Über den Autor.

Liu Yixiang, der als Leiter der Wertpapierabteilung fungiertSicherer BetriebLeiter des A9Team und Gründer des A9Team.

Danksagung: Dieser Artikel fasst die fünfjährige praktische Erfahrung des Autors auf dem Gebiet der Sicherheitsmaßnahmen zusammen. Wir möchten Herrn Xu, Bruder Lu und Schwester Rong unseren aufrichtigen Dank für ihre selbstlose Unterstützung und Hilfe aussprechen.

I. Entwurf und Praxis der logischen Architektur für Sicherheitsoperationen

Es ist fünf Jahre her, dass das Thema Sicherheit in China Feuer gefangen hat, und wir verfolgen es seit 2018, indem wir seine gesamte Entwicklung mitverfolgen und praktizieren. Es ist nicht einfach, über Sicherheitsmaßnahmen zu sprechen, und es gibt sehr viele große Namen im Land, die versuchen, sie zu definieren und darüber zu sprechen.

Meine Logik ist, dass ein Ding ist, was es ist, wissen, wie man es verwenden, um Wert zu produzieren, und wissen, die Definition von dem, was ist die Verwendung? Wenn man die Dinge optimal nutzen will, muss man das Prinzip der Dinge begreifen, den Grund dafür kennen, damit man nicht in den Dingen stagniert, Gras, Holz, Bambus und Stein können ein Schwert sein. Daher ist es notwendig, die externe Ökologie und die interne Logik der Sicherheitsoperationen zu verstehen. Apropos Ökologie und Logik des Rahmens gibt es viele, dieses Mal verwenden wir IT-Leute sind vertraut mit und sehr klassischen Computer IPO-Design-Modell.

Das IPO-Entwurfsmodell für Computer (Eingabe, Verarbeitung, Ausgabe) kann für eine Vielzahl von Dingen verwendet werden, und es macht die Voraussetzungen, die Art und Weise, wie sie erreicht werden, und die Ziele auf sehr prägnante Weise deutlich. Und meinRahmen für die ReflexionDas Gleiche gilt für die innere Logik der Struktur, die äußere Logik der Ökologie und die endlose Wiederverwertung dieser Logik. Die so genannte "Eine Blume, eine Welt" ist ein inneres Denken über die Struktur und kann innerlich endlos recycelt werden, dieselbe Logik wie die endlose Demontage der kleinsten Einheit der Physik durch den Westen.

Dieses Diagramm der logischen Architektur ist so konzipiert, dass es für meine Arbeitsumgebung von großer Bedeutung ist, in der die allgemeine Logik referenziert werden kann, die Details aber am besten vermieden werden. Die wichtigsten Informationen sind in dem Diagramm dargestellt, und es folgt nur eine kurze Beschreibung des Diagramms der Betriebslogik.

Die erste Logikebene, das Modell der Eingabe, Verarbeitung und Ausgabe (IPO) von Computern, bei dem Eingabe (I) und Ausgabe (O) die externe Umgebung für sichere Operationen und die Ausgabe die Reaktion auf dieInformationssicherheitDer insgesamt verantwortliche Teil des Inputs ist der Bedarf an Fahrern und Ressourcen, während die Verarbeitung (P) die interne Struktur der Sicherheitsoperation darstellt.

Die zweite Ebene der Logik, die interne Struktur der Sicherheitsoperationen (P), der Kern oder der Betrieb von Vermögenswerten, Schwachstellen, Bedrohungen. Bedrohungsoperationen zuerst, hauptsächlich Sicherheitsereignisse, Sicherheitswarnungen. Schwachstellenoperation zweitens, die Schwachstelle ist hier gleichbedeutend mit Anfälligkeit, Anfälligkeit ist die gemeinsame Übersetzung von Schwachstelle. Asset Operation drittens, vor allem Server, Terminals, Netzwerkgeräte, IOT und so weiter. Die vierte Unterstützungsoperation, hauptsächlich Systemüberleben, Sicherheitsüberprüfung, Automatisierung, Angriffs- und Verteidigungskonfrontation, Überprüfung und so weiter, von denen Automatisierung, Angriffs- und Verteidigungskonfrontation, Überprüfung die wichtigste ist.

