智能安全運(yùn)營(yíng)，不得不說(shuō)的秘密

一、安全現(xiàn)狀和挑戰(zhàn)

很多企業(yè)購(gòu)買(mǎi)了安全產(chǎn)品和安全服務(wù)，建立團(tuán)隊(duì)來(lái)建設(shè)和運(yùn)營(yíng)安全體系，但是還是遇到下述問(wèn)題：

1、企業(yè)采購(gòu)大量異構(gòu)的安全設(shè)備，分散各處，產(chǎn)生海量日志，給日志分析、事件處置帶來(lái)了困難。

2、IT領(lǐng)導(dǎo)者被大量碎片化信息所淹沒(méi)，無(wú)法宏觀判斷，有效決策。

3、IT運(yùn)維人員到處救火，每次重大安全事件保障都會(huì)手忙腳亂的應(yīng)對(duì)，效率低下，無(wú)法真正發(fā)揮出設(shè)備和平臺(tái)的能力。

在復(fù)雜且快速變化的大環(huán)境中，如何有效地保障企業(yè)安全，是擺在每個(gè)企業(yè)面前的關(guān)鍵問(wèn)題。

二、安全運(yùn)營(yíng)新趨勢(shì)

企業(yè)購(gòu)買(mǎi)安全產(chǎn)品和安全服務(wù)，花錢(qián)雇傭安全工程師，目標(biāo)是要解決問(wèn)題，而解決問(wèn)題不僅僅是把一個(gè)安全產(chǎn)品買(mǎi)回來(lái)、拿到一份安全報(bào)告就結(jié)束的事情。隨著安全管理和技術(shù)的發(fā)展，安全運(yùn)營(yíng)被提到越來(lái)越重要的地位。

在管理學(xué)中，對(duì)運(yùn)營(yíng)有個(gè)定義“運(yùn)營(yíng)就是對(duì)運(yùn)營(yíng)過(guò)程的計(jì)劃、組織、實(shí)施和控制，是與產(chǎn)品生產(chǎn)和服務(wù)創(chuàng)造密切相關(guān)的各項(xiàng)管理工作的總稱(chēng)”。而安全運(yùn)營(yíng)，就是為了實(shí)現(xiàn)安全目標(biāo)，提出安全解決構(gòu)想、驗(yàn)證效果、分析問(wèn)題、診斷問(wèn)題、協(xié)調(diào)資源解決問(wèn)題并持續(xù)迭代優(yōu)化的過(guò)程。通過(guò)安全運(yùn)營(yíng)過(guò)程的統(tǒng)籌管理，滿(mǎn)足企業(yè)安全的動(dòng)態(tài)性、持續(xù)性和整體性需求。

近幾年來(lái)，安全運(yùn)營(yíng)發(fā)生很多變化，我們看到有一些趨勢(shì)：

1、從“被動(dòng)防御”到“主動(dòng)響應(yīng)”

傳統(tǒng)安全體系關(guān)注邊界防御，把企業(yè)網(wǎng)絡(luò)部署成銅墻鐵壁，但是企業(yè)IT系統(tǒng)上云，移動(dòng)互聯(lián)網(wǎng)成為業(yè)務(wù)標(biāo)配，網(wǎng)絡(luò)邊界越來(lái)越模糊，帶來(lái)新的安全挑戰(zhàn)。安全體系開(kāi)始從“被動(dòng)防御”，向“主動(dòng)響應(yīng)”轉(zhuǎn)變，與其被動(dòng)挨打，不如快速發(fā)現(xiàn)，及時(shí)響應(yīng)，減少風(fēng)險(xiǎn)，降低損失。

2、從“碎片化”到“可視化”

很多企業(yè)在網(wǎng)絡(luò)中部署不同的安全設(shè)備，大量多樣性設(shè)備產(chǎn)生海量日志，信息分散，分析手段匱乏，難以看清全局安全狀態(tài)，極大影響安全運(yùn)營(yíng)的效率和效果。隨著平臺(tái)技術(shù)的發(fā)展，安全體系開(kāi)始從“碎片化”向“可視化”轉(zhuǎn)變，通過(guò)平臺(tái)可視化和大數(shù)據(jù)分析技術(shù)，提高運(yùn)營(yíng)效率，感知全局安全態(tài)勢(shì)。

3、從“操作規(guī)范”到“效率優(yōu)先”

對(duì)大部分企業(yè)來(lái)說(shuō)，安全運(yùn)維就是定期發(fā)現(xiàn)漏洞，修補(bǔ)漏洞;配置安全設(shè)備策略，基于業(yè)務(wù)變化調(diào)整策略;針對(duì)攻擊或事故，應(yīng)急響應(yīng)，等等，運(yùn)維人員在繁雜的安全操作中，努力尋求“操作規(guī)范”。但是隨著企業(yè)IT環(huán)境越來(lái)越復(fù)雜，越來(lái)越多的以經(jīng)濟(jì)利益為目的的黑客入侵、高級(jí)APT攻擊事件的出現(xiàn)，企業(yè)安全運(yùn)營(yíng)已關(guān)系到企業(yè)的業(yè)務(wù)發(fā)展甚至存亡。企業(yè)不再滿(mǎn)足于“操作規(guī)范”，而是要“效率優(yōu)先”，用更好的安全技術(shù)和產(chǎn)品，來(lái)提升安全運(yùn)營(yíng)效率，實(shí)現(xiàn)企業(yè)安全目標(biāo)。

