一安全現狀和挑戰
很多企業購買了安全產品和安全服務,建立團隊來建設和運營安全體系,但是還是遇到下述問題:
1、企業採購大量異構的安全裝置,分散各處,產生海量日誌,給日誌分析、事件處置帶來了困難。
2、IT領導者被大量碎片化資訊所淹沒,無法巨集觀判斷,有效決策。
3、IT運維人員到處救火,每次重大安全事件保障都會手忙腳亂的應對,效率低下,無法真正發揮出裝置和平臺的能力。
在複雜且快速變化的大環境中,如何有效地保障企業安全,是擺在每個企業面前的關鍵問題。
二安全運營新趨勢
企業購買安全產品和安全服務,花錢僱傭安全工程師,目標是要解決問題,而解決問題不僅僅是把一個安全產品買回來、拿到一份安全報告就結束的事情。隨著安全管理和技術的發展,安全運營被提到越來越重要的地位。
在管理學中,對運營有個定義“運營就是對運營過程的計劃、組織、實施和控制,是與產品生產和服務創造密切相關的各項管理工作的總稱”。而安全運營,就是為了實現安全目標,提出安全解決構想、驗證效果、分析問題、診斷問題、協調資源解決問題並持續迭代優化的過程。通過安全運營過程的統籌管理,滿足企業安全的動態性、持續性和整體性需求。
近幾年來,安全運營發生很多變化,我們看到有一些趨勢:
1從“被動防禦”到“主動響應”
傳統安全體系關注邊界防禦,把企業網路部署成銅牆鐵壁,但是企業IT系統上雲,移動網際網路成為業務標配,網路邊界越來越模糊,帶來新的安全挑戰。安全體系開始從“被動防禦”,向“主動響應”轉變,與其被動挨打,不如快速發現,及時響應,減少風險,降低損失。
2從“碎片化”到“視覺化”
很多企業在網路中部署不同的安全裝置,大量多樣性裝置產生海量日誌,資訊分散,分析手段匱乏,難以看清全域性安全狀態,極大影響安全運營的效率和效果。隨著平臺技術的發展,安全體系開始從“碎片化”向“視覺化”轉變,通過平臺視覺化和大資料分析技術,提高運營效率,感知全域性安全態勢。
3從“操作規範”到“效率優先”
對大部分企業來說,安全運維就是定期發現漏洞,修補漏洞;配置安全裝置策略,基於業務變化調整策略;針對攻擊或事故,應急響應,等等,運維人員在繁雜的安全操作中,努力尋求“操作規範”。但是隨著企業IT環境越來越複雜,越來越多的以經濟利益為目的的黑客入侵、高階APT攻擊事件的出現,企業安全運營已關係到企業的業務發展甚至存亡。企業不再滿足於“操作規範”,而是要“效率優先”,用更好的安全技術和產品,來提升安全運營效率,實現企業安全目標。
總的來說,一方面安全運營向“主動響應、視覺化、效率優先”演變,另一方面合規驅動了安全運營的發展。隨著等保2.0國家標準的正式釋出,安全管理平臺、安全運營服務成為安全體系的“標配”。今天的安全運營,資料是核心,分析是靈魂,人員是紐帶,企業從資產發現、安全監控、資料分析、情報預警、協同處置等方面,構建“預測、保護、檢測、響應”的自適應安全能力。
三智慧安全運營之道
1安全運營體系
新型的網路安全威脅層出不窮,高風險等級的安全事件不斷出現,這將是未來安全行業的“新常態”。每一次重大的“安全事件”都是對安全組織的一次重大考驗。從獲取敵情、武器到位、到大規模實施“安全服務”、監視和閉環管理等要素活動都對安全組織的能力提出更高的挑戰。
因此,未來的企業安全運營體系建設,需要關注以下幾個方面:
1)能夠在戰略和戰術上利用威脅情報;
2)能夠利用機器學習、複雜統計分析或預測演算法等技術進行安全建模和高階分析;
3)能夠快速、準確的取證調查和威脅追溯;
4)能夠進行持續的監控與分析,構建自適應體系;
5)儘可能的自動化,提升安全運營效率;
2015年,全球知名市場分析機構Gartner提出了自適應架構框架(ASA),到2018年,已演進為持續自適應風險與信任評估體系(CARTA),受到越來越多的安全廠家和客戶的認可。
CARTA從預測、防禦、檢測、響應四個維度,以持續監控和分析為核心,持續構建自適應體系架構,以平臺為中心整合各類安全能力,協調人員處置事件,最終通過安全管理流程與制度的落地,通過安全運營團隊的有效組織,打造“安全、可信、合規”的安全運營體系。
基於Gartner提出的安全運營架構,綠盟科技在2016年提出並打造了適應市場新變化的下一代安全運營體系:即以IT資產為基礎,以業務系統為核心,在持續監控和分析的基礎上,通過連續響應,自適應調整防護策略,實現對網路攻擊的動態防禦,形成閉環的安全運營體系。
2綠盟智慧安全運營平臺
基於多年態勢感知、企業安全管理平臺建設經驗,綠盟科技釋出了全新版本,重磅推出綠盟智慧安全運營平臺(NSFOCUS Intelligent Security Operation Platform,iSOP),這是遵循綠盟智慧安全2.0理念,以運營為中心,智慧化、全場景的統一安全管理平臺。iSOP以大資料框架為基礎,結合威脅情報系統,通過對攻防場景的機器學習、威脅建模、場景關聯分析、異常行為分析以及安全編排自動化、視覺化呈現等技術,幫助客戶建立和完善安全態勢全面監控、安全威脅實時預警、資產及漏洞全生命週期管理、安全事故緊急響應能力。通過獨有的自適應體系架構,為安全運營提供可靠的資訊資料支撐,協助客戶快速發現和分析安全問題,並通過運維手段實現安全閉環管理。
說起綠盟智慧安全運營平臺,不得不說它的“智慧”特性,體現在事前智慧預警、事中智慧分析、事後智慧響應三個方面。
事前智慧預警
綠盟威脅情報中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技依賴多年的安全經驗和情報資料積累推出的一款威脅情報分析和共享平臺,可為使用者提供及時準確的威脅情報資料。
藉助NTI的威脅情報支撐,使用者通過綠盟智慧安全運營平臺可及時洞悉資產面臨的安全威脅進行準確預警,瞭解最新的威脅動態,實施積極主動的威脅防禦和快速響應策略,結合安全資料的深度分析全面掌握安全威脅態勢,並準確地進行威脅追蹤和攻擊溯源。
事中智慧分析
經過多年的安全攻防研究和安全服務經驗積累,面向不同安全業務場景,綠盟智慧安全運營平臺構建多種智慧安全分析引擎,包括多源資料關聯分析引擎、攻擊鏈分析引擎、安全態勢理解及推理引擎、威脅情報分析引擎、機器學習引擎、使用者行為分析引擎等。
舉個例子,綠盟智慧安全運營平臺提供使用者異常行為分析,使用高階分析方法和機器學習的模型,對使用者和實體(例如ip地址、應用、裝置和網路等)的行為進行評估、關聯並建立基線,能夠發現內鬼作案。
事後智慧響應
在日常安全運維中,策略配置等操作繁瑣而且容易出錯,造成響應不及時,處置出錯,效率低下。綠盟智慧安全運營平臺通過安全編排和自動化響應技術(SOAR),將不同資料集和安全技術編排在一起,以自動化的方式驅動事件智慧處置,來提高安全運營效率。其核心是最小化事件響應過程中重複性任務的人工干預,幫助加速問題的解決。
總結
作為業務、場景和資料三驅動的自適應安全綜合管控平臺,綠盟智慧安全運營平臺將原本分散的各種安全資訊予以整合提煉,不但使運維效率大幅度的提高,而且使運維人員的安全分析視角在廣度和深度方面得到全面的突破,進而推動了以人為安全運營主體向以平臺為安全運營主體的安全運營思路進行躍變,可逐步降低運維人員在安全運營中的投入比重,最大程度的實現智慧化的安全自運營治理生態體系。
成功的“安全”在於“運營”