著者について

証券部長を務める劉毅祥氏安全な操作A9チーム代表、A9チーム創設者。

謝辞：本稿は、筆者の5年間にわたる警備活動の実務経験を凝縮したものである。徐氏、呂兄弟、栄姉妹の無私の支援と協力に心から感謝したい。

I. セキュリティ・オペレーションのための論理アーキテクチャ設計と実践

中国でセーフティ・オペレーションが注目を浴びてから5年が経ち、私たちは2018年からそれを追いかけ、その発展の一部始終を目撃し、実践してきた。安全操業について語るのは簡単なことではないし、国内にはそれを定義し、語ろうとする大物が非常に多い。

私の論理は、物はそれが何であるかということであり、価値を生み出すためにそれをどのように使用するかを知ることであり、使用とは何かの定義を知ることである。物事を最大限に利用するには、物事の原理をマスターする必要があり、物事に停滞しないために、理由を知っている、草、木、竹、石は剣になることができます。したがって、安全保障活動の外部の生態と内部の論理を把握する必要がある。フレームワークの生態と論理といえば、多くのものがありますが、今回私たちは、ITの人々は非常に古典的なコンピュータIPOの設計モデルに精通して使用しています。

コンピュータのIPO設計モデル（入力、処理、出力）は、いくつものことに使うことができ、前提条件、それを達成する方法、目標を非常に簡潔な方法で明確にしてくれる。そして私の反省の枠組み同じように、構造について内向きに推論し、エコロジーについて外向きに推論し、無限にリサイクルすることができる。いわゆる「一輪の花、一つの世界」は、構造に関する内向きの推論であり、内向きに無限にリサイクルすることができる。

このロジック・アーキテクチャ図は、私の仕事環境に強く関連するように設計されており、大まかなロジックは参照できるが、詳細は避けた方がよい。重要な情報はこの図に示されており、運用ロジック図については簡単な説明のみが続く。

論理の最初のレベルであるコンピュータの入力、処理、出力（IPO）モデルは、入力（I）と出力（O）が安全なオペレーションを行うための外部環境であり、出力はその応答である。情報セキュリティーインプットの全体的な責任部分はドライバーとリソースの必要性であり、プロセッシング（P）は安全運行の内部構造である。

ロジックの第2層、セキュリティ運用（P）の内部構造、コアまたは資産、脆弱性、脅威の操作。脅威の操作は第一に、主にセキュリティイベント、セキュリティアラートである。脆弱性の操作第二、ここで脆弱性は脆弱性と同義であり、脆弱性は脆弱性の一般的な翻訳である。第三の資産運用、主にサーバー、端末、ネットワーク機器、IoTなど。第四のサポート業務、主にシステムの生存、セキュリティ検証、自動化、攻撃と防御の対決、審査などであり、そのうち、自動化、攻撃と防御の対決、審査が最も重要である。

第3層の論理、資産、脆弱性、脅威の内部構造。資産管理の実践については、「セキュリティ資産管理の高度な実践」の記事で紹介し、脆弱性管理と脅威管理の実践については、記事の後半で詳しく紹介する。

II.安全運転のための技術的な設計と実践

セキュリティ運用のための技術的なアーキテクチャ図はいろいろあり、私も以前いくつかのバージョンを描いたことがあるが、どれも満足のいくものではなかった。最近、徐さんに促され、呂兄にアドバイスを求め、約一週間かけて以下のアーキテクチャ図を完成させた。その間、思考に行き詰まったときは栄姉にアドバイスを求めた。徐さん、呂兄、栄姉に感謝したい。徐さん、呂さん、栄さんに感謝します。 以下、設計のアイデアとモジュールの焦点について紹介する。

ロジックの第一層であるセキュリティ・ビジネス・ロジックは、ツール層、能力層、シナリオ層を中心に、ポータルとアセットサポートを加えたものである。セキュリティツール層は、主にネイティブのセキュリティシステムで、点線は非物理的なシステムを表し、セキュリティツールの適用範囲、運用状況を把握するために使用される。セキュリティ能力層、主にセキュリティデバイスからセキュリティ能力を抽象化し、セキュリティ能力のカバー範囲、運用状況を把握する。セキュリティシナリオレイヤ。主にセキュリティ能力からセキュリティシナリオを抽象化し、セキュリティシナリオのカバー率と運用状況を把握する。セキュリティポータル層、主に各セキュリティシーンを管理し、報告は非常に重要である。

