PCSA安(ān)全研究院‖安(ān)全運營的定義、目标與核心能(néng)力
- 來源:www.zhiancloud.com
- 發布日期: 2024-07-04
- 浏覽量: ..
一、什麽是安(ān)全運營?
狹義安(ān)全運營是為(wèi)以資産(chǎn)為(wèi)核心,以安(ān)全事件管理(lǐ)為(wèi)關鍵流程,依托于安(ān)全運營平台,建立一套實時的資産(chǎn)風險模型,進行事件分(fēn)析、風險分(fēn)析、預警管理(lǐ)和應急響應處理(lǐ)的集中(zhōng)安(ān)全管理(lǐ)體(tǐ)系。廣義安(ān)全運營是一個技(jì )術、流程和人有(yǒu)機結合的複雜的系統工(gōng)程,通過對已有(yǒu)的安(ān)全産(chǎn)品、工(gōng)具(jù)、服務(wù)産(chǎn)出的數據進行有(yǒu)效的分(fēn)析,持續輸出價值,解決安(ān)全風險,從而實現安(ān)全的最終目标。
二、安(ān)全運營的核心目标是什麽?
安(ān)全運營構建安(ān)全運營體(tǐ)系、安(ān)全知識體(tǐ)系,融合、增強安(ān)全能(néng)力,以“安(ān)全能(néng)力”進行賦能(néng),以“安(ān)全數據”提供決策,以“運營能(néng)力”作(zuò)為(wèi)交付,通過該運營模式來發現問題、驗證問題、分(fēn)析問題、響應處置、解決問題并持續叠代優化,實現安(ān)全的共同目标。三、安(ān)全運營包括哪些方面的内容?
安(ān)全運營包括安(ān)全運營管理(lǐ)體(tǐ)系、安(ān)全運營支撐體(tǐ)系、安(ān)全運營服務(wù)體(tǐ)系、安(ān)全合規與檢查體(tǐ)系四大部分(fēn)。安(ān)全運營管理(lǐ)體(tǐ)系解決安(ān)全組織、制度、流程的問題;安(ān)全運營支撐體(tǐ)系解決安(ān)全運營的平台與支撐工(gōng)具(jù)的問題;安(ān)全運營服務(wù)體(tǐ)系解決安(ān)全運營周期性、日常性工(gōng)作(zuò)的落地的問題;安(ān)全合規與檢查體(tǐ)系解決合規測評、風險整改的問題。四、安(ān)全運營中(zhōng)心需要哪些核心能(néng)力?
安(ān)全運營中(zhōng)心需要提升的核心能(néng)力主要有(yǒu)四個,包括1)精(jīng)準定位已知威脅;2)深度檢測未知威脅;3)豐富安(ān)全事件場景;4)輔助安(ān)全運營決策。1)精(jīng)準定位已知威脅:單點安(ān)全檢測設備能(néng)夠産(chǎn)生有(yǒu)價值的告警,但往往被低質(zhì)量的告警所淹沒了,所以需要從海量數據中(zhōng)進行精(jīng)準定位。
2)深度檢測未知威脅:單點安(ān)全設備檢測高級威脅、未知威脅能(néng)力有(yǒu)限,同時安(ān)全威脅已經擴展到用(yòng)戶行為(wèi)、業務(wù)異常等領域,所以要彌補單點安(ān)全設備檢測能(néng)力短闆。
3)豐富安(ān)全事件場景:利用(yòng)事件(Event)、日志(zhì)(Log)産(chǎn)生告警(Alert),再進一步聚合成安(ān)全事件(Incident),以及整合資産(chǎn)、漏洞、威脅等上下文(wén)數據,明确攻擊鏈條、事件時間線(xiàn)以及風險等級。
4)輔助安(ān)全運營決策:針對安(ān)全事件能(néng)夠清晰的描述發生了什麽?為(wèi)什麽發生?未來會不會發生?該如何應對?為(wèi)進一步安(ān)全響應,以及安(ān)全防禦措施完善,提供決策指導。
五、如何抓住并實現安(ān)全運營的重點?
