PCSA安(ān)全研究院‖安(ān)全運營的定義、目标與核心能(néng)力

一、什麽是安(ān)全運營？

狹義安(ān)全運營是為(wèi)以資産(chǎn)為(wèi)核心，以安(ān)全事件管理(lǐ)為(wèi)關鍵流程，依托于安(ān)全運營平台，建立一套實時的資産(chǎn)風險模型，進行事件分(fēn)析、風險分(fēn)析、預警管理(lǐ)和應急響應處理(lǐ)的集中(zhōng)安(ān)全管理(lǐ)體(tǐ)系。
廣義安(ān)全運營是一個技(jì )術、流程和人有(yǒu)機結合的複雜的系統工(gōng)程，通過對已有(yǒu)的安(ān)全産(chǎn)品、工(gōng)具(jù)、服務(wù)産(chǎn)出的數據進行有(yǒu)效的分(fēn)析，持續輸出價值，解決安(ān)全風險，從而實現安(ān)全的最終目标。

二、安(ān)全運營的核心目标是什麽？

安(ān)全運營構建安(ān)全運營體(tǐ)系、安(ān)全知識體(tǐ)系，融合、增強安(ān)全能(néng)力，以“安(ān)全能(néng)力”進行賦能(néng)，以“安(ān)全數據”提供決策，以“運營能(néng)力”作(zuò)為(wèi)交付，通過該運營模式來發現問題、驗證問題、分(fēn)析問題、響應處置、解決問題并持續叠代優化，實現安(ān)全的共同目标。

三、安(ān)全運營包括哪些方面的内容？

安(ān)全運營包括安(ān)全運營管理(lǐ)體(tǐ)系、安(ān)全運營支撐體(tǐ)系、安(ān)全運營服務(wù)體(tǐ)系、安(ān)全合規與檢查體(tǐ)系四大部分(fēn)。安(ān)全運營管理(lǐ)體(tǐ)系解決安(ān)全組織、制度、流程的問題；安(ān)全運營支撐體(tǐ)系解決安(ān)全運營的平台與支撐工(gōng)具(jù)的問題；安(ān)全運營服務(wù)體(tǐ)系解決安(ān)全運營周期性、日常性工(gōng)作(zuò)的落地的問題；安(ān)全合規與檢查體(tǐ)系解決合規測評、風險整改的問題。

四、安(ān)全運營中(zhōng)心需要哪些核心能(néng)力？

安(ān)全運營中(zhōng)心需要提升的核心能(néng)力主要有(yǒu)四個，包括1）精(jīng)準定位已知威脅；2）深度檢測未知威脅；3）豐富安(ān)全事件場景；4）輔助安(ān)全運營決策。
1）精(jīng)準定位已知威脅：單點安(ān)全檢測設備能(néng)夠産(chǎn)生有(yǒu)價值的告警，但往往被低質(zhì)量的告警所淹沒了，所以需要從海量數據中(zhōng)進行精(jīng)準定位。
2）深度檢測未知威脅：單點安(ān)全設備檢測高級威脅、未知威脅能(néng)力有(yǒu)限，同時安(ān)全威脅已經擴展到用(yòng)戶行為(wèi)、業務(wù)異常等領域，所以要彌補單點安(ān)全設備檢測能(néng)力短闆。
3）豐富安(ān)全事件場景：利用(yòng)事件（Event）、日志(zhì)（Log）産(chǎn)生告警（Alert），再進一步聚合成安(ān)全事件（Incident），以及整合資産(chǎn)、漏洞、威脅等上下文(wén)數據，明确攻擊鏈條、事件時間線(xiàn)以及風險等級。
4）輔助安(ān)全運營決策：針對安(ān)全事件能(néng)夠清晰的描述發生了什麽？為(wèi)什麽發生？未來會不會發生？該如何應對？為(wèi)進一步安(ān)全響應，以及安(ān)全防禦措施完善，提供決策指導。