層目のロジックは、主にレイヤリング後の各層の運用ロジックである。セキュリティツール層では、非常に古典的な深層防御（DiD：Defense-in-Depth）のロジックが使用される。これは、高い受容性と汎用性を備えた非常に効果的なアーキテクチャとして認識されており、要件に基づいて IT サービスの中核プロセスをカバーすることができる。セキュリティ能力層では、NIST のサイバーセキュリティフレームワークIPDRRの機能モジュールと適応性セキュリティ・アーキテクチャ(ASA）も同様で、権威があり、汎用的で理解しやすいという点で大きな利点がある。セキュリティ・シナリオ・レイヤでは、以下のロジックを使用する。リスク管理3つのモジュール（資産、脆弱性、脅威）は、オペレーション・モジュールをベースにしている。

ロジックの第3層は、セキュリティシーンの操作、イベント、アラーム、脆弱性、資産をコア操作オブジェクトとして、攻撃と防御の対決、主な入力としての需要管理、戦略の最適化、レビュー、学習の主な導入は、引き続き改善されます。他の第三層のモジュールも同じように設計され、一つずつ紹介されることはない。

III.5年間の安全運転の実践

以下の内容は、安全運行のさまざまな段階にいる人たちが参照しやすいように、時系列や1段階、2段階、3段階からおしゃべりする。

1.3つのシンクロナイズから3つのフォローアップ原則への原則の進行。

メモと記事の記録を調べたところ、2018年7月以前に社内で同期三原則に言及したのは初めてであり（サークルで初めて言及したかどうかは不明）、5年近くの実務経験では基本的に不可能であることが判明した。同期計画は不可能であり、その主な理由は、セキュリティが鎧（属性）であり、IT計画が完了して初めてIT計画に基づいて行うことができるからである。同期的な運用も不可能であり、その主な理由は、セキュリティ・ベンダーが出遅れており、良いソリューションや設備がないからである。理想としては問題ないが、現実的ではない。

2.無作為、包括的、集中的への作業進行。

警備活動の最初の段階では、仕事の論理は、計画性はないものの、来たものをやるというものだが、この適応的な仕事のやり方はまだ比較的ましで、少なくともほとんどの仕事が優先される。

安全作業の第2段階では、作業の論理は総攻撃である。これは最も効果的でない作業方法であり、疲労困憊し、遅々として進まず、行われていることが優先事項であるという保証もない。

セキュリティ業務の第三段階は、仕事だけ重要な仕事に対処するために、問題だけ命にかかわる問題に対処するために、列の後ろの残りの部分は、対処する時間があります。個人的には、セキュリティ運用の仕事の中で本当に重要なことはあまりないと思います、チャチャサイクル以来、最小の、侵攻対応の管理、脆弱性の修復、攻撃と防御の検証ができます。情報収集、資産管理、あとは列の後ろのほうをやる時間とリソースがある。

3.プロフェッショナルから成長、ラダーへのステップアップを組織する。

最初の段階は、チームマネジメントの経験がなく、人材確保が難しいチームで、人材の要件はプロフェッショナルであることができ、成長、表現、コミュニケーション、コラボレーションなど、道を譲ることができる。

第二段階は、1-2年のチームマネジメント経験、3-7人のチームサイズは、人材の要件は、プロフェッショナル+成長意欲であり、成長意欲のない人々は非常に痛みを伴う、募集していません。

第三段階では、3-5年のチーム管理経験があり、チームの規模は7人以上、人材の要件は、専門+成長+エシュロン、エシュロンを形成するための人材のグループ化が第一優先であり、第二および第三行の成長の第一線を募集し、第二および第三行を募集しないようにしてください。

4、プロセスの進行、プロセスなしからSOP、SOARへ。

第一段階では、安全プロセスは存在せず、作業の質はスタッフの能力、責任、抜き打ちチェック、そして一般的に抜き打ちチェックがうまくいくかどうかにかかっている。

第二段階は、標準作業手順書（SOP）を書いて、セキュリティの仕事の範囲が大きい（多くのこと）と専門的な（深い）のために、SOPを行うことは非常に困難であり、作業負荷は、非常に低いリターンになる;さらに、SOPの書き込みから変換層の経験の間に使用するには、あまりにも多く、セキュリティ担当者は、一般的に非常に強い個性であり、コンプライアンスの程度を見て、理解、実装が大きな問題である;結論は、それはお勧めできませんということです。