随着信息化與安(ān)全成熟度的提高,通過實時大數據安(ān)全分(fēn)析技(jì )術,從海量數據中(zhōng)判定攻擊失陷,已經是安(ān)全運營的核心關注點與必然趨勢。簡單來說,安(ān)全運營本質(zhì)就是從Event到Accident的過程。安(ān)全運營涉及到“事件”的包括Event、Incident、Accident三個詞,雖然三個詞直譯都以稱為(wèi)“事件”,但在安(ān)全管理(lǐ)标準、安(ān)全管理(lǐ)平台定義中(zhōng)卻出現不同的詞,可(kě)見它們之間是存在着細微差别的。
1)對Event的理(lǐ)解
Event在有(yǒu)些安(ān)全标準裏會被翻譯成“事态”,直白理(lǐ)解就是事情的狀态,從風險管理(lǐ)角度看,它隻是一種狀态而已,還不涉及到潛在的損失,可(kě)能(néng)是一種風險的潛在因素,也可(kě)能(néng)不是。
舉個例子來講,一個辦(bàn)公(gōng)室的門沒有(yǒu)關,這個“門沒關”就屬于Event,隻是一種狀态,不去考慮為(wèi)什麽沒關,或者應不應該關,沒有(yǒu)産(chǎn)生風險,也沒有(yǒu)帶來損失。
在安(ān)全管理(lǐ)平台中(zhōng),SIEM中(zhōng)的E就是這個Event了,采集上來的告警也好,日志(zhì)也好,其實都是一種客觀的狀态記錄,這些都是進行安(ān)全分(fēn)析所需要的原料,通過分(fēn)析引擎進行分(fēn)析後産(chǎn)生全新(xīn)的告警。
2)對Incident的理(lǐ)解
Incident在安(ān)全标準裏通常被翻譯成“事件”,也就是事件與應急管理(lǐ)中(zhōng)的“事件”。從風險管理(lǐ)角度看,它不再隻是一種狀态,而是變成了一種風險,可(kě)能(néng)會帶來或者已經帶來了損失。
還是上面的例子,如果這個辦(bàn)公(gōng)室是存放着敏感資料的話,這個門按規定是需要默認關閉的,這個門沒有(yǒu)關就不再隻是一種狀态,而是一種風險事件了,由于可(kě)能(néng)帶來損失,所以是需要處置的。
在安(ān)全管理(lǐ)平台中(zhōng),将多(duō)個安(ān)全告警進行聚合,按時間順序或攻擊路徑排列,這個就是Security Incident,有(yǒu)些産(chǎn)品将其命名(míng)為(wèi)“安(ān)全事件”。比如一次病毒的傳播,可(kě)能(néng)影響了多(duō)台終端,由于攻擊目的地址不同,告警是無法合并的,但可(kě)以聚合成一個Security Incident。
3)對Accident的理(lǐ)解
Accident在安(ān)全标準裏通常被翻譯成“事故”,它不再是一種潛在風險,而是确定已經産(chǎn)生了損失。從風險管理(lǐ)角度看,Incident與Accident是包含與被包含關系,Accident是程度更加嚴重的Incident。
還是上面的例子,如果這個辦(bàn)公(gōng)室是存放着敏感資料的話,有(yǒu)一個小(xiǎo)偷趁着門沒有(yǒu)關把資料偷走了,由于确實造成了損失的既成事實,所以這個就屬于Accident,是一次安(ān)全事故了。
在安(ān)全管理(lǐ)平台中(zhōng),目前并沒有(yǒu)看到單獨的Accident概念,它被包含在Security Incident裏面了,但在作(zuò)為(wèi)一個好的安(ān)全管理(lǐ)平台,是需要通過豐富的上下文(wén)信息來幫助分(fēn)析人員,能(néng)夠快速判斷是否造成了Accident。
另外,如果确定已經發生Accident的話,是需要編制針對性的專題報告的,那麽安(ān)全管理(lǐ)平台是否可(kě)以提供足夠的信息,方便安(ān)全分(fēn)析人員完成報告編制,甚至是能(néng)夠自動化導出事故報告,這也是安(ān)管平台的一個挑戰。
六、關于安(ān)全運營的一些總結
當前安(ān)全管理(lǐ)的理(lǐ)念與方法正在通過管理(lǐ)平台與技(jì )術手段逐步得到了落地,從而使安(ān)全管理(lǐ)與技(jì )術的融合度越來越高。比如态勢感知中(zhōng)的指标、大數據分(fēn)析中(zhōng)的場景,都可(kě)以與信息科(kē)技(jì )風險管理(lǐ)的關鍵風險指标KRI,以及信息安(ān)全管理(lǐ)中(zhōng)的有(yǒu)效性度量很(hěn)好地結合起來。安(ān)全管理(lǐ)平台、自動化編排與響應也同樣需要與事件管理(lǐ)、應急響應融合貫通。
本文(wén)鏈接:
/news/trends/124.html
熱門資訊
- 1喜訊| 智安(ān)網絡多(duō)領域入選信通院《數字安(ān)全護航技(jì )術能(néng)力全景圖》
- 2新(xīn)品發布|智安(ān)一體(tǐ)化安(ān)全托管服務(wù)正式發布
- 3加快IPv6規模部署 智安(ān)網絡方案實現快速IPv6合規改造
- 4實力認證 | 智安(ān)網絡喜獲多(duō)項技(jì )術認證,技(jì )術研發投入成果顯著
- 5PCSA安(ān)全研究院‖安(ān)全運營的定義、目标與核心能(néng)力
- 6喜訊|智安(ān)網絡與OceanBase完成産(chǎn)品兼容性互認證
- 7智安(ān)網絡多(duō)領域入選安(ān)全牛《中(zhōng)國(guó)網絡安(ān)全行業全景圖》