Об авторе
Лю Исян, занимающий должность начальника отдела ценных бумагБезопасная эксплуатацияГлава A9Team и основатель A9Team.
Благодарности: В этой статье обобщен пятилетний практический опыт автора в области операций по обеспечению безопасности. Мы хотели бы выразить искреннюю благодарность господину Сюю, брату Лу и сестре Ронг за их бескорыстную поддержку и помощь.
I. Разработка логической архитектуры и практика применения операций безопасности
Прошло 5 лет с тех пор, как в Китае загорелась тема безопасных операций, и мы следим за ней с 2018 года, наблюдая и практикуя весь процесс ее развития. Говорить о безопасных операциях непросто, и в стране очень много крупных деятелей, которые пытаются дать этому понятию определение и говорят о нем.
Моя логика такова: вещь - это то, что она есть, знай, как использовать ее для производства ценности, и знай определение, что такое использование? Чтобы наилучшим образом использовать вещи, нужно постичь принцип действия вещей, знать причину, чтобы не застаиваться в вещах, трава, дерево, бамбук и камень могут стать мечом. Поэтому необходимо разобраться во внешней экологии и внутренней логике охранных операций. Говоря об экологии и логике каркасов существует множество, на этот раз мы используем хорошо знакомую IT-специалистам и очень классическую модель проектирования компьютерных IPO.
Модель проектирования IPO для компьютеров (ввод, обработка, вывод) может быть использована для любого количества вещей, и она очень лаконично показывает предпосылки, способы их достижения и цели. И мойРамки для размышленийТо же самое: внутренне рассуждать о структуре, внешне рассуждать об экологии, и это можно бесконечно перерабатывать. Так называемый "Один цветок, один мир" - это внутренние рассуждения о структуре, которые можно бесконечно перерабатывать внутри себя, по той же логике, что и бесконечный демонтаж Западом мельчайших единиц физики.
Эта диаграмма логической архитектуры разработана таким образом, чтобы иметь непосредственное отношение к моей рабочей среде, где можно сослаться на общую логику, но лучше избегать подробностей. На диаграмме показана ключевая информация, и далее следует лишь краткое описание операционной логической схемы.
Первый уровень логики - модель компьютерного ввода, обработки и вывода (IPO), где ввод (I) и вывод (O) - это внешняя среда для безопасной работы, а вывод - это реакция наинформационная безопасностьОбщая ответственная часть входа - это потребность в водителях и ресурсах, а обработка (P) - это внутренняя структура операции по обеспечению безопасности.
Второй слой логики, внутренняя структура операций безопасности (P), ядро или операции с активами, уязвимостями, угрозами. Операция угрозы первая, в основном это события безопасности, оповещения безопасности. Уязвимость операции второй, уязвимость здесь является синонимом уязвимости, уязвимость является общим переводом уязвимости. Третья операция с активами, в основном это серверы, терминалы, сетевое оборудование, IOT и так далее. Четвертая операция поддержки, в основном выживание системы, проверка безопасности, автоматизация, противостояние атаке и обороне, обзор и так далее, из которых автоматизация, противостояние атаке и обороне, обзор является наиболее важным.
Третий слой логики, внутренняя структура активов, уязвимостей, угроз. Практика управления активами показана в статье "Продвинутая практика управления активами безопасности", а практика управления уязвимостями и угрозами будет подробно рассмотрена далее в статье.
II. Разработка и практика технической архитектуры для безопасной эксплуатации
Существует множество различных схем технической архитектуры для обеспечения безопасности, и я уже рисовал несколько вариантов, но ни один из них не был удовлетворительным. Недавно, по подсказке господина Сюя, я попросил совета у брата Лу и потратил около недели на создание следующей схемы архитектуры, в течение которой я обращался к сестре Ронг за советом, когда застревал в своих размышлениях, поэтому я хотел бы поблагодарить господина Сюя, брата Лу и сестру Ронг за их помощь. Я хотел бы поблагодарить г-на Сю, г-на Лу и г-жу Ронг за их помощь. Ниже приводится введение в идеи дизайна и основное направление модуля.
Первый уровень логики, бизнес-логика безопасности, сосредоточен на уровне инструментов, уровне возможностей и уровне сценариев, а также на портале и поддержке активов. Инструментальный уровень безопасности, в основном, представляет собой родную систему безопасности, пунктирная линия обозначает нефизическую систему, используется для понимания охвата инструментов безопасности, оперативного состояния. Слой возможностей безопасности, в основном абстрагирующий возможности безопасности от устройств безопасности, используется для понимания охвата и рабочего состояния возможностей безопасности. Уровень сценариев безопасности, в основном абстрагирует сценарии безопасности от возможностей безопасности, и используется для наблюдения за охватом и состоянием работы сценариев безопасности. Уровень портала безопасности, в основном для управления каждой сценой безопасности, отчетность очень важна.
