官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
古圣先贤兵家孙子在《孙子兵法》中提出了“善战者,立于不败之地,而不失敌之败也”。告诉我们:善于打仗的人,不但使自己始终处于不被战胜的境地,也决不会放过任何可以击败敌人的机会。安全运营这些工作从攻守这个谓度来讲,也是如此,掌握我情敌情,同时能够对敌进行反制,是安全运营的本质与内核。
根据相关研究报告,多数企业组织已经部署了较为丰富的安全能力。参考行业内外对网络安全产品及方案能力的相关材料,笔者梳理了安全运营“十八般兵器”,共分为“我情篇”、“敌情篇”、“治军篇”、“克敌篇”。一家之言,抛转引玉,供各位参考!
- “我情篇”(7):掌握内部的安全现状,谓之:知已。
兵器 | 主要能力 | |
1 | 资产探测系统 | 能够对内部信息资产进行主被动方式的探测,识别硬件设备、云主机、Web应用、业务应用、中间件等数字资产 |
2 | 漏洞扫描系统 | 能够对数据资产中的各类漏洞进行扫描探测 |
3 | 渗透测试系统 | 模拟真实黑客攻击的方式,通过尝试不同的攻击方法和技术,检测系统的安全性,找出系统中的漏洞和弱点,并评估潜在的风险。 |
4 | 安全事件与信息 关联分析能力 | 基于关联分析规则,发现和识别已知安全事件与违规异常。 |
5 | 用户与实体分析能力 | 基于用户与终端等类实体的日志,发现和识别内部的异常和违规和潜在风险源。 |
6 | 高级持续性威胁分析能力 | 针对高级持续性威胁(APT)的检测和防御,帮助企业和组织有效地应对APT攻击,提供威胁情报收集和分析、网络攻击行为分析与监测、威胁情报共享、响应和修复等能力。 |
7 | AI智能威胁检测与分析能力 | 基于模型工程,分析和识别新型威胁和未知安全事件。 |
- “治军篇”(5):结合内部的安全现状,进行内部安全合规治理,谓之:治军。
兵器 | 主要能力 | |
1 | 漏洞管理平台 | 对内部各类信息资产漏洞的发现、识别、验证、修复、确认等全流程管理。 |
2 | 攻击面管理平台 | 持续识别、监控和管理组织中面临潜在威胁的数字资产。其主要目的是提供对组织攻击面的可见性,包括未经授权的用户可以尝试输入或提取数据的所有点(或“表面”)。 |
3 | 安全合规管理平台 | 对资产、漏洞、基线配置等多个层面进行综合管理。 |
4 | 攻击溯源管理平台 | 实现攻击事件的溯源分析与持续跟踪和分析能力。提供攻击事前预警,事中分析,事件追踪等能力。 |
5 | 安全运营管理平台 | 实现对网络安全运营的全方位管理与支撑,包括流程、人员、技术、数据等方面的联动,以及对运营的关键绩效指标进行评估与度量。 |
- “敌情篇”(3):掌握外部攻击者的攻击态势以及线索情况,谓之:知彼。
兵器 | 主要能力 | |
1 | 外部威胁情报 | 为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。 |
2 | 内部威胁攻击源 | 通过关联分析、UEBA分析、AI模型分析等手段发现,并经内部标记为具有威胁的内部攻击源IP和对外部威胁情报的补齐的信息。 |
3 | 漏洞情报 | 提供关于软硬件中已知或未知漏洞的信息。 能够帮助组织及时发现、评估和应对系统中存在的安全漏洞,从而采取相应的防护措施,降低系统遭受攻击的风险。 |
- “克敌篇”(3):通过多种技术手段,能够阻击敌方的进攻或御敌于千里之外,谓之:
兵器 | 主要能力 | |
1 | 端点检测与响应处置系统 (EDR等) | 对终端侧遭受的攻击,根据剧本或策略等能力,进行进程及文件级别的隔离、停止等操作 |
2 | 网络威胁检测与响应处置能力 (FW、IPS、WAF、NDR等) | 对网络侧遭受的攻击,根据剧本或策略等能力,进行网络隔离等操作 |
3 | 联动响应管理能力 (SOAR等) | 与多类安全能力进行联动,根据剧本进行响应联动,下发封堵封禁等类指令 |
诚然,安全运营工作的复杂度和所需要能力远不止文中所提的十八般这么简单,同时安全运营工作并不是各类“兵器”工具的简单堆砌,而是一个指标化、体系化、流程化的工作,立足合规与实战是当下安全运营工作开展的经典思路。
#下回咱们聊一下安全运营的一些典型战术。
- 0 文章数
- 0 关注者