저자 소개

증권 부문 대표를 맡고 있는 리우 이샹(Liu Yixiang)안전한 작동A9팀 책임자이자 A9팀 설립자.

감사의 글: 이 글은 보안 운영 분야에서 5년 동안 쌓은 저자의 실무 경험을 압축한 것입니다. 사심 없는 지원과 도움을 주신 쉬 씨, 루 형제, 룽 자매에게 진심으로 감사드립니다.

I. 보안 운영을 위한 논리적 아키텍처 설계 및 실무

중국에서 안전 운영이 화두가 된 지 5년이 지났고, 저희는 2018년부터 안전 운영의 발전 과정을 지켜보고 실천해 왔습니다. 안전 운영에 대해 이야기하는 것은 쉬운 일이 아니며, 중국에는 안전 운영을 정의하고 이에 대해 이야기하려는 유명 인사들이 매우 많습니다.

내 논리는 사물이 무엇인지, 가치를 창출하기 위해 그것을 사용하는 방법을 알고, 용도가 무엇인지에 대한 정의를 알고 있다는 것입니다. 사물을 최대한 활용하고 싶다면 사물의 원리를 파악하고 사물에 정체되지 않기 위해 풀, 나무, 대나무, 돌이 검이 될 수있는 이유를 알아야합니다. 따라서 보안 운영의 외부 생태와 내부 논리를 파악하는 것이 필요합니다. 프레임 워크의 생태와 논리에 대해 말하면 많은 것이 있지만 이번에는 IT 사람들에게 친숙하고 매우 고전적인 컴퓨터 IPO 설계 모델을 사용합니다.

컴퓨터용 IPO 설계 모델(입력, 처리, 출력)은 여러 가지 일에 사용할 수 있으며, 전제 조건, 달성 방법, 목표를 매우 간결하게 정리해 줍니다. 그리고 제성찰을 위한 프레임워크마찬가지로 구조에 대해 내적으로 추론 할 수 있고 생태에 대해 외적으로 추론 할 수 있으며 끝없이 재활용 할 수 있습니다. 이른바 '하나의 꽃, 하나의 세계'는 구조에 대한 내적 추론에 관한 것으로, 서양에서 물리학의 최소 단위를 끝없이 해체하는 것과 같은 논리로 내적으로 무한히 재활용할 수 있습니다.

이 로직 아키텍처 다이어그램은 제 작업 환경과 밀접한 관련이 있도록 설계되었으며, 광범위한 로직은 참조할 수 있지만 세부적인 내용은 피하는 것이 가장 좋습니다. 핵심 정보는 다이어그램에 표시되어 있으며, 운영 로직 다이어그램에 대한 간략한 설명만 이어집니다.

로직의 첫 번째 수준인 컴퓨터 입력, 처리 및 출력(IPO) 모델에서 입력(I)과 출력(O)은 안전한 작동을 위한 외부 환경이고 출력은 이에 대한 응답입니다.정보 보안입력의 전반적인 책임 부분은 드라이버와 리소스의 필요성이며, 처리(P)는 안전 운영의 내부 구조입니다.

두 번째 로직 계층, 보안 운영의 내부 구조(P), 자산, 취약성, 위협의 핵심 또는 운영. 위협 운영 첫째, 주로 보안 이벤트, 보안 경보. 취약성 운영 둘째, 여기서 취약성은 취약성과 동의어이며, 취약성은 취약성의 일반적인 번역입니다. 자산 운영 셋째, 주로 서버, 단말기, 네트워크 장비, IOT 등입니다. 네 번째 지원 작업은 주로 시스템 생존, 보안 검증, 자동화, 공격 및 방어 대결, 검토 등이며, 그 중 자동화, 공격 및 방어 대결, 검토가 가장 중요합니다.

세 번째 로직 계층인 자산, 취약성, 위협의 내부 구조입니다. 자산 관리의 실무는 "보안 자산 관리의 고급 실무" 문서에 나와 있으며, 취약성 관리 및 위협 관리의 실무는 이 글의 뒷부분에서 자세히 설명합니다.