Второй слой логики - это в основном операционная логика каждого слоя после наслоения. На уровне средств безопасности используется классическая логика "защита в глубину" (DiD), которая признана очень эффективной архитектурой с высокой степенью приемлемости и универсальности, охватывающей основные процессы предоставления ИТ-услуг на основе требований. Уровень возможностей безопасности, использующий логику NISTинформационная безопасностьФункциональные модули рамочной программы IPDRR и адаптивныеАрхитектура безопасности(ASA) аналогичен и имеет значительные преимущества, поскольку является авторитетным, общим и простым для понимания. Уровень сценариев безопасности, использующий логикууправление рискамиТри модуля (Активы, Уязвимости и Угрозы) основаны на модуле Операции.
Третий слой логики, основное введение в работу сцены безопасности, события, тревоги, уязвимости, активы в качестве основных операционных объектов, нападение и оборона противостояния, управление спросом в качестве основного входа, оптимизация стратегии, обзор, обучение будет продолжать совершенствоваться. Другие модули третьего уровня разработаны аналогичным образом и не будут вводиться по одному.
III. Пять лет практики безопасной эксплуатации
Ниже будет приводиться информация по хронологии одного, двух или трех этапов, чтобы облегчить работу тем, кто находится на разных этапах работы по обеспечению безопасности.
1. Прогрессия принципов: от трех синхронизаций к трем последующим принципам.
Я просмотрел заметки и записи статей, это было первое упоминание трех синхронных принципов в компании до июля 2018 года (не уверен, что это было первое упоминание в кругу), и оказалось, что это практически невозможно за почти 5 лет практики работы.Синхронное планирование невозможно, основная причина в том, что безопасность - это броня (атрибуты), и ее можно сделать только на основе ИТ-планирования, только когда ИТ-планирование завершено; синхронное строительство невозможно, основная причина в том, что поставщики безопасности отстают, и просто не существует Основная причина - отставание поставщиков систем безопасности, отсутствие хороших решений и оборудования; синхронная работа также невозможна, в основном потому, что таланты в области безопасности отстают. Идеальный вариант, но непрактичный.
2. Прогрессия работы от случайной, к комплексной, к целенаправленной.
На первом этапе операций по обеспечению безопасности логика работы заключается в том, чтобы делать то, что приходит, хотя никакого планирования нет, но этот адаптивный способ работы все еще относительно хорош, по крайней мере, большая часть работы является приоритетной.
На втором этапе операций по обеспечению безопасности логика работы заключается в тотальной атаке, что является наименее эффективным способом работы, приводящим к полному истощению, медленному прогрессу и отсутствию гарантии того, что то, что делается, является приоритетом.
Третий этап операции безопасности, работа только для решения ключевых работ, проблема только для решения опасных для жизни проблем, остальные из задней части очереди, есть время, чтобы справиться с. Лично я считаю, что в работе по обеспечению безопасности не так много действительно важных вещей, самых маленьких, поскольку цикл ча-ча-ча, управление реакцией на вторжение, устранение уязвимостей, проверка атаки и защиты может быть. Есть время и ресурсы, чтобы заниматься сбором разведданных, управлением активами, а остальное - в хвосте очереди.
3. Организуйте продвижение по карьерной лестнице, от профессионала к росту.
На первом этапе нет опыта управления командой, людей сложно набрать, требования к персоналу профессиональные, можно уступать в росте, самовыражении, общении, сотрудничестве и т.д.
Второй этап, 1-2 года опыта управления командой, размер команды 3-7 человек, требования к персоналу профессиональные + готовность к росту, без готовности к росту людей не набирают, при этом очень болезненные.
Третий этап, есть 3-5 лет опыта управления командой, размер команды более 7 человек, требования к персоналу профессиональные + рост + эшелон, группировка персонала для формирования эшелона является первым приоритетом, набирая первую линию роста для второй и третьей линий, старайтесь не набирать вторую и третью линии.
4, прогрессия процесса - от отсутствия процесса, к SOP, к SOAR.
На первом этапе отсутствуют процессы обеспечения безопасности, а качество работы зависит от компетентности персонала, его ответственности, выборочного контроля и, как правило, хорошей работы по выборочному контролю.
Второй этап, написание стандартных операционных процедур (SOP), безопасности работы из-за масштаба большой (много вещей) и профессиональных (глубоко), сделать SOP очень трудно и нагрузки, в результате чего очень низкая отдача; кроме того, SOP от написания до использования между опытом преобразования слоя слишком много, и персонал безопасности, как правило, очень сильные личности, посмотреть на степень соответствия, понимание, реализация являются большими проблемами; вывод заключается в том, что это не рекомендуется.