總的來(lái)說(shuō)，一方面安全運(yùn)營(yíng)向“主動(dòng)響應(yīng)、可視化、效率優(yōu)先”演變，另一方面合規(guī)驅(qū)動(dòng)了安全運(yùn)營(yíng)的發(fā)展。隨著等保2.0國(guó)家標(biāo)準(zhǔn)的正式發(fā)布，安全管理平臺(tái)、安全運(yùn)營(yíng)服務(wù)成為安全體系的“標(biāo)配”。今天的安全運(yùn)營(yíng)，數(shù)據(jù)是核心，分析是靈魂，人員是紐帶，企業(yè)從資產(chǎn)發(fā)現(xiàn)、安全監(jiān)控、數(shù)據(jù)分析、情報(bào)預(yù)警、協(xié)同處置等方面，構(gòu)建“預(yù)測(cè)、保護(hù)、檢測(cè)、響應(yīng)”的自適應(yīng)安全能力。

三、智能安全運(yùn)營(yíng)之道

1、安全運(yùn)營(yíng)體系

新型的網(wǎng)絡(luò)安全威脅層出不窮，高風(fēng)險(xiǎn)等級(jí)的安全事件不斷出現(xiàn)，這將是未來(lái)安全行業(yè)的“新常態(tài)”。每一次重大的“安全事件”都是對(duì)安全組織的一次重大考驗(yàn)。從獲取敵情、武器到位、到大規(guī)模實(shí)施“安全服務(wù)”、監(jiān)視和閉環(huán)管理等要素活動(dòng)都對(duì)安全組織的能力提出更高的挑戰(zhàn)。

因此，未來(lái)的企業(yè)安全運(yùn)營(yíng)體系建設(shè)，需要關(guān)注以下幾個(gè)方面：

1)能夠在戰(zhàn)略和戰(zhàn)術(shù)上利用威脅情報(bào);

2)能夠利用機(jī)器學(xué)習(xí)、復(fù)雜統(tǒng)計(jì)分析或預(yù)測(cè)算法等技術(shù)進(jìn)行安全建模和高級(jí)分析;

3)能夠快速、準(zhǔn)確的取證調(diào)查和威脅追溯;

4)能夠進(jìn)行持續(xù)的監(jiān)控與分析，構(gòu)建自適應(yīng)體系;

5)盡可能的自動(dòng)化，提升安全運(yùn)營(yíng)效率;

2015年，全球知名市場(chǎng)分析機(jī)構(gòu)Gartner提出了自適應(yīng)架構(gòu)框架(ASA)，到2018年，已演進(jìn)為持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估體系(CARTA)，受到越來(lái)越多的安全廠家和客戶(hù)的認(rèn)可。

CARTA從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度，以持續(xù)監(jiān)控和分析為核心，持續(xù)構(gòu)建自適應(yīng)體系架構(gòu)，以平臺(tái)為中心整合各類(lèi)安全能力，協(xié)調(diào)人員處置事件，最終通過(guò)安全管理流程與制度的落地，通過(guò)安全運(yùn)營(yíng)團(tuán)隊(duì)的有效組織，打造“安全、可信、合規(guī)”的安全運(yùn)營(yíng)體系。

基于Gartner提出的安全運(yùn)營(yíng)架構(gòu)，綠盟科技在2016年提出并打造了適應(yīng)市場(chǎng)新變化的下一代安全運(yùn)營(yíng)體系：即以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)系統(tǒng)為核心，在持續(xù)監(jiān)控和分析的基礎(chǔ)上，通過(guò)連續(xù)響應(yīng)，自適應(yīng)調(diào)整防護(hù)策略，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的動(dòng)態(tài)防御，形成閉環(huán)的安全運(yùn)營(yíng)體系。

2、綠盟智能安全運(yùn)營(yíng)平臺(tái)

基于多年態(tài)勢(shì)感知、企業(yè)安全管理平臺(tái)建設(shè)經(jīng)驗(yàn)，綠盟科技發(fā)布了全新版本，重磅推出綠盟智能安全運(yùn)營(yíng)平臺(tái)（NSFOCUSIntelligent Security Operation Platform，iSOP），這是遵循綠盟智慧安全2.0理念，以運(yùn)營(yíng)為中心，智能化、全場(chǎng)景的統(tǒng)一安全管理平臺(tái)。iSOP以大數(shù)據(jù)框架為基礎(chǔ)，結(jié)合威脅情報(bào)系統(tǒng)，通過(guò)對(duì)攻防場(chǎng)景的機(jī)器學(xué)習(xí)、威脅建模、場(chǎng)景關(guān)聯(lián)分析、異常行為分析以及安全編排自動(dòng)化、可視化呈現(xiàn)等技術(shù)，幫助客戶(hù)建立和完善安全態(tài)勢(shì)全面監(jiān)控、安全威脅實(shí)時(shí)預(yù)警、資產(chǎn)及漏洞全生命周期管理、安全事故緊急響應(yīng)能力。通過(guò)獨(dú)有的自適應(yīng)體系架構(gòu)，為安全運(yùn)營(yíng)提供可靠的信息數(shù)據(jù)支撐，協(xié)助客戶(hù)快速發(fā)現(xiàn)和分析安全問(wèn)題，并通過(guò)運(yùn)維手段實(shí)現(xiàn)安全閉環(huán)管理。