II. 안전한 운영을 위한 기술 아키텍처 설계 및 실행

보안 운영을위한 다양한 기술 아키텍처 다이어그램이 있으며 이전에 여러 버전을 그렸지만 그 중 어느 것도 만족스럽지 않습니다. 최근에 쉬 씨의 지시에 따라 루 형제에게 조언을 구하고 약 1 주일 동안 다음 아키텍처 다이어그램을 완성하는 데 시간을 보냈고, 그 과정에서 생각이 막힐 때 룽 자매에게 조언을 구했기 때문에 쉬 씨, 루 형제, 룽 자매의 도움에 감사하고 싶습니다. 도움을 주신 쉬 씨, 루 씨, 룽 씨에게 감사의 말씀을 전합니다. 다음은 디자인 아이디어와 모듈의 초점에 대한 소개입니다.

첫 번째 로직 계층인 보안 비즈니스 로직은 도구 계층, 기능 계층, 시나리오 계층과 포털 및 자산 지원을 중심으로 합니다. 보안 도구 계층, 주로 기본 보안 시스템, 점선은 비물리적 시스템을 나타내며 보안 도구의 적용 범위, 운영 상태를 파악하는 데 사용됩니다. 보안 기능 계층은 주로 보안 장치에서 보안 기능을 추상화하여 보안 기능의 적용 범위와 운영 상태를 파악하는 데 사용됩니다. 보안 시나리오 계층은 주로 보안 기능에서 보안 시나리오를 추상화하며, 보안 시나리오의 적용 범위와 운영 현황을 파악하는 데 사용됩니다. 보안 포털 계층은 주로 각 보안 장면을 관리하기 위해 리포팅이 매우 중요합니다.

두 번째 로직 계층은 주로 레이어링 후 각 계층의 운영 로직입니다. 보안 도구 계층에서 사용되는 로직은 매우 고전적인 심층 방어(DiD)로, 높은 수준의 수용성과 범용성을 갖춘 매우 효과적인 아키텍처로 인정받고 있으며 요구사항에 따라 IT 서비스의 핵심 프로세스를 다룰 수 있습니다. 보안 기능 계층은 NIST의 로직을 사용합니다.사이버 보안프레임워크 IPDRR 기능 모듈 및 적응형보안 아키텍처(ASA)와 유사하며, 권위 있고 일반적이며 이해하기 쉽다는 점에서 상당한 장점이 있습니다. 보안 시나리오 계층은 다음과 같은 로직을 사용합니다.위험 관리세 가지 모듈(자산, 취약성, 위협)은 운영 모듈을 기반으로 합니다.

보안 현장 운영, 이벤트, 경보, 취약성, 자산을 핵심 운영 대상으로 하는 로직, 공격 및 방어 대결, 수요 관리를 주요 입력, 전략 최적화, 검토, 학습에 대한 주요 소개인 세 번째 계층은 계속 개선될 것입니다. 다른 세 번째 계층 모듈은 유사하게 설계되어 있으며 하나씩 소개되지 않습니다.

III. 5년간의 안전 운영 사례

다음 콘텐츠는 안전 운영의 여러 단계에 있는 사람들이 쉽게 참고할 수 있도록 타임라인 또는 1, 2, 3단계로 나누어 채팅을 진행합니다.

1. 세 가지 동기화에서 세 가지 후속 원칙에 이르는 원칙의 진행.

메모와 기사 기록을 살펴 보니 2018 년 7 월 이전에 회사에서 3 가지 동기화 원칙에 대한 첫 번째 언급이었고 (서클에서 처음 언급되었는지 확실하지 않음) 거의 5 년 동안의 업무 관행에서 기본적으로 불가능한 것으로 밝혀졌습니다.동기화 계획은 불가능하며, 주된 이유는 보안이 갑옷 (속성)이며 IT 계획이 완료되어야만 IT 계획을 기반으로 할 수 있으며 동기화 구축은 불가능하며 주된 이유는 보안 벤더가 뒤처지고 있으며 단순히 보안 벤더가 뒤처지고 있기 때문입니다. 보안 벤더가 뒤쳐져 있고 좋은 솔루션과 장비가 없다는 것이 주된 이유이며, 보안 인재가 뒤쳐져 있기 때문에 동기식 운영도 불가능합니다. 이상적으로는 좋지만 비현실적입니다.

