关键词：安全运营

@FreeBuf

企业要做好安全建设，自研或者采购一些安全产品，引入一些安全解决方案，是远远不够的。这些只是手段，真正的诉求应该是解决企业的安全风险。有些人认为“安全运营”是当前安全困境的破局之道。然而，在“安全运营”的时代风口，仍存在一些让人头疼的问题。本期话题围绕安全运营的实践之道，可参考但不限于三个维度展开讨论，欢迎大家积极分享自己的观点！

讨论1：从人员、产品、流程等维度来看，你认为当前的企业安全运营面临哪些问题？欢迎分享安全运营实战案例

1、从我们来说现在安全大部分精力都放在对威胁的处置上，因为威胁看起来是真实的，并有可能影响在线系统。而且安全处置的能力取决于安全人员的技术水平，没有形成知识库样的处置流程。

2、安全运营我觉得目前比较第一缺乏的是专业的安全人员，去分析设备发现的问题（是否是误报，是否真的会造成影响），第二是很多情况下的机制其实是不同的，经常发现问题后，不知道下一步应该怎么处理，通知谁、谁响应、谁整改。

3、我现在面临最大的问题是安全需求和业务需求之间的冲突，相关成本的考量。

4、资源投入问题，基础防护体系不牢固+人手不足，基础都没打好达不到能够运营优化的程度；

5、我看来，现在的安全运营，无论是资产管理、风险感知、事件处置、日志溯源，依赖人工的经验和洞察能力虽然软件无法比拟，但是海量数据、高速处理要求等等，都严重依赖软件和自动化，所以说到底最大的困境是成本投入，现阶段最大的矛盾是“懂安全的人无资源投入能力，有资源和权力的人不懂安全。

6、从人员、产品、流程三个维度分析的话，（1）人员维度：人员能力不足，同时具备安全设备运维、日志分析事件处置能力、渗透测试能力、编程语言能力、安全管理等能力等人员过少；（2）产品维度：跨厂家的产品集成能力几乎为零，设备或产品不稳定，安全设备自身漏洞频出等问题；（3）流程维度：自动化处理流程不足，流程繁琐等问题。

7、安全运营建立在有一定安全基础之上，但是搞好安全基础没有投入肯定不行，如何说服老板进行安全建设才是首要任务

延伸讨论：

@楼主：安全运营到底是什么

1、我感觉万物皆可运营，先给安全运营下个定义吧，大家都是凭感觉定义运营，安全运营应该是偏管理。

2、安全运营主要还是发现问题，处理问题，形成闭环吧。以解决公司安全问题为最终目标，统筹各个环节。

3、对于安全运营这个概念，我觉得应该是组织利用技术措施、管控流程和专业技术人员，来实现企业安全目标，持续维护安全状态的一个系统化工程，从企业战略目标中充分理解安全需求，合理利用成本投入，利用先进同时又符合自己实际情况的技术工具，由专业化团队人员，维护企业信息化安装稳定运行，形成成熟的体系流程，持续控制安全风险，输出安全价值，总而最终实现安全目标。

4、我认为对于企业安全运营来说，基于企业战略发展规划、监管机构要求、客户合同安全需求、公司风险评估结果等，制定信息安全目标及安全策略，通过PDCA的方式，逐渐将各类安全风险降到可接受的程度，实现安全目标的过程，这里面包括了管理流程的改进，人员安全意识的提升，IT信息技术栈的风险解决，事前加固／防护、事中检测、事后响应的能力建设。 重在不断循环整个过程，将公司安全风险、安全需求、安全目标、安全策略等，做到可量化、可执行、可管理。

5、我感觉安全要达到一种地步，就是企业安全就像内裤，不能说保命，但缺少了是不是确实会心慌

6、安全运营与运维的差异：运维：我只干好我的工作，公司是否挣钱跟我无关，拿多少钱干多少活！
运营：PDCA，我一个都不能错过，撸老板的战略，为企业省钱去投入，为企业运营去优化，为企业输出去挣钱。

7、安全运营工作的目的就是要通过一系列的工作，让企业信息系统持续地向更加良性的方向发展。其核心关注点是“一系列”和“持续”。
一系列：企业信息安全工作是涉及到大量不同领域的工作，所以安全运营并非一项工作。
持续：安全运营工作不能一蹴而就，是一个长期性的工作。

讨论2：安全运营是一个长期且繁琐的工作，在向上汇报安全运营工作时，如何量化工作指标？

1、量化指标：（1）当前资产监控覆盖率; （2）当前资产基线安全合格率; （3）当前系统安全已知风险漏洞解决率；（4）每周最多攻击事件/首次发现攻击分析，是否调整当前防御手段;（5）每周防火墙流量分析。

2、安全运营一步步做到自动化，落实到系统，后期就是增加准确率，减少出错率，解放人力。

3、安全运营看上去是打工人努力工作实现企业信息安全目标的体现，其实是出卖劳动力来反映对企业盈利的价值推动，所以一切安全运营工作目标的量化，尽可能的以货币体现，运营团队的价值输出要超出自身成本，这样就是为企业贡献了盈利，守住了安全基本目标。

4、难以度量指标，例如终端安全运营需要知道基础的终端数量信息等；

5、量化安全指标我觉得可以从这几个方面去考虑：（1）覆盖率：包括资产管理、流量管理、安全管理的覆盖情况，有没有未知资产或漏管资产；（2）准确率：主要是告警的准确率；（3）时效性：威胁处置启动的时间点等等

6、安全汇报都是防火墙防护了多少攻击，内网处理了多少威胁，加固了多少台服务器，安全设备测评结果是什么（安全性，易用性，功能性，对比自研和采购的优缺点等）。内网信息梳理等。

讨论3：安全运营的“器与术”中的“器”也十分重要，你推荐哪些好用的安全运营工具/设备？

1、安全运营，借助自动化和工具化，落实到系统，后期就是增加准确率，减少出错率，解放人力。

来实现运营的标准化，用数据和指标来衡量安全能力和风险。

2、首先，好工具/设备有很多，关键是使用的情况。再好的工具如果没有人使用，没有人维护也起不到多少作用。还需要根据企业自身的情况（人、财）来购买或者使用。其次，好工具/设备需要具备：全量的API能力、全面的日志能力、自定义规则能力、方便与其他系统对接等基本能力。最后，一些好用的设备或产品：SIEM-Splunk，渗透漏洞-Rapid，WAF-Imperva，SLB-F5，流量-某莱，主机/容器-某云等等，想省事就直接一套某恒，近两年某亭做的也不错；开源有很多，安全人员需要根据具体情况弥补不足之处。

3、EDR没识别中间件管理功能。至少我接触的没有。我们外包的系统很多。很多外包运维，他们安装的中间件版本都不更新也不升级，我需要监控他们这些行为。所以需要中间件管理。

4、EDR是对终端而已吧，HIDS一般是对服务器，感觉最大的区别就是自杀机制，服务器要求HIDS的利用率达到一定程度后必须自杀，不能影响服务器正常运行。

FreeBuf甲方交流分享群

纯甲方：囊括金融、政府、运营商、医疗、互联网企业等多行业甲方安全从业人员，具备严格的入群审核机制，非甲方安全从业人员拒绝进群

真实有料：从甲方企业CSO到安全工程师，从安全方案应用到产品技术应用，社群定期组织相关主题话题讨论，共同交流最真实有趣有料的甲方安全建设经验

专属权益：一旦认证成为FreeBuf甲方会员，即可享受FreeBuf报告在线免费阅读权益，同时参与社群话题讨论便有机会获得FVIP月卡奖励。更多权益，期待解锁ing~

FreeBuf甲方群进群方式

扫码填写申请表单，通过审核后即可入群：