說(shuō)起綠盟智能安全運(yùn)營(yíng)平臺(tái)，不得不說(shuō)它的“智能”特性，體現(xiàn)在事前智能預(yù)警、事中智能分析、事后智能響應(yīng)三個(gè)方面。

事前智能預(yù)警

綠盟威脅情報(bào)中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技依賴(lài)多年的安全經(jīng)驗(yàn)和情報(bào)數(shù)據(jù)積累推出的一款威脅情報(bào)分析和共享平臺(tái)，可為用戶(hù)提供及時(shí)準(zhǔn)確的威脅情報(bào)數(shù)據(jù)。

借助NTI的威脅情報(bào)支撐，用戶(hù)通過(guò)綠盟智能安全運(yùn)營(yíng)平臺(tái)可及時(shí)洞悉資產(chǎn)面臨的安全威脅進(jìn)行準(zhǔn)確預(yù)警，了解最新的威脅動(dòng)態(tài)，實(shí)施積極主動(dòng)的威脅防御和快速響應(yīng)策略，結(jié)合安全數(shù)據(jù)的深度分析全面掌握安全威脅態(tài)勢(shì)，并準(zhǔn)確地進(jìn)行威脅追蹤和攻擊溯源。

事中智能分析

經(jīng)過(guò)多年的安全攻防研究和安全服務(wù)經(jīng)驗(yàn)積累，面向不同安全業(yè)務(wù)場(chǎng)景，綠盟智能安全運(yùn)營(yíng)平臺(tái)構(gòu)建多種智能安全分析引擎，包括多源數(shù)據(jù)關(guān)聯(lián)分析引擎、攻擊鏈分析引擎、安全態(tài)勢(shì)理解及推理引擎、威脅情報(bào)分析引擎、機(jī)器學(xué)習(xí)引擎、用戶(hù)行為分析引擎等。

舉個(gè)例子，綠盟智能安全運(yùn)營(yíng)平臺(tái)提供用戶(hù)異常行為分析，使用高級(jí)分析方法和機(jī)器學(xué)習(xí)的模型，對(duì)用戶(hù)和實(shí)體(例如ip地址、應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進(jìn)行評(píng)估、關(guān)聯(lián)并建立基線，能夠發(fā)現(xiàn)內(nèi)鬼作案。

事后智能響應(yīng)

在日常安全運(yùn)維中，策略配置等操作繁瑣而且容易出錯(cuò)，造成響應(yīng)不及時(shí)，處置出錯(cuò)，效率低下。綠盟智能安全運(yùn)營(yíng)平臺(tái)通過(guò)安全編排和自動(dòng)化響應(yīng)技術(shù)(SOAR)，將不同數(shù)據(jù)集和安全技術(shù)編排在一起，以自動(dòng)化的方式驅(qū)動(dòng)事件智能處置，來(lái)提高安全運(yùn)營(yíng)效率。其核心是最小化事件響應(yīng)過(guò)程中重復(fù)性任務(wù)的人工干預(yù)，幫助加速問(wèn)題的解決。

總結(jié)

作為業(yè)務(wù)、場(chǎng)景和數(shù)據(jù)三驅(qū)動(dòng)的自適應(yīng)安全綜合管控平臺(tái)，綠盟智能安全運(yùn)營(yíng)平臺(tái)將原本分散的各種安全信息予以整合提煉，不但使運(yùn)維效率大幅度的提高，而且使運(yùn)維人員的安全分析視角在廣度和深度方面得到全面的突破，進(jìn)而推動(dòng)了以人為安全運(yùn)營(yíng)主體向以平臺(tái)為安全運(yùn)營(yíng)主體的安全運(yùn)營(yíng)思路進(jìn)行躍變，可逐步降低運(yùn)維人員在安全運(yùn)營(yíng)中的投入比重，最大程度的實(shí)現(xiàn)智能化的安全自運(yùn)營(yíng)治理生態(tài)體系。

生成海報(bào)

• 蜜度索驥：以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
• 為什么年輕人不愛(ài)換手機(jī)了
• 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
• 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
• 第六座“綠動(dòng)未來(lái)”環(huán)保公益圖書(shū)館落地貴州山區(qū)小學(xué)
• 窺見(jiàn)“新紀(jì)元”，2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
• 以人為本，景悅科技解讀智慧城市發(fā)展新理念
• 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
• 清潔家電新老玩家市場(chǎng)定位清晰，攜手共進(jìn)，核心技術(shù)決定未來(lái)
• 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
• 芯耀輝加速全球化部署，任命原Intel高管出任全球總裁

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。