PCSA安全研究院‖安全运营的定义、目标与核心能力

2022-03-25 14:14:29 374
1什么是安全运营?
狭义安全运营是为以资产为核心,以安全事件管理为关键流程,依托于安全运营平台,建立一套实时的资产风险模型,进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系。
广义安全运营是一个技术、流程和人有机结合的复杂的系统工程,通过对已有的安全产品、工具、服务产出的数据进行有效的分析,持续输出价值,解决安全风险,从而实现安全的最终目标。
3、安全运营的核心目标是什么?
安全运营构建安全运营体系、安全知识体系,融合、增强安全能力,以安全能力进行赋能,以安全数据提供决策,以运营能力作为交付,通过该运营模式来发现问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化,实现安全的共同目标。
4、安全运营包括哪些方面的内容?
安全运营包括安全运营管理体系、安全运营支撑体系、安全运营服务体系、安全合规与检查体系四大部分。安全运营管理体系解决安全组织、制度、流程的问题;安全运营支撑体系解决安全运营的平台与支撑工具的问题;安全运营服务体系解决安全运营周期性、日常性工作的落地的问题;安全合规与检查体系解决合规测评、风险整改的问题。
5安全运营中心需要哪些核心能力
安全运营中心需要提升的核心能力主要四个,包括1精准定位已知威胁;2深度检测未知威胁;3丰富安全事件场景;4辅助安全运营决策。
1精准定位已知威胁:单点安全检测设备能够产生有价值的告警,但往往被低质量的告警所淹没了,所以需要从海量数据中进行精准定位。
2深度检测未知威胁:单点安全设备检测高级威胁、未知威胁能力有限,同时安全威胁已经扩展到用户行为、业务异常等领域,所以要弥补单点安全设备检测能力短板。
3丰富安全事件场景:利用事件(Event)、日志(Log)产生告警(Alert),再进一步聚合成安全事件(Incident),以及整合资产、漏洞、威胁等上下文数据,明确攻击链条、事件时间线以及风险等级。
4辅助安全运营决策:针对安全事件能够清晰的描述发生了什么?为什么发生?未来会不会发生?该如何应对?为进一步安全响应,以及安全防御措施完善,提供决策指导。
6如何抓住并实现安全运营的重点
随着信息化与安全成熟度的提高通过实时大数据安全分析技术从海量数据中判定攻击失陷已经是安全运营的核心关注点与必然趋势简单来说安全运营本质就是从EventAccident的过程
安全运营涉及到事件的包括EventIncidentAccident三个词虽然三个词直译都以称为事件但在安全管理标准安全管理平台定义中却出现不同的词可见它们之间是存在着细微差别的
1Event的理解
Event在有些安全标准里会被翻译成事态直白理解就是事情的状态从风险管理角度看它只是一种状态而已还不涉及到潜在的损失可能是一种风险的潜在因素也可能不是
举个例子来讲一个办公室的门没有关这个门没关就属于Event只是一种状态不去考虑为什么没关或者应不应该关没有产生风险也没有带来损失
在安全管理平台中SIEM中的E就是这个Event采集上来的告警也好日志也好其实都是一种客观的状态记录这些都是进行安全分析所需要的原料通过分析引擎进行分析后产生全新的告警
2Incident的理解
Incident在安全标准里通常被翻译成事件也就是事件与应急管理中的事件从风险管理角度看它不再只是一种状态而是变成了一种风险可能会带来或者已经带来了损失
还是上面的例子如果这个办公室是存放着敏感资料的话这个门按规定是需要默认关闭的这个门没有关就不再只是一种状态而是一种风险事件了由于可能带来损失所以是需要处置的
在安全管理平台中将多个安全告警进行聚合按时间顺序或攻击路径排列这个就是Security Incident有些产品将其命名为安全事件比如一次病毒的传播可能影响了多台终端由于攻击目的地址不同告警是无法合并的但可以聚合成一个Security Incident
3Accident的理解
Accident在安全标准里通常被翻译成事故它不再是一种潜在风险而是确定已经产生了损失从风险管理角度看IncidentAccident是包含与被包含关系Accident是程度更加严重的Incident
还是上面的例子如果这个办公室是存放着敏感资料的话有一个小偷趁着门没有关把资料偷走了由于确实造成了损失的既成事实所以这个就属于Accident是一次安全事故了
在安全管理平台中目前并没有看到单独的Accident概念它被包含在Security Incident里面了但在作为一个好的安全管理平台是需要通过丰富的上下文信息来帮助分析人员能够快速判断是否造成了Accident
另外如果确定已经发生Accident的话是需要编制针对性的专题报告的那么安全管理平台是否可以提供足够的信息方便安全分析人员完成报告编制甚至是能够自动化导出事故报告这也是安管平台的一个挑战
7关于安全运营的一些总结
当前安全管理的理念与方法正在通过管理平台与技术手段逐步得到了落地从而使安全管理与技术的融合度越来越高比如态势感知中的指标大数据分析中的场景都可以与信息科技风险管理的关键风险指标KRI以及信息安全管理中的有效性度量很好地结合起来安全管理平台自动化编排与响应也同样需要与事件管理应急响应融合贯通
PCSA联盟介绍


数字中国、网络强国战略指引全国各领域都在走向数字化,中国的数字化率将大幅提高,未来国家级、行业级、城市级关键信息基础设施、重要信息系统将成为经济社会运行的神经中枢。未来面临的网络安全挑战越来越清晰和紧迫,主要包含:

  • 威胁挑战:由黑客组织升级到敌对势力、霸权国家网络空间超限战威胁挑战
  • 转型挑战:由烟筒式系统升级到大数据、大平台、大系统、大运营、大安全挑战
  • 防御挑战:由合规性基础防御升级到神经中枢强化防御和多方协同防御挑战
  • 安全挑战:在面临高水平攻击“常态化、实战化”情况下,确保“资产清晰化、风险动态化、能力生态化”的基础上满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全运营一体化挑战。

面对四大挑战,PCSA持续协同中国关键安全能力者打造共生平台《数字化资产关联基础库》、《数字化安全能力基础库》、《数字化风险情报基础库》、《网络安全日常管理及运营平台》、《一体化对抗蓝方平台》、《战略决策协同指挥平台》、《云安全一体化综合服务平台》、《数据流动安全监管平台》、《第三方供应商与应用开发代码安全管控平台》实现从供应链安全,合规基础保护,强化保护,协同保护,实现预测、防御、检测、响应的实时动态闭环的运营体系,实现信息共享、应急协同,一体化指挥清晰,确保数字社会神经中枢的安全稳定运行,填补技术空白持续为用户打造安全中枢不断努力。
未来,PCSA联盟与生态合作伙伴面对网络空间安全领域的共性顽疾、共性问题,持续用共生的方法共同解决,充分发挥社会组织桥梁和纽带作用,对接政府、产业和企业,为国家信息安全保障作出贡献。
   PCSA成立于2016年10月20日北京
   PCSA愿景:聚合中国关键安全能力、赋能数字智能时代
   PCSA价值观:质由新生 信仰共造
   PCSA使命:持续为用户打造安全中枢
       --实战化智能安全运营中心专家
       --主责数据保护与流动安全监管专家
    致力于:网络空间安全业务平台化、安全平台运营化等科研创新及落地等
     --研究问题与趋势 网络空间安全长期共性问题 网络空间安全未来共性需求
    --创新解决与突破 网络空间安全落地共性顽疾 网络空间安全关键技术和模式
    --研发服务与平台 网络空间安全整体服务运营 网络空间安全生态共性平台

微信公众号

新浪微博

电话咨询
解决方案
购买与服务
QQ客服