關於作者
刘亦翔,担任头部证券的安全營運负责人,是A9Team的创办人。
致谢:本文章凝结了作者五年来在安全运营领域的实战经验。在此,衷心感谢许总、璐哥和荣姐的无私支持与帮助。
一、安全运营的逻辑架构设计与实践
安全运营在国内火起来已经有5年了,从2018年开始我们就一直在跟进,见证并实践了它的整个发展过程。要讲清楚安全运营不是一件容易的事,国内也有非常多的大佬在试图定义,想讲清楚安全运营。
我的逻辑是一个事物有什么用它就是什么,知道如何用才能产出价值,而知道定义有什么用?想做到物尽其用,需要掌握事物的原理,做到知其然知其所以然,才能做到不滞于物,草木竹石均可为剑。所以,要搞清楚安全运营的外在生态和内在逻辑。讲生态和逻辑的框架有很多,本次我们用IT人熟悉且非常经典的计算机IPO设计模型。
计算机的IPO设计模型(输入、处理、输出)可以用在任意事物上,它可以非常简洁的把前提条件、如何实现、目标说清楚。和我的思考框架相同,它可以向内推理结构,可以向外推理生态,且可无尽循环。所谓一花一世界,讲的就是向内推理结构,且可以无尽循环的向内推理,与西方无尽拆分物理最小单元的逻辑相同。
此逻辑架构图的设计,与我的工作环境有强关联,大的逻辑可以参考但细节最好不要。关键信息在图中已经展示,下面仅对运行逻辑图进行简单的介绍。
第一层逻辑,计算机输入、处理、输出(IPO)模型,其中输入(I)和输出(O)是安全运营的外部环境,输出是对資訊安全整体负责的部分,输入是需要驱动和资源,而处理(P)是安全运营的内部结构。
第二层逻辑,安全运营内部结构(P),核心还是对资产、漏洞、威胁的运营。威胁运营第一,主要是安全事件、安全告警。漏洞运营第二,此处说的漏洞与脆弱性同义,vulnerability的通俗翻译就是漏洞。资产运营第三,主要是服务器、终端、网络设备、IOT等。支撑运营第四,主要有系统存活、安全验证、自动化、攻防对抗、复盘等等,其中自动化、攻防对抗、复盘最为重要。
第三层逻辑,资产、漏洞、威胁的内部结构。资产管理方面的实践见文章《安全资产管理进阶实践》,漏洞管理、威胁管理的实践后面会陆续写文章详细分享。
二、安全运营技术架构设计与实践
安全运营技术架构图各家都有且差异较大,之前也画过多个版本,但都不满意。近期在许总的提示下请教了璐哥,前后花约一周时间,完成如下架构图,期间思路卡住时请教了荣姐,在此特别感谢许总、璐哥、荣姐的帮助。下面主要介绍设计思路和模块的重点。
第一层逻辑,安全业务逻辑,核心是工具层、能力层、场景层,外加门户和资产支撑。安全工具层,主要是原生的安全系统,虚线代表非实体系统,用于掌握安全工具的覆盖、运营状态。安全能力层,主要是从安全设备中抽象出安全能力,用于掌握安全能力覆盖、运营状态。安全场景层,主要是从安全能力中抽象出安全场景,用于观察安全场景的覆盖、运营情况。安全门户层,主要是将各个安全场景管理起来,汇报非常重要。
第二层逻辑,主要是分层之后的各层运行逻辑。安全工具层,采用的逻辑是非常经典的纵深防御(DiD),公认很有效的架构,认可度和通用度都很高,可基于需求覆盖IT服务的核心过程。安全能力层,采用的逻辑是NIST的網路安全框架IPDRR功能模块,和自适应安全架构(ASA)类似,在权威、通用、易懂方面有很大的优势。安全场景层,采用的逻辑是风险管理的三大模块(资产、漏洞、威胁)为基础,再加上运营模块。
第三层逻辑,主要介绍一下安全场景中的运营,事件、告警、漏洞、资产为核心运营对象,攻防对抗、需求管理为主要输入,策略优化、复盘、学习会持续提升。其它的第三层模块设计类似,不再一一介绍。
三、五年安全运营实践心得
以下内容会从时间线或一二三个阶段聊起,以方便安全运营在不同阶段的朋友参考。
1、原则进阶,从三同步,到三跟进原则。
我翻了一下笔记和文章记录,是在2018年7月之前在公司内首提三同步原则(圈里是不是首提不确定),在近5年工作实践中发现基本不可能,同步规划不可能,主要原因是安全是铠甲(属性),只有IT规划完才能基于IT规划做;同步建设不可能,主要原因是安全供应商滞后,根本没有好的方案和设备;同步运营也不可能,主要原因是安全人才滞后。作为理想还行,但不切实际。
2、工作进阶,从随机,到全面,到重点。
安全运营第一阶段,工作逻辑是来什么就做什么,虽无规划但这种自适应的工作方式效果还是比较好的,至少干的事之中大部分是重点工作。
