I. Aの視点安全な操作
0x1: 安全運転の概要
この国の情報セキュリティー中国企業の情報セキュリティに対する意識と注目の高まりは、さらに加速している。多くの優秀な企業も、自発的に自社の企業セキュリティに対する要求をどんどん打ち出している。伝統的なセキュリティの構築は、多くの場合、企業のセキュリティの特定またはいくつかの側面に焦点を当て、統一的な運用を考慮することができない、または運用コストは、多くの人的および物的資源を消費する。効率面でも品質面でも、明らかな欠点がある。
近年、インターネット大企業の企業情報セキュリティの探求に伴い、セキュリティ運用の概念が徐々に打ち出されている。伝統的な運用の立場から類推すると、運用の責任は、最終的な目標を確保し、絶えず診断と分析を行い、ニーズや問題を提起し、最適化を推進し、各方面のリソースを調整し、閉ループを完成させ、一流の仕事の目標を達成することである。企業の安全保障の究極的な需要に対して、安全保障業務の責任として、企業の安全保障の各方面を診断し、分析し、要求とニーズを提示し、最適化を推進し、安全保障業務の実務者を通じて資源を調整し、最終的な着地点に到達する必要がある。
もちろん、現在の環境では、党Aのセキュリティオペレーションエンジニアは、しばしば様々な問題に遭遇し、その効果の最終的な目標のすべての面で、企業のセキュリティを確保するために、多くの場合、達成するために様々な方法、方法、製品、サービスを取るために、さらにいくつかの党Aのセキュリティオペレーションエンジニアが率先していくつかの手順の開発を整理し、全体のプロセスをより制御できるようになります。党の要求から、我々は明らかに企業のセキュリティは、最も直接的かつ緊急の党の当面のニーズであることを感じることができます。
0x2: セキュリティ・オペレーション・スタッフの責任とスキルニーズ
最も重要なのは安全作業要員の問題解決能力であり、現地の状況に応じて安全作業システムを計画し、企業の安全状況を診断し、問題点と要求を提示し、問題点の是正を推進し、各方面のリソースを調整し、最終的に現場でのクローズドループの運用を実現するといった重要なノードにおいて特に重要である。従って、当事者Aの観点で、保安業務担当者が持つべきスキルは次のようになる:
- 情報セキュリティ技術のバックグラウンド、セキュリティ構築に関する十分な知識と理解、情報セキュリティマネジメントの経験、明確なサマリーを提示する能力、さまざまなシナリオにおける問題解決能力を活用する能力。
- いくつかセキュリティサービス開発・運用・保守のバックグラウンドを持ち、セキュリティマネジメントソリューションのコンサルティング経験があり、様々なシナリオに応じた合理的なソリューションを提案できる。
- セキュリティエンジニア、セキュリティ開発エンジニア、ビジネス、R&Dとの連携や調整ができるコミュニケーション能力
- データ駆動型の意識、最適化分析を推進するためのデータ活用能力、関連ツールを自律的に開発する能力。
- 強い責任感と、目標を達成するために様々な最適化や調整を積極的に行う能力
0x3:Aの安全運転の具体的内容
基本的なセキュリティ運用には、脅威インテリジェンス、ウェブの脆弱性検出、トラフィック監視、端末の監視と保護、状況認識などが含まれ、あらゆる種類のネットワーク攻撃に対処するための企業の対策が網羅されている。
セキュリティ・オペレーションは、組織やセキュリティ・オペレーション製品のニーズに応じて、セキュリティ・オペレーション・エコシステムをさまざまな方法で構成するプロセスです。これには、情報とデータの収集技術、セキュリティ情報とインシデントの管理ツール、ワークフローと脆弱性対応の管理と優先順位付け、脅威インテリジェンスと機械学習の運用、リスク管理ガバナンスと企業のダウンサイドリスク評価、ワークフローと自動化されたデータ処理などの技術が含まれます。
II.あなたの視点からの安全運転
0x1: 安全作業の概要
Bサイドのセキュリティの概念では徐々に人気がある、国内のセキュリティベンダーは徐々にセキュリティ技術製品開発から顧客の需要指向のアプローチ、Bサイドのセキュリティベンダーのプロセスの顧客の運用ニーズに直面してのプロセスにだけでなく、独自のソリューションの多くを提唱した。
一方、当事者Bのセキュリティベンダーは、適切なサービスを提供するための基本的な条件を持っています。他方では、業界の動向や企業のセキュリティの成熟度によると、より良い市場環境に適応するために適切な製品やサービスを起動するために、また、市場の発展のニーズに応えることです。
Bサイドのセキュリティ運用も、従来のセキュリティの観点からオンサイトサービスの初めから、対応するセキュリティ運用関連のプラットフォームを提供し、その後、ソリューションの変化の企業のセキュリティ運用シリーズに。
安全操作の観点から、B党の観点は、各キーリンクの予防と制御にもっと注意を払う。B党の安全業務の観点は、地域に属するさまざまな資産に基づいて、比較的詳細かつ綿密に分割することができ、大まかに強力なコントロールゾーン、地域コントロール、国境保護、露出面に分けることができます。支援システムから、管理システム、技術システム、運営システムに大別できる。各システムの内容を整理することで、B当事者から見た安全運用の各側面の焦点がより明確に見えてくる。
安全操作の概要を以下に示します。
0x2: 安全オペレーションスタッフの責任とスキルニーズ
当事者Bのセキュリティ運営サービス能力のニーズに応じて、レッドチーム攻撃、企業防衛、運営改善と最適化、セキュリティ事故または隠れた危険の処理、脅威インテリジェンス、技術力強化、セキュリティ管理の分野に一定のニーズまたは要求がある。
当事者Bは、当事者Aの要件と比較して、セーフティ・オペレーターにより専門的なスキルを要求している。
- セキュリティー業務に関連し、露出した資産、セキュリティー保護管理戦略、脅威ハンティング、緊急対応、セキュリティー・オペレーション、メンテナンスを監視する基本的な能力。
- 現場でのセキュリティ対応能力を実証する。
- 何らかのソフトウェア開発スキルを有し、安全運行業務、建設、開発、その他の業務にフルサイクルで参加できること。
- プロジェクトの実行、文書化、管理、評価、最適化、連携など、さまざまな成熟度レベルまでプロジェクトを単独で推進できる能力を実証している。
- コミュニケーション能力に優れ、安全作業チェーンにおける問題のフォローアップと分析を支援でき、A当事者の安全作業担当者が関連作業を実施するのを支援できる。
0x3:安全運転の具体的内容
したがって、「当事者B」は、一般に、セキュリティ運用を、資産を核心とし、セキュリティイベント管理を重要なプロセスとし、セキュリティ領域区分の考え方を採用し、一連のリアルタイム資産リスクモデルを確立し、管理者がイベント分析、リスク分析、早期警報管理、緊急対応処理を行うことを支援する集中型セキュリティ管理システムと定義している。
III.当事者Aの安全運転と当事者Bの安全運転の違い
当事者Aと当事者Bの安全な運営は、補完的で相互に補強し合う関係である。
- A社の安全運営は結果に責任を持ち、問題解決の有効性と効率にもっと注意を払っている。 体系的な管理方法を用いてリスクを定量化し、管理を一元化し、一連の安全運営システムを確立することに長けており、着陸最適化プロセスを通じてリスクを徐々に減らしている。
- 当事者Bのセキュリティ業務は、一般性と関連性、異なるシナリオにおける一般的な解決策は何か、目標とする問題解決策は何かをより懸念しており、当事者Bの利点を通じて、戦略の有効性を語るリスクのガバナンスに傾向がある。
簡単に言えば、A党は結果と効率を重視し、B党は製品やサービスという形で自らの安全性の蓄積を輸出することを重視し、有効性の向上にもっと注意を払うということである。
実際、セキュリティ業務の全体的な成熟度から見ると、成熟したセキュリティ業務には、実行、記録、管理、評価、最適化、連携のためのプラットフォームが必要であり、このプラットフォームの開発は、当事者Aの自己研究に該当するか、当事者Bが開発したプラットフォームの助けを借りて、セキュリティ業務の使用は、プロセスの成熟に向けて徐々に進んでいる。
IV.セキュリティ・オペレーションのペインポイント
0x1:過剰なセキュリティデバイスアラーム