第三段階では、セキュリティ運用自動化システム（SOAR）の後、セキュリティの仕事は、セキュリティ担当者がスクリプトに直接書き込むことができ、限り、スクリプトの品質が制御されているように、あなたは第二段階の問題のほとんどを避けることができる、非常にお勧めします。

5.コンプライアンスからプロフェッショナリズム、そして専門知識へと進むためのツール。

最初の段階では、規制要件、企業文化、調達コンプライアンス、事業環境、リーダーシップスタイル、取引関係等、様々な要因から、最も効果的なツール（セキュリティ製品やアプライアンス）に行き着く確率は低く、コンプライアンスを遵守していればよいということになる。

第二段階では、安全保障業務の目標は安全保障製品の要求を押し戻すことで、対決の範疇の防衛システムの重要なシステムは技術主導でなければならず、そうでなければ、安全保障業務が全く効果を保証することができない。

第三段階は、ツールのクラスに対する攻撃と防御を進めるために必要な、専門的で、同時に、我々はまた、攻撃と防御の研究+攻撃と防御の検証+ツールの背後にあるチームの組み合わせの製品開発がない場合は、長い時間のためにツールを操作するサプライヤーの能力を検討する必要があり、その製品に未来はありません。

6.その他の進歩、イベント、アラート、脆弱性、資産、インテリジェンスなど。

記事と時間とエネルギーの問題の長さのために、後の進歩の他の側面は、共有するために別の記事ではなく、ここで展開する。あなたはそれを必要とする場合は、"セキュリティ操作の高度な実践 "の完全なPPTは、業界で何度も共有されている、あなたはそれを得るために私を見つけるために私のWeChatを追加することができます。

IV.安全保障活動の現状と将来

1.SIEMは死に、クジラは倒れ、万物は生まれる。

私の実務環境と経験では、SIEMは中小企業には当てはまらない。SIEMが登場した1995年頃は、専門的なセキュリティ製品がほとんどなく、セキュリティ検知機能は、さまざまなシステムログを収集してアラートルールを作成することでしか実現できなかった。情報を受け取るだけで、セキュリティー・デバイスをコントロールすることはできない。

セキュリティ業界は数十年の発展の後、各セキュリティ分野のほとんどは非常に専門的なセキュリティ製品を持っている、SOAR +セキュリティデバイスの使用は、セキュリティ運用を行うには、効果はSIEMよりも優れている、投資はSIEMよりも低い、難易度はSIEMよりも低い。

2.進むべき道、オペレーション・オートメーション。

80%の安全作業自動化。2020年から現在までの3年間、安全作業の自動化を実践してきたが、今年末の計算では、2023年に新たに90本以上の自動化スクリプトを作成することで、22人年以上の工数を削減することができる。自動化は主にオペレーションの自動化の問題を解決するものであり、意思決定の自動化の問題を解決することはできない。

セキュリティ運用自動化の中核的価値は自動化ではない。自動化による省人化とは対照的に、すべてのセキュリティ・デバイスの相互接続性、セキュリティ・デバイスが一度アクセスすればどこでも再利用できること、セキュリティ・デバイスがどこでも使用できることである。オペレーショナル・インテリジェンス安全作業を手作業の時代から工業の時代へと移行させることが可能になったのだ。

3.究極の目標、作戦情報。

80%のイベントとアラームの完全な秒単位の適応的処分を実現し、80%の脆弱性の適応的修復または事前硬化を実現する。同時に、これはゼロ・トランスフォーメーションとゼロ・トラストを達成するためのAサイドのソリューションでもあり、ゼロ・トラストというコンセプトを（少なくとも当面は）本当に実現する唯一の方法であるとも言える。これは夢物語ではなく理想である。なぜなら、エンティティポートレイトのデータ資産管理は可能であり、セキュリティ機器SOARの相互接続も実現し、意思決定の原動力となるイベント、アラーム、脆弱性データも利用可能であり、エンティティリスクポートレイトだけが欠落しており、ポリシー計算の出力、SOARの実行チャネルを運ぶことができるからである。