安全运营第二阶段,工作逻辑是全面开攻,这种工作方式的效果是最差的,导致全员疲惫、工作进展慢,且无法保证做的是重点工作。
安全运营第三个阶段,工作中只处理重点工作,问题中只处理要命的问题,其它的后面排队,有时间就处理。个人认为安全运营工作中真正重要的事不多,最小的自恰循环,管好入侵响应、漏洞修复、攻防验证即可。有时间有资源再做情报收集、资产管理,其它的再向后排。
3、组织进阶,从专业,到成长,到梯队。
第一阶段,无团队管理经验,无团队人难招,对于人员的要求是专业即可,成长、表达、沟通、协作等均可让位。
第二阶段,有1-2年团队管理经验,团队3-7人规模,对于人员的要求是专业+成长意愿,无成长意愿的人不要招,用起来是非常痛苦的。
第三阶段,有3-5年团队管理经验,团队规模7人以上,对于人员的要求是专业+成长+梯队,人员分组形成梯队是第一要务,招一线成长为二三线,尽力不招二三线。
4、流程进阶,从无流程、到SOP,到SOAR。
第一阶段,无任何安全流程,工作质量依赖人员能力、责任心、抽查,一般情况下做好抽查工作即可。
第二阶段,编写标准作业流程(SOP),安全工作由于范围大(事多)且专业(精深),做SOP的难度和工作量都很大,导致收益很低;此外SOP从写到用之间经历转换层过多,且安全人员一般个性很强,看不看、遵从度、理解度、执行度都是大问题;结论是不建议。
第三阶段,上安全运营自动化系统(SOAR)之后,安全工作让安全人员直接写成剧本,只要控制好剧本质量,可以规避第二阶段大部分的问题,非常推荐;无法在SOAR上实现的安全流程,建议做到协作流程级别,不要搞操作流程。
5、工具进阶,从合规,到专业,到专长。
第一阶段,受限于监管要求、公司文化、采购合规、商业环境、领导风格、商务关系等等各种因素影响,最终使用实效最好的工具(安全产品或设备)的概率很低,只能说合规就好。
第二阶段,以安全运营目标倒推安全产品的要求,对于防御体系中对抗类的重要系统必须技术主导,否则安全运营工作根本无法保证效果;功能实现类可以其它因素主导。
第三阶段,攻防对抗类工具要求进阶,专业的同时还要考察供应商对工具的长久运营能力,工具背后如果没有一个攻防研究+攻防验证+产品研发的组合团队,那这个产品是没有未来的。
6、其它进阶,事件、告警、漏洞、资产、情报等等。
由于文章篇幅和时间精力问题,其它方面的进阶后期再单独文章分享,不在这里展开。《安全运营进阶实践》完整的PPT,在行业内已分享过多次,若有需要可加我微信找我要。
四、安全运营的现在与未来
1、SIEM已死,鲸落万物生。
我的实践环境和经验里,SIEM不适用于中小企业。SIEM约1995年出现,当时专业安全产品极少,只能通过收集各种系统日志写告警规则实现安全检测能力。它的短板非常明显,比如只能收信息不能控制安全设备,比如使用效果严重依赖写规则的能力。
安全行业经过几十年的发展,各安全领域大多有非常专业的安全产品,使用SOAR+安全设备的方式做安全运营,效果比SIEM好,投入比SIEM低,难度比SIEM低。
2、必经之路,运营自动化。
80%的安全运营工作自动化。自2020年到现在,我们已实践安全运营自动化三年,今年终计算出2023年新增的90+个自动化剧本,可节省22+人年;2022年的100+剧本未计算在内。自动化主要解决的是操作自动化的问题,无法解决决策自动化的问题,这是我们遇到的困难,也是未来要去的方向。
安全运营自动化的核心价值,不是自动化。相对于自动化节省的人力,让所有安全设备之间互联互通,让安全设备的能力一次接入处处可复用,让安全运营智能化成为可能,让安全运营从手工时代进入工业时代。
3、终极目标,运营智能化。
实现80%的事件和告警全秒级自适应处置,实现80%的漏洞自适应修复或预加固。同时这也是实现零改造零信任的甲方方案,可以说它是让零信任理念真正落地的唯一途径(至少目前是)。这是一个理想,不是梦想,因为实体画像的数据资产管理有了,安全设备的互联互通SOAR实现了,驱动决策的事件、告警、漏洞数据也有了,只差实体风险画像,策略计算输出,而执行SOAR的通道可以承载。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/practical-insights-and-reflections-on-security-operations-html