Die dritte Ebene der Logik, die interne Struktur der Vermögenswerte, Schwachstellen und Bedrohungen. Die Praxis des Asset Managements wird im Artikel "Advanced Practice of Security Asset Management" dargestellt, und die Praxis des Schwachstellenmanagements und des Bedrohungsmanagements wird später in diesem Artikel im Detail erläutert.

II. der Entwurf und die Praxis der technischen Architektur für einen sicheren Betrieb

Es gibt viele verschiedene technische Architekturdiagramme für Sicherheitsoperationen, und ich habe schon mehrere Versionen gezeichnet, aber keine davon ist zufriedenstellend. Kürzlich habe ich auf Anregung von Herrn Xu Bruder Lu um Rat gefragt und etwa eine Woche gebraucht, um das folgende Architekturdiagramm fertigzustellen, wobei ich Schwester Rong um Rat fragte, als ich nicht weiterkam. Ich möchte Herrn Xu, Bruder Lu und Schwester Rong für ihre Hilfe danken. Ich möchte mich bei Herrn Xu, Herrn Lu und Frau Rong für ihre Hilfe bedanken. Im Folgenden werden die Entwurfsideen und der Schwerpunkt des Moduls vorgestellt.

Die erste Logikebene, die Sicherheitsgeschäftslogik, konzentriert sich auf die Tool-Ebene, die Fähigkeitsebene, die Szenario-Ebene sowie das Portal und die Asset-Unterstützung. Die Schicht der Sicherheitstools, hauptsächlich das systemeigene Sicherheitssystem, die gestrichelte Linie stellt das nicht-physische System dar, wird verwendet, um die Abdeckung der Sicherheitstools und den Betriebsstatus zu erfassen. Sicherheitsfähigkeitsschicht, die hauptsächlich Sicherheitsfähigkeiten von Sicherheitsgeräten abstrahiert, wird verwendet, um die Abdeckung und den Betriebsstatus von Sicherheitsfähigkeiten zu erfassen. Sicherheitsszenario-Schicht, abstrahiert hauptsächlich Sicherheitsszenarien von Sicherheitsfähigkeiten und wird verwendet, um die Abdeckung und den Betriebsstatus von Sicherheitsszenarien zu beobachten. Sicherheitsportalschicht, hauptsächlich zur Verwaltung der einzelnen Sicherheitsszenarien, Berichterstattung ist sehr wichtig.

Die zweite Logikschicht ist hauptsächlich die Betriebslogik der einzelnen Schichten nach der Schichtung. In der Schicht der Sicherheitswerkzeuge wird die sehr klassische Defence-in-Depth-Logik (DiD) verwendet, die als sehr wirksame Architektur mit einem hohen Maß an Akzeptanz und Vielseitigkeit anerkannt ist und die Kernprozesse von IT-Diensten auf der Grundlage von Anforderungen abdecken kann. Die Schicht der Sicherheitsfähigkeiten, die die Logik des NIST'sNetzwerksicherheitIPDRR-Funktionsmodule und anpassungsfähigeSicherheitsarchitektur(ASA) ist ähnlich und hat erhebliche Vorteile, da sie verbindlich, allgemein und leicht zu verstehen ist. Die Ebene der Sicherheitsszenarien, die die Logik derRisikomanagementDie drei Module (Assets, Vulnerabilities und Threats) basieren auf dem Modul Operations.

Die dritte Ebene der Logik, die wichtigste Einführung in den Betrieb der Sicherheits-Szene, Ereignisse, Alarme, Schwachstellen, Vermögenswerte als die wichtigsten operativen Objekte, Angriff und Verteidigung Konfrontation, Demand Management als die wichtigste Eingabe, Strategie-Optimierung, Überprüfung, Lernen wird weiter zu verbessern. Die anderen Module der dritten Ebene sind ähnlich aufgebaut und werden nicht einzeln vorgestellt.

III. fünf Jahre Praxis im Sicherheitsbetrieb

Der folgende Inhalt wird sich aus der Zeitleiste oder aus einer, zwei oder drei Phasen zusammensetzen, um denjenigen, die sich in verschiedenen Phasen der Sicherheitsmaßnahmen befinden, die Orientierung zu erleichtern.

1. die Progression der Prinzipien, von den drei Synchronisationen zu den drei Folgeprinzipien.

Ich bin die Notizen und Artikelaufzeichnungen durchgegangen, es war die erste Erwähnung der drei synchronen Prinzipien im Unternehmen vor Juli 2018 (ich bin nicht sicher, ob es die erste Erwähnung im Kreis war), und es wurde festgestellt, dass es in fast 5 Jahren Arbeitspraxis im Grunde unmöglich ist.Synchrone Planung ist nicht möglich, der Hauptgrund ist, dass Sicherheit eine Rüstung (Attribute) ist, und sie kann nur auf der Grundlage der IT-Planung erfolgen, wenn die IT-Planung abgeschlossen ist; synchroner Bau ist nicht möglich, der Hauptgrund ist, dass die Sicherheitsanbieter hinterherhinken und es einfach keine guten Lösungen und Geräte gibt. Der Hauptgrund ist, dass die Sicherheitsanbieter hinterherhinken und es einfach keine guten Lösungen und Geräte gibt; ein synchroner Betrieb ist ebenfalls nicht möglich, vor allem weil die Sicherheitstalente hinterherhinken. Als Ideal ist es in Ordnung, aber es ist unpraktisch.

2. die Entwicklung der Arbeit von zufällig über umfassend bis hin zu konzentriert.

In der ersten Phase der Sicherheitsoperationen besteht die Logik der Arbeit darin, das zu tun, was kommt, obwohl es keine Planung gibt, aber diese adaptive Arbeitsweise ist immer noch relativ gut, zumindest ist der Großteil der Arbeit eine Priorität.

In der zweiten Phase der Sicherheitsmaßnahmen besteht die Logik der Arbeit in einem Totalangriff, was die am wenigsten effiziente Arbeitsweise ist und zu völliger Erschöpfung, langsamen Fortschritten und keiner Garantie dafür führt, dass das, was getan wird, Priorität hat.

Die dritte Stufe der Sicherheit Operationen, die Arbeit nur mit den wichtigsten Arbeiten, das Problem nur mit lebensbedrohlichen Problemen zu tun, der Rest der Rückseite der Warteschlange, gibt es Zeit, um mit zu behandeln. Ich persönlich denke, es gibt nicht viele wirklich wichtige Dinge in der Arbeit der Sicherheitsoperationen, die kleinste, da die Cha-Cha-Zyklus, die Verwaltung der Invasion Antwort, Schwachstelle Reparatur, Angriff und Verteidigung Überprüfung werden kann. Es gibt Zeit und Ressourcen, um nachrichtendienstliche Informationen zu sammeln, Vermögenswerte zu verwalten und dann den Rest der Warteschlange zu erledigen.

3. den Übergang von der beruflichen Laufbahn zur Aufstiegslaufbahn organisieren.

Die erste Stufe, kein Team-Management-Erfahrung, kein Team von Menschen schwer zu rekrutieren, die Anforderungen an das Personal ist professionell sein kann, Wachstum, Ausdruck, Kommunikation, Zusammenarbeit und so weiter kann den Weg geben.

Die zweite Stufe, 1-2 Jahre Team-Management-Erfahrung, Teamgröße von 3-7 Personen, die Anforderungen an das Personal ist professionell + Bereitschaft zu wachsen, keine Bereitschaft zu wachsen Menschen nicht rekrutieren, mit einem sehr schmerzhaft.