2. 무작위 작업에서 포괄 작업으로, 집중 작업으로 진행합니다.

보안 운영의 첫 번째 단계에서 작업의 논리는 계획이 없더라도 오는 것을 처리하는 것이지만, 이러한 적응형 작업 방식은 여전히 상대적으로 좋으며 적어도 대부분의 작업이 우선 순위가 높습니다.

안전 작업의 두 번째 단계에서는 작업의 논리가 전면적인 공격이며, 이는 가장 효과적인 작업 방식이 아니므로 완전히 지치고 진행이 느리며 수행 중인 작업이 우선 순위가 될 수 없다는 보장이 없습니다.

보안 운영의 세 번째 단계는 핵심 작업 만 처리하고, 생명을 위협하는 문제 만 처리하고, 나머지 대기열의 나머지 부분은 처리 할 시간이 있습니다. 개인적으로 보안 운영 작업에서 차차주기 이후 가장 작은 침입 대응 관리, 취약점 복구, 공격 및 방어 검증이 될 수있는 정말 중요한 것은 많지 않다고 생각합니다. 인텔리전스 수집, 자산 관리, 그리고 나머지 후순위로 밀려난 업무에 시간과 리소스를 할애할 수 있습니다.

3. 전문가, 성장, 사다리 순으로 진로를 구성합니다.

첫 번째 단계, 팀 관리 경험이없고, 모집하기 어려운 사람들로 구성된 팀이 없으며, 인력에 대한 요구 사항은 전문적 일 수 있으며, 성장, 표현, 의사 소통, 협업 등이 제공 될 수 있습니다.

두 번째 단계, 1-2 년의 팀 관리 경험, 팀 규모 3-7 명, 인력 요구 사항은 전문성 + 성장 의지, 성장 의지가없는 사람은 채용하지 않으며 매우 고통 스럽습니다.

세 번째 단계는 3-5 년의 팀 관리 경험, 7 명 이상의 팀 규모, 인력 요구 사항은 전문 + 성장 + 계층, 계층을 형성하기위한 인력 그룹화가 최우선이며, 두 번째 및 세 번째 라인에 대한 첫 번째 성장 라인을 모집하고 두 번째 및 세 번째 라인을 모집하지 마십시오.

4, 프로세스 진행 상황, 프로세스 없음에서 SOP로, SOAR로.

첫 번째 단계에서는 안전 프로세스가 없으며 작업의 품질은 직원의 역량, 책임감, 현장 확인 및 일반적으로 현장 확인을 잘 수행하는지에 따라 달라집니다.

두 번째 단계, 표준 운영 절차 (SOP) 작성, 범위가 크고 (많은 것) 전문적 (깊은) 범위로 인한 보안 작업, SOP를 수행하는 것은 매우 어렵고 작업량이 많아 수익이 매우 낮으며, 또한 변환 계층의 경험 사이에서 작성에서 사용까지의 SOP가 너무 많고 보안 담당자는 일반적으로 매우 강한 성격이며 준수, 이해, 구현 정도를 보면 큰 문제이며 결론은 권장되지 않는다는 것입니다.

세 번째 단계에서는 보안 운영 자동화 시스템 (SOAR) 이후 보안 작업을 통해 보안 담당자가 스크립트에 직접 작성할 수 있으며, 스크립트의 품질이 제어되는 한 두 번째 단계의 대부분의 문제를 피할 수 있으며 매우 권장되며 SOAR에서 구현할 수없는 보안 프로세스는 협업 프로세스 수준을 수행하는 것이 좋으며 운영 프로세스에 관여하지 않는 것이 좋습니다.

규정 준수에서 전문성으로, 전문성으로 발전하기 위한 도구.

첫 번째 단계에서는 규제 요건, 기업 문화, 조달 규정 준수, 비즈니스 환경, 리더십 스타일, 비즈니스 관계 등 다양한 요인으로 인해 가장 효과적인 도구(보안 제품 또는 어플라이언스)를 선택할 확률이 낮기 때문에 규정 준수만 고려해야 합니다.

