0x0 安全运营的理解
0.1 岗位理解
比较安全运维与安全运营
运维:运维简而言之就是保障信息系统的正常运转。
安全运维 = 安全 + 运维
运营:运营要持续的输出价值。
安全运营 = 安全 + 运营 = 通过已有的安全系统、工具来生产有价值的安全信息,把它用于解决安全风险,从而实现安全的最终目标。
0.2 安全运营做什么?
领导的五大致命问题
- 什么人在攻击我们?
- 那些资产正在遭受攻击?
- 对比上周攻击有什么趋势?
- 主要攻击手法有那些?
- 我们最大的风险点在哪里?
安全运营的日常就是对海量告警去粗取精的“萃取”的过程。
如何萃取安全数据
Event-Alert-Threat-Incident
从Event到Incident处理流程
告警生成
- 归一化,聚类分析
- 规则特征
- 算法模型
- 威胁情报
威胁生成
- 合并压缩
- 丰富化
- 误报筛选
- 置信度(置信区间展现的是这个参数的真实值有一定概率落在测量结果的周围的程度)
威胁累积
- 场景汇聚
- 态势感知与响应业务场景
- 资产评分
- 威胁运营
- 安全事件
从安全事件分析角度
安全数据分析、安全事件分析是安全运营的一个核心模块,是一种服务、支持的能力。安全运营本身是为安全事件分析提供支撑,连接威胁狩猎(如果有的话)和应急响应中心,相当于企业安全“部队”中的指挥部。 安全运营为安全事件分析提供支撑,是整体网络安全保障。包括:
- 网络安全规划
- 资产梳理
- 安全设备管理
- 渗透测试
- 漏洞扫描
- 威胁监控
- 安全事件分析
- 应急响应
- 风险评估等过程、服务
覆盖到网络安全的各项工作,但是每一项服务又不是单独存在的个体,而是相互关联、重叠、交互,形成网络安全生态体系。[1] 简单来说,安全运营是企业安全的中枢,负责许多事务的处理,但不是每个方面都直接执行。比如上述讲到的应急响应、漏洞扫描、渗透测试,可能归属于事件响应部门(Incident Response),风险评估和处置可能归属于风控部门(Risk Management)等。