Die dritte Stufe, gibt es 3-5 Jahre Team-Management-Erfahrung, die Team-Größe von mehr als 7 Personen, die Anforderungen an das Personal ist professionell + Wachstum + Echelon, Personal Gruppierung der Echelon zu bilden, ist die erste Priorität, die Einstellung der ersten Zeile des Wachstums für die zweite und dritte Zeile, versuchen Sie nicht, die zweite und dritte Zeile zu rekrutieren.

4, Prozessfortschritt, von keinem Prozess, zu SOP, zu SOAR.

In der ersten Phase gibt es keine Sicherheitsprozesse, und die Qualität der Arbeit hängt von der Kompetenz des Personals, seiner Verantwortung, der stichprobenartigen Kontrolle und der allgemein guten Arbeit bei der stichprobenartigen Kontrolle ab.

Die zweite Stufe, das Schreiben von Standardarbeitsanweisungen (SOP), Sicherheit Arbeit aufgrund des Umfangs der großen (viele Dinge) und professionelle (tief), tun SOP ist sehr schwierig und Arbeitsbelastung, was zu einer sehr geringen Rendite, darüber hinaus SOP vom Schreiben bis zur Verwendung zwischen der Erfahrung der Umwandlung Schicht ist zu viel, und die Sicherheit Personal sind in der Regel sehr starke Persönlichkeiten, Blick auf den Grad der Einhaltung, Verständnis, Umsetzung sind große Probleme, die Schlussfolgerung ist, dass es nicht empfohlen wird.

In der dritten Stufe, nach der Security Operations Automation System (SOAR), die Sicherheit der Arbeit ermöglicht Sicherheitspersonal direkt in das Skript zu schreiben, solange die Qualität des Skripts kontrolliert wird, können Sie die meisten der Probleme in der zweiten Stufe zu vermeiden, sehr zu empfehlen; Sicherheitsprozesse, die nicht auf SOAR implementiert werden kann, ist es empfehlenswert, die Ebene der kollaborativen Prozessen zu tun, nicht in operativen Prozessen zu engagieren.

5. die Instrumente für den Übergang von der Einhaltung der Vorschriften zur Professionalität und zum Fachwissen.

In der ersten Phase ist die Wahrscheinlichkeit, dass das wirksamste Instrument (Sicherheitsprodukt oder -anwendung) zum Einsatz kommt, aufgrund einer Vielzahl von Faktoren wie gesetzliche Vorschriften, Unternehmenskultur, Einhaltung der Beschaffungsvorschriften, Geschäftsumfeld, Führungsstil, Geschäftsbeziehungen usw. gering, so dass nur die Einhaltung der Vorschriften erforderlich ist.

In der zweiten Phase zielt die Sicherheitsoperation darauf ab, die Anforderungen an Sicherheitsprodukte zurückzudrängen, denn das wichtige System des Verteidigungssystems in der Kategorie der Konfrontation muss technologiegeleitet sein, sonst kann die Sicherheitsoperationsarbeit die Wirkung überhaupt nicht garantieren; die funktionale Umsetzung der Kategorie kann von anderen Faktoren dominiert werden.

Die dritte Stufe, der Angriff und die Verteidigung gegen die Klasse von Werkzeugen erforderlich, um voranzukommen, professionelle und zur gleichen Zeit, müssen wir auch prüfen, die Fähigkeit des Lieferanten, um das Werkzeug für eine lange Zeit zu betreiben, wenn es keine Angriff und Verteidigung Forschung + Angriff und Verteidigung Validierung + Produktentwicklung der Kombination des Teams hinter dem Werkzeug, dann ist das Produkt keine Zukunft.

6. sonstige Fortschritte, Ereignisse, Warnungen, Schwachstellen, Vermögenswerte, Erkenntnisse usw.