두 번째 단계에서 보안 운영 목표는 대결 범주에서 방어 시스템의 중요한 시스템은 기술 주도적이어야하며, 그렇지 않으면 보안 운영 작업이 효과를 전혀 보장 할 수 없으며 범주의 기능 구현이 다른 요인에 의해 지배 될 수 있기 때문에 보안 제품의 요구 사항을 밀어 붙이는 것입니다.

세 번째 단계, 발전하고 전문적으로 필요한 도구 클래스에 대한 공격 및 방어와 동시에 도구를 오랫동안 운영 할 수있는 공급 업체의 능력도 검토해야합니다. 도구 뒤에있는 팀의 조합의 공격 및 방어 연구 + 공격 및 방어 검증 + 제품 개발이 없다면 제품은 미래가 없습니다.

기타 발전, 이벤트, 알림, 취약성, 자산, 인텔리전스 등 6.

기사의 길이와 시간 및 에너지 문제로 인해 나중에 별도의 기사를 통해 공유 할 수있는 다른 측면을 여기에서 확장하지 않습니다. "보안 운영 고급 실습"의 전체 PPT는 업계에서 여러 번 공유되었으므로 필요한 경우 내 WeChat을 추가하여 저를 찾아서 얻을 수 있습니다.

IV. 보안 운영의 현재와 미래

1. SIEM은 죽고, 고래는 쓰러지고, 만물이 탄생합니다.

제 실무 환경과 경험에 비추어 볼 때 SIEM은 중소기업에 적용되지 않습니다.전문 보안 제품이 거의 없던 1995년경에 등장한 SIEM은 다양한 시스템 로그를 수집하여 경보 규칙을 작성해야만 보안 탐지 기능을 확보할 수 있었습니다.보안 장치를 제어할 수 없고 정보만 수신할 수 있다는 점, 사용의 효율성이 규칙 작성 능력에 크게 좌우된다는 점 등 명백한 단점이 있습니다.

수십 년간의 개발 끝에 보안 산업은 대부분의 다양한 보안 영역에서 매우 전문적인 보안 제품을 보유하고 있으며, 보안 작업을 수행하기 위해 SOAR + 보안 장치를 사용하고, 효과는 SIEM보다 우수하고, 투자는 SIEM보다 낮으며, 난이도는 SIEM보다 낮습니다.

2. 운영 자동화가 나아가야 할 길.

80%의 안전 운영 업무 자동화. 2020년부터 지금까지 3년 동안 안전 운영 자동화를 실천해 왔으며, 올해 말 기준으로 2023년에 90개 이상의 신규 자동화 스크립트를 통해 22개 이상의 인력을 절감할 수 있을 것으로 계산했으며, 2022년에 100개 이상의 스크립트는 아직 집계되지 않았습니다. 자동화는 주로 운영 자동화 문제를 해결할 뿐, 우리가 직면한 어려움이자 앞으로 나아가야 할 방향인 의사 결정 자동화 문제는 해결할 수 없습니다.

보안 운영 자동화의 핵심 가치는 자동화가 아닙니다. 자동화를 통한 인력 절감과는 반대로, 모든 보안 디바이스를 상호 연결하고, 보안 디바이스의 기능을 한 번만 액세스하여 어디서나 재사용할 수 있으며, 보안운영 인텔리전스안전 작업을 수작업 시대에서 산업 시대로 전환할 수 있게 되었습니다.

3. 궁극적인 목표, 운영 인텔리전스.

80%에 대한 이벤트 및 경보의 전체 초 적응 처리를 달성하고 80%에 대한 취약점의 적응 복구 또는 사전 경화를 달성합니다. 동시에 이것은 제로 트랜스포메이션과 제로 트러스트를 달성하기 위한 A측 솔루션이기도 하며, 제로 트러스트의 개념을 실제로 실현할 수 있는 유일한 방법이라고 할 수 있습니다(적어도 당분간은). 엔터프라이즈 초상화의 데이터 자산 관리가 가능하고, 보안 장비의 상호 연결이 이뤄지며, 의사 결정의 원동력이 되는 이벤트, 알람, 취약점 데이터도 확보하고, 엔터프라이즈 위험도 초상화만 누락되고, 정책 계산 출력과 SOAR 실행 채널만 가져갈 수 있기 때문에 이는 꿈이 아닌 이상이라고 할 수 있죠.