時�,安全運營中心人員該如何配備呢�?
? 怎么配備專業人員才能保證運營中心的基礎運行��?
? ……
為了保證安全運營中心能開展基本的工作��,至少需要配備三類不同的角色�。
? 運營管理:在運營規劃�����、策略執行��、流程梳理����、團隊管理等方面的專家��;
? 安全分析師:在事件響應��、威脅情報��、攻防對抗�����、日志分析等方面的專家�����;
? 數據治理師:在SIEM管理����、數據處理�����、策略優化�、告警規則等方面的專家����。
一個基礎的安全運營中心至少需要運營管理�、安全分析師����、數據治理師三類專業人員�,才能正常開展運營工作��。同時遵循可閉環的工作流程和可計量的考核指標��,并根據不同的運營中心規模配置不同數量的專業人員���。
明確人員角色與職責
在安全運營中心內部�����,除了上文中提到的三類角色外����,其他的角色也應該有明確的定義并履行相應職責�����。在日常運營中���,存在一個較大的問題是對不同角色和責任的理解出現偏差����。為了解決這個問題�,安全運營中心中所涉及的所有角色的職責與工作內容必須文檔化����、標準化����。
● 運營管理
建立有效的管理體系是安全運營中心的首要任務�。運營管理負責實現安全運營中心的目標����,通過實施與管理體系中相關的流程���、工作項和指標來完成目標���。
運營管理將承擔安全運營中心的管理所有權�,負責保證平穩的運營����,確保運營工作滿足服務級別協議(SLA)��,并遵守相關的法律法規���。此外����,運營管理還包含以下工作內容:
1���、管理日常運營����,確保運營工作遵守既定的流程�����;
2��、監督安全分析師����、數據治理師等人員的日常任務�����;
3�、管理團隊的工作計劃����、值班排班�����;
4��、識別運營工作中的問題�����,并確保它們得到適當管理�����;
5����、擔任安全運營工作人員的指導者�;
6��、與外部團隊和客戶的接口����、協作�����;
7����、管理安全運營中心流程并不斷改進����。
● 安全分析師
安全分析師負責日常最基本的運營工作�����。他們將負責監控安全運營主體對象中的安全事件�����,分析安全事件的詳細過程��,并根據流程進行相應的處置���。具體來說����,安全分析師有以下工作內容:
1���、監控各類安全日志來快速識別�、分類���、優先排序和分析安全事件�����,日志種類包括但不限于防火墻�����、系統和網絡設備���、WEB應用防火墻����、IPS/IDS��、防病毒系統�;
2�、對潛在安全事件進行初步分析和分類����,并根據需要執行或關閉事件處置流程��;
3���、分析結果文檔化����,確保相關細節傳遞到高級分析人員進行最終事件定性�。
● 安全分析師(高級)
安全分析師(高級)在安全事件流程中有更高的權限���,他們負責對安全事件的過程進行深入分析�,對已識別的威脅情報進行分類��,包括來源和真實性�����,以及在安全日志中挖掘更多潛在的安全威脅�。具體來說���,安全分析師(高級)有以下工作內容:
1�、對接受到安全事件進行深入分析��;
2�����、培訓初級分析師��,提高安全運營的監控能力����;
3�����、管理安全運營中心事件和信息攝入�����,收集威脅情報���;
4�����、利用威脅情報挖掘潛在的安全威脅����;
5�����、作為支持專家���,對初級分析師提供指導���;
6�����、對新出現的威脅和漏洞進行安全研究和情報收集���;
7����、擔任備份分析師��,以確保運營連續性���。
● 數據治理師
數據治理師主要負責安全數據的管理��,如防火墻��、防病毒���、IDS/IPS和其他產品工具��。他的職責范圍包括各個產品工具的可用性����,并保證各類安全數據能有效進行采集�,同時進行數據質量管理�、優化安全數據�,對安全數據進行分發�����。具體來說��,數據治理師將包含以下工作內容:
1�、執行常規設備檢查和定期維護���;
2�、檢查各類安全數據源的有效性��;
3���、負責新增數據源的接入�����,并進行標簽化��、范式化等處理����;
4��、維護安全運營數據清單��,管理各類數據的用途�����;
5��、管理安全數據的質量��,并不斷優化數據的可用性�����;
6��、根據其他角色的需求�,進行數據分發��。
● 響應中心
響應中心負責處理運營中心的內外協調工作��,職責主要包括:
1���、報告�、跟蹤�����、監控和關閉安全事件的處理流程���;
2��、與外部部門或客戶溝通協調以處理事件�����;
3���、處理��、響應和記錄需要從初級分析人員升級的所有安全事件���;
4����、分析和審查升級的案例���,進行歸檔��,并維護安全運營中心知識庫����。
人員考核評價
人員考核的核心是度量指標��。在安全運營的人員管理過程中����,度量指標為安全運營的長期趨勢方面提供度量人員能力成熟度的價值��。通過考核度量指標��,為安全運營能力的成長和提升��,提供了支撐性的引導�,以下是度量指標僅供參考:
1����、案例的狀態值(階段)�;
2�、周期內單一案例的嚴重程度系數����;
3�����、周期內案例的事件類別分布�����;
4����、周期內安全關閉原因分布�;
5����、周期內案例嚴重程度的解決時間(TTR)����。
● 度量指標的建立
以時間軸為基礎來建立度量指標是建立度量指標的常態方法���。以安全分析師為例�,如每位分析師每小時分析事件(EPAH)�、每天的事件數量�、每天的事件的升級占總事件數的比值等都可以作為度量指標�����,來度量人員的能力與效率����,為安全運營能力等成長與優化提供幫助����。
度量指標的周期值��,直接影響了度量指標的有效性����。使用每秒事件(EPS)指標來度量人員能力����,計算人員的效 率是不正確的��。正確的方法需要監測一定周期下的度量指標值��,這種監測的有效性將直接關系到度量指標的有效性��,從而導致結論性的偏差:添加更多的人數或提升人員的能力�,會不會使安全運營更加有效和優秀�?
度量指標的指標值���,通常由事件數量�、重要性值�����、比值等可量化的數值構成���。如EPAH應在6-12之間�����,來度量分析人員是否可以有效地對事件進行處理和升級�����,低于這個值時����,需要注意提升人員的能力或對事件的升級�;而高于這個值時�����,則需要去驗證人員效率和事件的有效性等問題��。
● 度量指標建立原則
人員度量指標的建立����,有一個重要的SMART原則�,它保障了度量指標的透明��、客觀��、可衡量的基礎���,以保證度量指標能夠為安全運營的成長與優化提供實際的貢獻��。SMART是5個英文單詞首字母的縮寫:S 具體(Specific)�,指度量指標的指標值要有詳細和具體的定義�,不能籠統����;
M 可度量(Measurable)��,指度量指標是可量化�,度量指標的判斷數據或信息是可以獲得的����;
A 可實現(Attainable)�����,指度量指標在付出努力的情況下可實現的且沒有超過人員能力上限的�����,避免設立過高或過低的目標���;
R 真實性(Realistic)�����,指度量指標是現實存在的��,可以證明和觀察的�����;
T 有時限(Timebound)�,指完成度量指標是有特定期限的����。
不同的安全運營中心雖在其安全專長��、安全狀態���、風險容忍度����、合規性要求和預算方面有一定差別��,但具有相同的目標���,即符合政策法規�、響應安全威脅和事件��、抵御攻擊等����。因此�, “安全運營5P”中的專業人員至關重要���,直接影響安全運營的效果���,體現安全運營的價值���。
京公網安備11010802024551號