Aufgrund der Länge des Artikels und Zeit und Energie Probleme, andere Aspekte der Weiterentwicklung der später dann separate Artikel zu teilen, nicht hier zu erweitern. Die vollständige PPT von "Security Operation Advanced Practice" wurde viele Male in der Branche geteilt, wenn Sie es brauchen, können Sie meine WeChat hinzufügen, um mich zu finden, um es zu bekommen.

IV. Gegenwart und Zukunft der Sicherheitsmaßnahmen

(1) SIEM ist tot, der Wal fällt und alle Dinge werden geboren.

Meiner praktischen Erfahrung nach ist SIEM nicht für KMU geeignet.SIEM erschien um 1995, als es nur sehr wenige professionelle Sicherheitsprodukte gab und Sicherheitserkennungsfunktionen nur durch das Sammeln verschiedener Systemprotokolle zur Erstellung von Warnregeln erreicht werden konnten.Es hat offensichtliche Mängel, wie z. B. die Tatsache, dass es nur Informationen empfangen kann und nicht in der Lage ist, Sicherheitsvorrichtungen zu kontrollieren, sowie die Tatsache, dass die Wirksamkeit seines Einsatzes stark von der Fähigkeit abhängt, Regeln zu schreiben.

Security-Industrie nach Jahrzehnten der Entwicklung, die meisten der verschiedenen Sicherheitsbereiche haben sehr professionelle Sicherheitsprodukte, die Verwendung von SOAR + Sicherheit Geräte, um Sicherheitsmaßnahmen zu tun, ist die Wirkung besser als SIEM, die Investition ist niedriger als SIEM, die Schwierigkeit ist niedriger als SIEM.

2. der Weg zur Automatisierung der Abläufe.

80%s Automatisierung der Sicherheitsabläufe. Seit 2020 haben wir drei Jahre lang die Automatisierung von Sicherheitsabläufen praktiziert, und am Ende dieses Jahres haben wir berechnet, dass die über 90 neuen automatisierten Skripte im Jahr 2023 über 22 Mannjahre einsparen werden; die über 100 Skripte im Jahr 2022 sind noch nicht eingerechnet. Die Automatisierung löst in erster Linie das Problem der Betriebsautomatisierung, nicht aber das Problem der Entscheidungsautomatisierung, was die Schwierigkeit ist, auf die wir gestoßen sind, und die Richtung, in die wir in Zukunft gehen müssen.

Der Kernwert der Automatisierung von Sicherheitsabläufen ist nicht die Automatisierung. Im Gegensatz zur Einsparung von Arbeitskräften durch die Automatisierung ist es die Vernetzung aller Sicherheitsgeräte, die Möglichkeit, einmal auf Sicherheitsgeräte zuzugreifen und sie überall wiederzuverwenden, und die Möglichkeit, dass Sicherheitsgeräte überall eingesetzt werden können.Operative IntelligenzEs wurde möglich, die Sicherheitsmaßnahmen aus dem manuellen Zeitalter in das Industriezeitalter zu verlagern.

3. das Endziel, die operative Aufklärung.

Erreichen einer adaptiven Disposition von Ereignissen und Alarmen für 80% über die gesamte Sekunde und Erreichen einer adaptiven Reparatur oder Vorhärtung von Schwachstellen für 80%. Gleichzeitig ist dies auch eine A-Seite-Lösung, um Zero Transformation und Zero Trust zu erreichen, und man kann sagen, dass dies die einzige Möglichkeit ist, das Konzept des Zero Trust (zumindest vorläufig) wirklich zu verwirklichen. Dies ist ein Ideal, kein Traum, denn die Datenverwaltung des Entitätsporträts ist verfügbar, die Verbindung der Sicherheitsgeräte SOAR ist erreicht, und die Ereignis-, Alarm- und Schwachstellendaten, die die Entscheidungsfindung vorantreiben, sind ebenfalls verfügbar, nur das Entitätsrisikoporträt fehlt, die Ausgabe der Richtlinienberechnung und der Kanal für die Ausführung von SOAR können mitgeführt werden.