На третьем этапе, после внедрения системы автоматизации операций безопасности (SOAR), работа службы безопасности позволяет сотрудникам службы безопасности писать непосредственно в сценарии, пока качество сценария контролируется, вы можете избежать большинства проблем на втором этапе, очень рекомендуется; процессы безопасности, которые не могут быть реализованы на SOAR, рекомендуется делать на уровне совместных процессов, не участвуя в операционных процессах.
5. инструменты для перехода от соответствия требованиям, профессионализма и компетентности.
На первом этапе вероятность того, что в итоге будет выбран наиболее эффективный инструмент (продукт или устройство безопасности), невелика из-за множества факторов, таких как нормативные требования, культура компании, соответствие требованиям закупок, бизнес-среда, стиль руководства, деловые отношения и так далее, так что соответствие требованиям - это все, что требуется.
На втором этапе целью операции по обеспечению безопасности является оттеснение требований к продуктам безопасности, так как важная система обороны в категории противостояния должна быть технологически управляемой, в противном случае работа по обеспечению безопасности не может гарантировать эффект вообще; функциональная реализация категории может быть доминирована другими факторами.
Третий этап, атака и оборона против класса инструментов, необходимых для продвижения, профессиональных и в то же время, мы должны также изучить способность поставщика работать с инструментом в течение длительного времени, если нет атаки и обороны исследования + атаки и обороны проверки + разработки продукта сочетание команды за инструментом, то продукт не будущее.
6. другие достижения, события, предупреждения, уязвимости, активы, разведданные и т. д.
Из-за длины статьи и времени и энергии проблемы, другие аспекты продвижения позже, то отдельная статья, чтобы поделиться, не здесь, чтобы расширить. Полный PPT "Охранная операция передовой практики" был разделен много раз в отрасли, если вам нужно, вы можете добавить мой WeChat, чтобы найти меня, чтобы получить его.
IV. Настоящее и будущее операций по обеспечению безопасности
1. SIEM мертв, кит падает, и все вещи рождаются.
По моему опыту и практике, SIEM не относится к малым и средним предприятиям.SIEM появился около 1995 года, когда профессиональных продуктов для обеспечения безопасности было очень мало, а возможности обнаружения угроз безопасности можно было получить только путем сбора различных системных журналов для написания правил оповещения.У него есть очевидные недостатки, например, он может только получать информацию, но не может управлять устройствами безопасности, например, эффективность его использования сильно зависит от умения писать правила.
Индустрия безопасности после десятилетий развития, большинство различных областей безопасности имеют очень профессиональные продукты безопасности, использование SOAR + устройств безопасности для выполнения операций безопасности, эффект лучше, чем SIEM, инвестиции ниже, чем SIEM, сложность ниже, чем SIEM.
2. путь к автоматизации операций.
Автоматизация работы 801ТП3Т по обеспечению безопасности. Мы занимаемся автоматизацией операций по безопасности уже три года, с 2020 года по настоящее время, и в конце этого года мы подсчитали, что 90+ новых автоматизированных сценариев в 2023 году сэкономят 22+ человеко-лет; 100+ сценариев в 2022 году еще не подсчитаны. Автоматизация в основном решает проблему операционной автоматизации, она не может решить проблему автоматизации принятия решений, что является трудностью, с которой мы столкнулись, и направлением, в котором нужно двигаться в будущем.
Основная ценность автоматизации операций безопасности заключается не в автоматизации. В отличие от экономии трудовых ресурсов при автоматизации, это взаимосвязь всех устройств безопасности, возможность однократного доступа к устройствам безопасности и их повторного использования повсюду, а также возможность повсеместного использования устройств безопасности.Оперативная разведкаСтало возможным перенести операции по обеспечению безопасности из эпохи ручного труда в индустриальную эпоху.
3. конечная цель - оперативная разведка.
Достижение полносекундной адаптивной утилизации событий и сигналов тревоги для 80%, а также достижение адаптивного ремонта или предварительного "закаливания" уязвимостей для 80%. В то же время это решение A-стороны для достижения нулевой трансформации и нулевого доверия, и можно сказать, что это единственный способ воплотить концепцию нулевого доверия в жизнь (по крайней мере, на данный момент). Это идеал, а не мечта, потому что управление активами данных портрета субъекта доступно, взаимосвязь устройств безопасности SOAR достигнута, а данные о событиях, тревогах и уязвимостях, которые определяют процесс принятия решений, также доступны, не хватает только портрета рисков субъекта, вывода расчета политики и канала для выполнения SOAR.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/практические-соображения-и-размышле-2.