五、如何抓住并實現安(ān)全運營的重點？

随着信息化與安(ān)全成熟度的提高，通過實時大數據安(ān)全分(fēn)析技(jì )術，從海量數據中(zhōng)判定攻擊失陷，已經是安(ān)全運營的核心關注點與必然趨勢。簡單來說，安(ān)全運營本質(zhì)就是從Event到Accident的過程。
安(ān)全運營涉及到“事件”的包括Event、Incident、Accident三個詞，雖然三個詞直譯都以稱為(wèi)“事件”，但在安(ān)全管理(lǐ)标準、安(ān)全管理(lǐ)平台定義中(zhōng)卻出現不同的詞，可(kě)見它們之間是存在着細微差别的。
1）對Event的理(lǐ)解
Event在有(yǒu)些安(ān)全标準裏會被翻譯成“事态”，直白理(lǐ)解就是事情的狀态，從風險管理(lǐ)角度看，它隻是一種狀态而已，還不涉及到潛在的損失，可(kě)能(néng)是一種風險的潛在因素，也可(kě)能(néng)不是。
舉個例子來講，一個辦(bàn)公(gōng)室的門沒有(yǒu)關，這個“門沒關”就屬于Event，隻是一種狀态，不去考慮為(wèi)什麽沒關，或者應不應該關，沒有(yǒu)産(chǎn)生風險，也沒有(yǒu)帶來損失。
在安(ān)全管理(lǐ)平台中(zhōng)，SIEM中(zhōng)的E就是這個Event了，采集上來的告警也好，日志(zhì)也好，其實都是一種客觀的狀态記錄，這些都是進行安(ān)全分(fēn)析所需要的原料，通過分(fēn)析引擎進行分(fēn)析後産(chǎn)生全新(xīn)的告警。
2）對Incident的理(lǐ)解
Incident在安(ān)全标準裏通常被翻譯成“事件”，也就是事件與應急管理(lǐ)中(zhōng)的“事件”。從風險管理(lǐ)角度看，它不再隻是一種狀态，而是變成了一種風險，可(kě)能(néng)會帶來或者已經帶來了損失。
還是上面的例子，如果這個辦(bàn)公(gōng)室是存放着敏感資料的話，這個門按規定是需要默認關閉的，這個門沒有(yǒu)關就不再隻是一種狀态，而是一種風險事件了，由于可(kě)能(néng)帶來損失，所以是需要處置的。
在安(ān)全管理(lǐ)平台中(zhōng)，将多(duō)個安(ān)全告警進行聚合，按時間順序或攻擊路徑排列，這個就是Security Incident，有(yǒu)些産(chǎn)品将其命名(míng)為(wèi)“安(ān)全事件”。比如一次病毒的傳播，可(kě)能(néng)影響了多(duō)台終端，由于攻擊目的地址不同，告警是無法合并的，但可(kě)以聚合成一個Security Incident。
3）對Accident的理(lǐ)解
Accident在安(ān)全标準裏通常被翻譯成“事故”，它不再是一種潛在風險，而是确定已經産(chǎn)生了損失。從風險管理(lǐ)角度看，Incident與Accident是包含與被包含關系，Accident是程度更加嚴重的Incident。
還是上面的例子，如果這個辦(bàn)公(gōng)室是存放着敏感資料的話，有(yǒu)一個小(xiǎo)偷趁着門沒有(yǒu)關把資料偷走了，由于确實造成了損失的既成事實，所以這個就屬于Accident，是一次安(ān)全事故了。
在安(ān)全管理(lǐ)平台中(zhōng)，目前并沒有(yǒu)看到單獨的Accident概念，它被包含在Security Incident裏面了，但在作(zuò)為(wèi)一個好的安(ān)全管理(lǐ)平台，是需要通過豐富的上下文(wén)信息來幫助分(fēn)析人員，能(néng)夠快速判斷是否造成了Accident。
另外，如果确定已經發生Accident的話，是需要編制針對性的專題報告的，那麽安(ān)全管理(lǐ)平台是否可(kě)以提供足夠的信息，方便安(ān)全分(fēn)析人員完成報告編制，甚至是能(néng)夠自動化導出事故報告，這也是安(ān)管平台的一個挑戰。

六、關于安(ān)全運營的一些總結

當前安(ān)全管理(lǐ)的理(lǐ)念與方法正在通過管理(lǐ)平台與技(jì )術手段逐步得到了落地，從而使安(ān)全管理(lǐ)與技(jì )術的融合度越來越高。比如态勢感知中(zhōng)的指标、大數據分(fēn)析中(zhōng)的場景，都可(kě)以與信息科(kē)技(jì )風險管理(lǐ)的關鍵風險指标KRI，以及信息安(ān)全管理(lǐ)中(zhōng)的有(yǒu)效性度量很(hěn)好地結合起來。安(ān)全管理(lǐ)平台、自動化編排與響應也同樣需要與事件管理(lǐ)、應急響應融合貫通。