企業セキュリティにおけるセキュリティ製品の増加に伴い、セキュリティ・オペレーション・エンジニアは、ますます多くのセキュリティ・イベント・アラートに対処しています。運用で使用される製品の品質がさまざまであるため、特に一部のキャリアやデータ・センターのシナリオでは、セキュリティ・イベントの毎日のアラームがますます多くなっています。一部のセキュリティ・デバイスでさえ、全セキュリティ・イベントの80%を占める誤警報の成功をモニターしています。
アラームの数が多すぎると、そもそも対処・改善する方法がない誤報が多くなるため、セキュリティ・オペレーターはセキュリティ・イベントのアラームへの対応に追われることになり、ひいては日々の運用プロセスの効率にも影響する。
0x2: 大規模ビジネスシナリオ
直接使用できる適応可能なセキュリティ運用プラットフォームはありません。多くのインターネット企業では、自社のビジネスシステムが比較的複雑で、大規模なビジネスデータの相互作用プロセスがセキュリティ運用を実現するため、従来のセキュリティ運用に強く依存し、その複雑なビジネスシナリオに対処するには十分ではありません。
その結果、企業は独自のプラットフォームを開発するというアプローチを取るか、比較的強力な検知機能と比較的柔軟なルール構成を持つ製品を使用して対処することになる。いずれにせよ、維持には一定のコストがかかるが、比較的、後者を選択する企業が圧倒的に多い。
0x3: 誤報の問題
周知のように、誤報を判断するために時間を浪費することはしばしば苦痛である。これには2つの理由が考えられる。
- 一つは、セキュリティ・インシデントの分析にかかる時間と人件費の大幅な増加である。
- ひとつは、誤検知は、セキュリティ・イベントが成功した場合だけでなく、セキュリティ・イベントが失敗した場合にも、誤検知によって漏れが生じることである。
したがって、機器の製品の選択を通じて、セキュリティ運用のプロセス、セキュリティ機器、ポリシーの更新、セキュリティ機器、使いやすさにカスタムルールのベースは、毎日のセキュリティ運用に直面するだろう。
多くのシナリオでは、特定のビジネス・データ出発時の誤報も、より一般的で独特な問題であると考えられており、これに対処するためには、カスタマイズされた比較的柔軟なアラーム設定が必要である。
0x4:ディフェンス・ギャップ
伝統的な企業セキュリティは、セキュリティ深度防御製品を全体として運用していないため、フォレンジック調査と判断、追跡とトレースなどのプロセスにおいて、より大きな連携困難があり、データ分析と相関関係を照会し比較するために、頻繁にログインし、異なる製品プラットフォームを切り替える必要があり、その結果、データ分析が断片的になり、防御にギャップが生じることがよくある。
高度な脅威インテリジェンス管理システムは、セキュリティ運用のこの部分に対応して、さまざまな技術的、重要なデータリンクの役割を果たし、適切なリンクでインテリジェンスデータを共有したり、呼び出したりし、共同で分析・判断する役割を果たすことができる。もちろん、ワークフローの設計を通じて、レベルに応じて自動化された対策を設定し、トリガーがかかったら自動的に対応し、プロアクティブに対応することもできる。
0x5: 知識シナジーの問題
セキュリティ製品だけでなく、セキュリティ・チームからのインテリジェンスを共有できないことは、第一にチームと並行して調査を処理できないことにもつながる。これらの調査は、孤立していることが多いが、相互に関連しており、敵の戦術、技術、プロセスなどに関するいくつかの調査記録は、第一にチームと共有できるはずである。
0x6:混乱した環境
混沌とした環境は、チームが相互に協力せず、行動を起こす必要があるときに非効率的であるという事実や、タスクのスケジュールや結果を監視するためにチームが相互に調整するための管理プラットフォームが欠如しているという事実が証明している。例えば、脅威モニタリング・アナリスト、セキュリティ・オペレーション・センター、インシデント対応チームは、緊急対応や修復にかかる時間を短縮するために連携できるようにすべきである。
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/safety-operations-from-the-perspective-of-partya-and-partyb.html。