关键词:安全运营
@FreeBuf
企业要做好安全建设,自研或者采购一些安全产品,引入一些安全解决方案,是远远不够的。这些只是手段,真正的诉求应该是解决企业的安全风险。有些人认为“安全运营”是当前安全困境的破局之道。然而,在“安全运营”的时代风口,仍存在一些让人头疼的问题。本期话题围绕安全运营的实践之道,可参考但不限于三个维度展开讨论,欢迎大家积极分享自己的观点!
讨论1:从人员、产品、流程等维度来看,你认为当前的企业安全运营面临哪些问题?欢迎分享安全运营实战案例
1、从我们来说现在安全大部分精力都放在对威胁的处置上,因为威胁看起来是真实的,并有可能影响在线系统。而且安全处置的能力取决于安全人员的技术水平,没有形成知识库样的处置流程。
2、安全运营我觉得目前比较第一缺乏的是专业的安全人员,去分析设备发现的问题(是否是误报,是否真的会造成影响),第二是很多情况下的机制其实是不同的,经常发现问题后,不知道下一步应该怎么处理,通知谁、谁响应、谁整改。
3、我现在面临最大的问题是安全需求和业务需求之间的冲突,相关成本的考量。
4、资源投入问题,基础防护体系不牢固+人手不足,基础都没打好达不到能够运营优化的程度;
5、我看来,现在的安全运营,无论是资产管理、风险感知、事件处置、日志溯源,依赖人工的经验和洞察能力虽然软件无法比拟,但是海量数据、高速处理要求等等,都严重依赖软件和自动化,所以说到底最大的困境是成本投入,现阶段最大的矛盾是“懂安全的人无资源投入能力,有资源和权力的人不懂安全。
6、从人员、产品、流程三个维度分析的话,(1)人员维度:人员能力不足,同时具备安全设备运维、日志分析事件处置能力、渗透测试能力、编程语言能力、安全管理等能力等人员过少;(2)产品维度:跨厂家的产品集成能力几乎为零,设备或产品不稳定,安全设备自身漏洞频出等问题;(3)流程维度:自动化处理流程不足,流程繁琐等问题。
7、安全运营建立在有一定安全基础之上,但是搞好安全基础没有投入肯定不行,如何说服老板进行安全建设才是首要任务
延伸讨论:
@楼主:安全运营到底是什么
1、我感觉万物皆可运营,先给安全运营下个定义吧,大家都是凭感觉定义运营,安全运营应该是偏管理。
2、安全运营主要还是发现问题,处理问题,形成闭环吧。以解决公司安全问题为最终目标,统筹各个环节。
3、对于安全运营这个概念,我觉得应该是组织利用技术措施、管控流程和专业技术人员,来实现企业安全目标,持续维护安全状态的一个系统化工程,从企业战略目标中充分理解安全需求,合理利用成本投入,利用先进同时又符合自己实际情况的技术工具,由专业化团队人员,维护企业信息化安装稳定运行,形成成熟的体系流程,持续控制安全风险,输出安全价值,总而最终实现安全目标。
4、我认为对于企业安全运营来说,基于企业战略发展规划、监管机构要求、客户合同安全需求、公司风险评估结果等,制定信息安全目标及安全策略,通过PDCA的方式,逐渐将各类安全风险降到可接受的程度,实现安全目标的过程,这里面包括了管理流程的改进,人员安全意识的提升,IT信息技术栈的风险解决,事前加固/防护、事中检测、事后响应的能力建设。 重在不断循环整个过程,将公司安全风险、安全需求、安全目标、安全策略等,做到可量化、可执行、可管理。
5、我感觉安全要达到一种地步,就是企业安全就像内裤,不能说保命,但缺少了是不是确实会心慌
6、安全运营与运维的差异:运维:我只干好我的工作,公司是否挣钱跟我无关,拿多少钱干多少活!
运营:PDCA,我一个都不能错过,撸老板的战略,为企业省钱去投入,为企业运营去优化,为企业输出去挣钱。7、安全运营工作的目的就是要通过一系列的工作,让企业信息系统持续地向更加良性的方向发展。其核心关注点是“一系列”和“持续”。
一系列:企业信息安全工作是涉及到大量不同领域的工作,所以安全运营并非一项工作。
持续:安全运营工作不能一蹴而就,是一个长期性的工作。
讨论2:安全运营是一个长期且繁琐的工作,在向上汇报安全运营工作时,如何量化工作指标?
1、量化指标:(1)当前资产监控覆盖率; (2)当前资产基线安全合格率; (3)当前系统安全已知风险漏洞解决率;(4)每周最多攻击事件/首次发现攻击分析,是否调整当前防御手段;(5)每周防火墙流量分析。
2、安全运营一步步做到自动化,落实到系统,后期就是增加准确率,减少出错率,解放人力。
3、安全运营看上去是打工人努力工作实现企业信息安全目标的体现,其实是出卖劳动力来反映对企业盈利的价值推动,所以一切安全运营工作目标的量化,尽可能的以货币体现,运营团队的价值输出要超出自身成本,这样就是为企业贡献了盈利,守住了安全基本目标。
4、难以度量指标,例如终端安全运营需要知道基础的终端数量信息等;
5、量化安全指标我觉得可以从这几个方面去考虑:(1)覆盖率:包括资产管理、流量管理、安全管理的覆盖情况,有没有未知资产或漏管资产;(2)准确率:主要是告警的准确率;(3)时效性:威胁处置启动的时间点等等
6、安全汇报都是防火墙防护了多少攻击,内网处理了多少威胁,加固了多少台服务器,安全设备测评结果是什么(安全性,易用性,功能性,对比自研和采购的优缺点等)。内网信息梳理等。
讨论3:安全运营的“器与术”中的“器”也十分重要,你推荐哪些好用的安全运营工具/设备?
1、安全运营,借助自动化和工具化,落实到系统,后期就是增加准确率,减少出错率,解放人力。
来实现运营的标准化,用数据和指标来衡量安全能力和风险。
2、首先,好工具/设备有很多,关键是使用的情况。再好的工具如果没有人使用,没有人维护也起不到多少作用。还需要根据企业自身的情况(人、财)来购买或者使用。其次,好工具/设备需要具备:全量的API能力、全面的日志能力、自定义规则能力、方便与其他系统对接等基本能力。最后,一些好用的设备或产品:SIEM-Splunk,渗透漏洞-Rapid,WAF-Imperva,SLB-F5,流量-某莱,主机/容器-某云等等,想省事就直接一套某恒,近两年某亭做的也不错;开源有很多,安全人员需要根据具体情况弥补不足之处。
3、EDR没识别中间件管理功能。至少我接触的没有。我们外包的系统很多。很多外包运维,他们安装的中间件版本都不更新也不升级,我需要监控他们这些行为。所以需要中间件管理。
4、EDR是对终端而已吧,HIDS一般是对服务器,感觉最大的区别就是自杀机制,服务器要求HIDS的利用率达到一定程度后必须自杀,不能影响服务器正常运行。
FreeBuf甲方交流分享群
纯甲方:囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员,具备严格的入群审核机制,非甲方安全从业人员拒绝进群
真实有料:从甲方企业CSO到安全工程师,从安全方案应用到产品技术应用,社群定期组织相关主题话题讨论,共同交流最真实有趣有料的甲方安全建设经验
专属权益:一旦认证成为FreeBuf甲方会员,即可享受FreeBuf报告在线免费阅读权益,同时参与社群话题讨论便有机会获得FVIP月卡奖励。更多权益,期待解锁ing~
FreeBuf甲方群进群方式
扫码填写申请表单,通过审核后即可入群: