科技獵勒索病毒、挖礦木馬等網(wǎng)絡(luò)威脅層出不窮,山石網(wǎng)科賦能中小企業(yè)安全運(yùn)營(yíng)
一 . 安全運(yùn)營(yíng)理念
現(xiàn)階段,網(wǎng)絡(luò)安全產(chǎn)業(yè)呈現(xiàn)出創(chuàng)新、變革的發(fā)展趨勢(shì),這促使企業(yè)不斷探索新的技術(shù)和方法,來應(yīng)對(duì)潛在的網(wǎng)絡(luò)威脅。在這種形勢(shì)下,安全運(yùn)營(yíng)作為網(wǎng)絡(luò)安全常態(tài)化建設(shè)中的一項(xiàng)重要內(nèi)容,被認(rèn)為是應(yīng)對(duì)現(xiàn)有網(wǎng)絡(luò)安全挑戰(zhàn)的有效方法。
1. 什么是安全運(yùn)營(yíng)
從狹義層面來看,安全運(yùn)營(yíng)是以 IT 資產(chǎn)為核心,以威脅事件管理為關(guān)鍵流程,利用安全運(yùn)營(yíng)平臺(tái),建立的一套實(shí)時(shí)的 IT 資產(chǎn)風(fēng)險(xiǎn)評(píng)估模型,是進(jìn)行事件發(fā)現(xiàn)、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處置的集中安全管理體系。
從廣義層面來看,安全運(yùn)營(yíng)是一個(gè)將技術(shù)、流程和人有機(jī)結(jié)合的復(fù)雜系統(tǒng)工程,通過對(duì)已有安全產(chǎn)品、工具和服務(wù)產(chǎn)出的數(shù)據(jù)進(jìn)行有效的分析,持續(xù)輸出價(jià)值,解決安全問題,以確保網(wǎng)絡(luò)安全為最終目標(biāo)。
2. 協(xié)同安全運(yùn)營(yíng)體系
做好安全運(yùn)營(yíng),首先需要構(gòu)建起標(biāo)準(zhǔn)化的安全運(yùn)營(yíng)體系,協(xié)同“安全能力”進(jìn)行賦能,協(xié)同“安全數(shù)據(jù)”提供決策,協(xié)同“運(yùn)營(yíng)能力”作為交付,通過這樣的協(xié)同運(yùn)營(yíng)模式來發(fā)現(xiàn)問題、驗(yàn)證問題、分析問題、響應(yīng)處置、解決問題并持續(xù)迭代優(yōu)化,從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。
安全運(yùn)營(yíng)包括了四大體系,分別是安全運(yùn)營(yíng)管理體系、安全運(yùn)營(yíng)支撐體系、安全運(yùn)營(yíng)服務(wù)體系、安全合規(guī)與檢查體系:
安全運(yùn)營(yíng)管理體系解決安全組織、制度、流程的問題。企業(yè)需要根據(jù)國(guó)家信息安全等保相關(guān)規(guī)定、ISO27000 信息安全管理體系標(biāo)準(zhǔn)以及業(yè)界最佳實(shí)踐等,建立起安全運(yùn)營(yíng)管理體系框架,將安全方針、目標(biāo)、制度、規(guī)范、流程進(jìn)行約束,界定日常安全運(yùn)營(yíng)的范圍、職責(zé)和程序,規(guī)范日常安全運(yùn)營(yíng)行為,保障安全運(yùn)營(yíng)的有序、高效運(yùn)行。
安全運(yùn)營(yíng)支撐體系解決安全運(yùn)營(yíng)的平臺(tái)與支撐工具的問題。企業(yè)首先需要協(xié)同防火墻、防毒墻、入侵防御檢測(cè)系統(tǒng)、Web 應(yīng)用防火墻、漏洞掃描等安全防護(hù)類產(chǎn)品,建立從物理層、網(wǎng)絡(luò)層、到應(yīng)用層的整體安全防護(hù)措施;然后建立起統(tǒng)一的安全運(yùn)營(yíng)平臺(tái),協(xié)同各類安全資源,在進(jìn)行安全風(fēng)險(xiǎn)感知的同時(shí),開展安全管理、指揮調(diào)度、安全風(fēng)險(xiǎn)監(jiān)測(cè)、事件應(yīng)急處置等活動(dòng),依托安全運(yùn)營(yíng)中心開展持續(xù)的監(jiān)控、檢測(cè)、評(píng)估、整改、指揮調(diào)度等工作,形成網(wǎng)絡(luò)安全運(yùn)營(yíng)的閉環(huán)管理。
安全運(yùn)營(yíng)服務(wù)體系解決安全運(yùn)營(yíng)周期性、日常性工作落地的問題。安全運(yùn)營(yíng)服務(wù)體系的關(guān)鍵在于運(yùn)營(yíng)人員的專業(yè)程度,專業(yè)化的安全運(yùn)營(yíng)團(tuán)隊(duì)需要開展安全事件的事中、事后處理,及時(shí)阻斷或消除安全威脅,對(duì)發(fā)生的安全事件進(jìn)行溯源,對(duì)產(chǎn)品、工具及服務(wù)產(chǎn)出的數(shù)據(jù)進(jìn)行有效分析,查找引發(fā)威脅事件發(fā)生的原因,總結(jié)安全處理預(yù)案,調(diào)整安全技術(shù)策略,串聯(lián)起發(fā)現(xiàn)問題、驗(yàn)證問題、分析問題、響應(yīng)處置問題、持續(xù)迭代優(yōu)化的整個(gè)安全運(yùn)營(yíng)生命周期過程。
安全合規(guī)與檢查體系解決合規(guī)測(cè)評(píng)、風(fēng)險(xiǎn)整改的問題。企業(yè)首先需要根據(jù)安全管理制度和技術(shù)策略開展落實(shí)情況檢查,查找制度、技術(shù)策略落實(shí)方面的不合規(guī)行為,促進(jìn)制度與技術(shù)策略的有效落實(shí),同時(shí)針對(duì)制度、流程方面的問題進(jìn)行有效整改;企業(yè)還需要通過技術(shù)手段與人工檢查分析等手段,對(duì)信息系統(tǒng)的安全威脅與脆弱性進(jìn)行檢查評(píng)估,尋找網(wǎng)絡(luò)安全方面的弱點(diǎn)和短板,不斷優(yōu)化、完善技術(shù)策略。
因此,我們所說的協(xié)同安全運(yùn)營(yíng)體系,是指將制度流程、產(chǎn)品技術(shù)、專業(yè)人員以及安全數(shù)據(jù)進(jìn)行協(xié)同,實(shí)現(xiàn)安全運(yùn)營(yíng)體系的整個(gè)閉環(huán),保證我們的關(guān)鍵信息系統(tǒng)資產(chǎn)得到有效保護(hù)。
3. 動(dòng)態(tài)安全運(yùn)營(yíng)
網(wǎng)絡(luò)安全是動(dòng)態(tài)的而非靜態(tài)的,保證網(wǎng)絡(luò)安全不能一勞永逸,需要樹立動(dòng)態(tài)的防護(hù)理念,攻擊者技術(shù)不斷更新,網(wǎng)絡(luò)安全防御技術(shù)就要在與安全威脅的對(duì)抗中持續(xù)提升。這不僅點(diǎn)明了企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)的要點(diǎn),也指明了網(wǎng)絡(luò)安全運(yùn)營(yíng)的方向,網(wǎng)絡(luò)安全運(yùn)營(yíng)作為網(wǎng)絡(luò)安全常規(guī)保障建設(shè)的一項(xiàng)重要內(nèi)容,企業(yè)需要深入把握這一理念,持續(xù)推進(jìn)安全運(yùn)營(yíng)工作。
此外,等保 2.0、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等法規(guī)制度的不斷出臺(tái),促使我國(guó)的安全頂層設(shè)計(jì)逐步完善,也推動(dòng)企業(yè)的安全需求從被動(dòng)、靜態(tài)、產(chǎn)品堆砌的安全運(yùn)維向主動(dòng)監(jiān)測(cè)、快速預(yù)警、有效聯(lián)動(dòng)、準(zhǔn)確處置的閉環(huán)式動(dòng)態(tài)安全運(yùn)營(yíng)體系轉(zhuǎn)變。企業(yè)需要的安全已經(jīng)不再只是合規(guī),而是能夠不斷自我迭代優(yōu)化、演進(jìn)、提供持續(xù)性能力輸出的安全運(yùn)營(yíng)保障體系。
實(shí)現(xiàn)動(dòng)態(tài)的安全運(yùn)營(yíng),一方面需要安全運(yùn)營(yíng)圍繞業(yè)務(wù)系統(tǒng),隨著威脅與響應(yīng)、攻與防的變化而演進(jìn),從第三方獨(dú)立視角,讓產(chǎn)品、技術(shù)、平臺(tái)、人員各司其職,協(xié)同發(fā)揮最大作用,從管理、制度、流程等多方面進(jìn)行優(yōu)化及改進(jìn)安全建設(shè),滿足“解決安全風(fēng)險(xiǎn)”的訴求,實(shí)現(xiàn)業(yè)務(wù)動(dòng)態(tài)安全的建設(shè)目標(biāo);另一方面需要建立快速、靈活的網(wǎng)絡(luò)安全監(jiān)控、預(yù)警、研判、決策、處置、追溯、報(bào)告機(jī)制,加強(qiáng)聯(lián)系、調(diào)度、流程平臺(tái)的建設(shè),建立完善的安全應(yīng)急處置預(yù)案,規(guī)范化應(yīng)急指揮流程,加強(qiáng)對(duì)指揮流程的演練,增強(qiáng)第一時(shí)間對(duì)安全事件進(jìn)行響應(yīng)與處理的能力。
利用信息化手段促進(jìn)安全事件的快速響應(yīng)和處理是實(shí)現(xiàn)動(dòng)態(tài)安全運(yùn)營(yíng)理念的重要體現(xiàn)。比如企業(yè)可以建立安全感知大數(shù)據(jù)平臺(tái),在傳統(tǒng)的安全運(yùn)營(yíng)監(jiān)控基礎(chǔ)上,建立安全操作日志及安全設(shè)備類報(bào)警的大數(shù)據(jù)平臺(tái),并引入威脅情報(bào)建立安全大數(shù)據(jù)資源底盤。利用大數(shù)據(jù)分析技術(shù)及算法構(gòu)建多種分析模型,對(duì)海量安全日志進(jìn)行綜合關(guān)聯(lián)分析,實(shí)現(xiàn)對(duì)安全事件的預(yù)測(cè),增強(qiáng)安全風(fēng)險(xiǎn)感知能力,輔助安全運(yùn)營(yíng)人員決策,提前對(duì)可能的安全事件做出處理,防患于未然;另外,企業(yè)可以通過建設(shè)網(wǎng)絡(luò)安全 SaaS 云服務(wù),在安全運(yùn)營(yíng)中心平臺(tái)對(duì)安全監(jiān)控、安全策略、安全事件調(diào)度管理的基礎(chǔ)上,實(shí)現(xiàn)與安全事件流程的對(duì)接,在突發(fā)安全事件處理上可通過 SaaS 服務(wù)及時(shí)響應(yīng)。
二 . 中小企業(yè)的安全運(yùn)營(yíng)挑戰(zhàn)
當(dāng)前企業(yè)網(wǎng)絡(luò)管理人員基本上都具備了一定的網(wǎng)絡(luò)安全意識(shí),初步形成了一套網(wǎng)絡(luò)安全運(yùn)營(yíng)機(jī)制,對(duì)日常網(wǎng)絡(luò)安全運(yùn)營(yíng)工作具有一定的應(yīng)對(duì)能力。
對(duì)于像銀行、能源等頭部企業(yè),在安全建設(shè)上的特點(diǎn)是預(yù)算充裕、對(duì)業(yè)務(wù)的安全要求極高、普遍擁有規(guī)模不小的內(nèi)部安全團(tuán)隊(duì)。在安全建設(shè)方面,他們也能夠根據(jù)自己的業(yè)務(wù)系統(tǒng)去構(gòu)建自身的安全防御體系。這類群體不僅自身非常重視安全運(yùn)營(yíng),而且也擁有安全運(yùn)營(yíng)的能力。
腰部企業(yè)的特點(diǎn)是有一定的安全預(yù)算,對(duì)安全的關(guān)注重點(diǎn)在于合規(guī),這一點(diǎn)同上面的頭部企業(yè)有著明顯的區(qū)別,但在內(nèi)部安全團(tuán)隊(duì)建設(shè)方面,可能就只有幾個(gè)專職甚至兼職的人員去做。這決定了這類客戶的安全能力普遍較弱,安全團(tuán)隊(duì)從人員數(shù)量到人員素養(yǎng)都難以進(jìn)行高效的安全運(yùn)營(yíng)。
中小企業(yè)是體量最大的群體。在數(shù)字化轉(zhuǎn)型的過程中,更多擁抱數(shù)字化的其實(shí)是中小企業(yè)。這類群體的特點(diǎn)是,對(duì)業(yè)務(wù)的重視程度高于其他方面,因此在安全相關(guān)方面投入普遍較少,即便有預(yù)算也非常緊張,而在安全人員的配置方面幾乎沒有。因此,這類企業(yè)主要是通過購(gòu)買簡(jiǎn)單的、標(biāo)準(zhǔn)的安全產(chǎn)品或安全服務(wù)來解決安全問題,其自身是很難有能力去做安全運(yùn)營(yíng)的。
新技術(shù)的大量引入和企業(yè)業(yè)務(wù)模式的變化也導(dǎo)致近年來網(wǎng)絡(luò)安全事件發(fā)生更加頻繁,勒索病毒、蠕蟲木馬、漏洞攻擊、掃描滲透等網(wǎng)絡(luò)攻擊手段層出不窮。單靠被動(dòng)響應(yīng),中小企業(yè)無法及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)源頭,也無法快速實(shí)現(xiàn)業(yè)務(wù)恢復(fù),企業(yè)業(yè)務(wù)也因此會(huì)造成巨大損失。即使部署了大量的安全設(shè)備,企業(yè)也缺乏全局視角的安全管理和故障響應(yīng)能力,因此中小企業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)面臨著嚴(yán)峻的挑戰(zhàn)。
三 . 山石云·景賦能中小企業(yè)安全運(yùn)營(yíng)
面對(duì)中小企業(yè)客戶所面臨的網(wǎng)絡(luò)安全運(yùn)營(yíng)挑戰(zhàn),山石網(wǎng)科基于動(dòng)態(tài)、協(xié)同的安全運(yùn)營(yíng)理念,通過山石云 ? 景——云端安全運(yùn)營(yíng)與管理平臺(tái),從產(chǎn)品、技術(shù)、平臺(tái)和人員這四個(gè)維度,來幫助中小企業(yè)解決安全運(yùn)營(yíng)方面所面臨的諸多問題。
山石云 ? 景是一款 SaaS 化的安全運(yùn)營(yíng)管理平臺(tái),可以在云端為廣大中小企業(yè)用戶提供便捷、高效、高性價(jià)比的增值安全運(yùn)營(yíng)服務(wù)。用戶可以通過 Web 和 手機(jī) APP 方式按需登陸使用,實(shí)時(shí)進(jìn)行安全設(shè)備監(jiān)控與運(yùn)維、威脅發(fā)現(xiàn)與處置、資產(chǎn)管理與報(bào)表輸出,實(shí)現(xiàn)在云端的一站式安全運(yùn)營(yíng)管理。
1. 協(xié)同安全運(yùn)維,實(shí)時(shí)資源監(jiān)控
山石云 ? 景作為安全運(yùn)營(yíng)管理平臺(tái),首先能夠?qū)ι绞W(wǎng)科的安全資源進(jìn)行統(tǒng)一納管。山石云 ? 景能夠納管包括下一代防火墻、入侵檢測(cè)與防御系統(tǒng)、Web 應(yīng)用防火墻、負(fù)載均衡、態(tài)勢(shì)感知平臺(tái)在內(nèi)種類豐富的山石網(wǎng)科安全產(chǎn)品,協(xié)助用戶梳理安全資產(chǎn),實(shí)現(xiàn)高效監(jiān)控與運(yùn)維。通過對(duì)山石網(wǎng)科安全資源的納管,企業(yè)實(shí)現(xiàn)了對(duì)產(chǎn)品維度的協(xié)同,為企業(yè)進(jìn)行安全運(yùn)營(yíng)打下基礎(chǔ)。
安全產(chǎn)品被納管入山石云 ? 景后,山石云 ? 景首先會(huì)對(duì)安全設(shè)備資源情況進(jìn)行實(shí)時(shí)監(jiān)測(cè),如CPU、內(nèi)存、網(wǎng)絡(luò)流量等信息,同時(shí)獲取設(shè)備的系統(tǒng)信息、特征庫(kù)信息以及授權(quán)時(shí)長(zhǎng)信息等;可周期、智能地對(duì)安全設(shè)備下發(fā)巡檢任務(wù),針對(duì)潛在的問題和風(fēng)險(xiǎn)給出優(yōu)化和處置建議,輸出設(shè)備巡檢報(bào)告;云 ? 景還配置了設(shè)備資源使用的告警規(guī)則,支持多種通知的實(shí)時(shí)告警,幫助運(yùn)維人員及時(shí)發(fā)現(xiàn)安全資源風(fēng)險(xiǎn)情況,讓中小企業(yè)能夠輕松實(shí)現(xiàn)對(duì)安全設(shè)備的運(yùn)維。
2. 動(dòng)態(tài)威脅發(fā)現(xiàn),及時(shí)響應(yīng)處置
山石云 ? 景秉持動(dòng)態(tài)、協(xié)同的安全運(yùn)營(yíng)理念,充分利用前沿技術(shù)手段構(gòu)建安全事件的快速響應(yīng)和主動(dòng)防御能力,圍繞業(yè)務(wù)系統(tǒng),把持續(xù)的威脅檢測(cè)、威脅分析和響應(yīng)處置固化到日常中小企業(yè)安全運(yùn)營(yíng)的工作中。
威脅發(fā)現(xiàn)與分析方面,山石云?景作為整個(gè)威脅發(fā)現(xiàn)和處置流程中的循環(huán)主體,首先會(huì)從安全設(shè)備端獲取威脅日志,原始日志到數(shù)據(jù)湖,并引入云端威脅情報(bào)引擎和云沙箱作為安全大數(shù)據(jù)資源底座,然后利用大數(shù)據(jù)分析技術(shù)及算法構(gòu)建多種分析模型,對(duì)海量的安全日志進(jìn)行綜合關(guān)聯(lián)分析,從而實(shí)現(xiàn)對(duì)安全威脅事件的準(zhǔn)確預(yù)測(cè)。
響應(yīng)處置方面,山石云 ? 景發(fā)現(xiàn)威脅事件后會(huì)第一時(shí)間通過短信、郵件、站內(nèi)信、移動(dòng) APP 等途徑推送給安全運(yùn)維人員,運(yùn)維人員接收信息后可基于自身評(píng)估和判斷進(jìn)行威脅阻止,包括采取 IP攔截、一鍵斷網(wǎng)等操作,實(shí)現(xiàn)威脅事件的快速響應(yīng)和處置。
通過以上能力,山石云 ? 景將平臺(tái)和技術(shù)實(shí)現(xiàn)協(xié)同,幫助中小企業(yè)構(gòu)建起以主動(dòng)監(jiān)測(cè)、快速預(yù)警、有效聯(lián)動(dòng)、準(zhǔn)確處置為特點(diǎn)的閉環(huán)式可持續(xù)安全運(yùn)營(yíng)體系。
3. 增值托管服務(wù),輕松安全運(yùn)營(yíng)
面對(duì)中小企業(yè)安全運(yùn)營(yíng)和運(yùn)維的壓力,山石網(wǎng)科充分發(fā)揮可持續(xù)協(xié)同安全運(yùn)營(yíng)理念當(dāng)中人的作用,將安全產(chǎn)品、工具(山石云 ? 景)和山石網(wǎng)科安全專家相結(jié)合,為用戶提供高性價(jià)比的 MSS 安全托管服務(wù),保障企業(yè)自身的網(wǎng)絡(luò)安全。
在該服務(wù)中,山石網(wǎng)科安全產(chǎn)品以下一代防火墻、入侵防御檢測(cè)、Web 應(yīng)用防火墻等優(yōu)勢(shì)產(chǎn)品為基礎(chǔ),為客戶提供單點(diǎn)安全檢測(cè)和防護(hù)能力,同時(shí)將原始日志及檢測(cè)結(jié)果上送至山石云 ? 景平臺(tái)進(jìn)行關(guān)聯(lián)分析;山石云 ? 景作為安全運(yùn)營(yíng)的平臺(tái)類工具,提供資產(chǎn)管理、安全監(jiān)控、威脅分析發(fā)現(xiàn)、聯(lián)動(dòng)處置等平臺(tái)能力,以動(dòng)態(tài)的安全運(yùn)營(yíng)理念實(shí)現(xiàn)威脅的持續(xù)發(fā)現(xiàn)和響應(yīng)處置;山石網(wǎng)科安全專家依靠多年來積累的安全運(yùn)營(yíng)管理和實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn),以多角度、多層次、全方位的安全運(yùn)營(yíng)理念,利用山石云 ? 景平臺(tái),為用戶提供高質(zhì)量的安全運(yùn)營(yíng)服務(wù)。山石網(wǎng)科 MSS 安全托管服務(wù)真正地把產(chǎn)品、技術(shù)、平臺(tái)、人員實(shí)現(xiàn)了高效協(xié)同,充分發(fā)揮出了協(xié)同安全運(yùn)營(yíng)的作用。
通過山石網(wǎng)科 MSS 安全托管服務(wù),中小企業(yè)能夠很大程度上減少在安全運(yùn)營(yíng)和運(yùn)維方面的人員和成本投入,同時(shí)還進(jìn)一步提升了企業(yè)安全運(yùn)營(yíng)的整體水平,讓企業(yè)安全運(yùn)營(yíng)無憂。
因此,對(duì)于中小企業(yè)而言,動(dòng)態(tài)和協(xié)同的安全運(yùn)營(yíng)是提高網(wǎng)絡(luò)安全防御的一條可行通道,而能夠踐行這一理念的途徑,采用山石云 ? 景和 MSS 安全托管服務(wù),不失為一種保障自身網(wǎng)絡(luò)安全的高性價(jià)比選擇。
參考資料:
1、安全內(nèi)參公眾號(hào)《安全運(yùn)營(yíng)的定義與核心目標(biāo)》部分內(nèi)容
2、中國(guó)信息安全公眾號(hào)《關(guān)于網(wǎng)絡(luò)安全運(yùn)營(yíng)實(shí)踐思考》部分內(nèi)容
3、中國(guó)信息安全公眾號(hào)《網(wǎng)絡(luò)安全運(yùn)營(yíng)與實(shí)踐初探》部分內(nèi)容
4、安全 419《從網(wǎng)絡(luò)安全發(fā)展趨勢(shì)看安全運(yùn)營(yíng)技術(shù)發(fā)展》部分內(nèi)容
