智能安全運營，不得不說的秘密

一、安全現(xiàn)狀和挑戰(zhàn)

很多企業(yè)購買了安全產(chǎn)品和安全服務，建立團隊來建設和運營安全體系，但是還是遇到下述問題：

1、企業(yè)采購大量異構的安全設備，分散各處，產(chǎn)生海量日志，給日志分析、事件處置帶來了困難。

2、IT領導者被大量碎片化信息所淹沒，無法宏觀判斷，有效決策。

3、IT運維人員到處救火，每次重大安全事件保障都會手忙腳亂的應對，效率低下，無法真正發(fā)揮出設備和平臺的能力。

在復雜且快速變化的大環(huán)境中，如何有效地保障企業(yè)安全，是擺在每個企業(yè)面前的關鍵問題。

二、安全運營新趨勢

企業(yè)購買安全產(chǎn)品和安全服務，花錢雇傭安全工程師，目標是要解決問題，而解決問題不僅僅是把一個安全產(chǎn)品買回來、拿到一份安全報告就結束的事情。隨著安全管理和技術的發(fā)展，安全運營被提到越來越重要的地位。

在管理學中，對運營有個定義“運營就是對運營過程的計劃、組織、實施和控制，是與產(chǎn)品生產(chǎn)和服務創(chuàng)造密切相關的各項管理工作的總稱”。而安全運營，就是為了實現(xiàn)安全目標，提出安全解決構想、驗證效果、分析問題、診斷問題、協(xié)調資源解決問題并持續(xù)迭代優(yōu)化的過程。通過安全運營過程的統(tǒng)籌管理，滿足企業(yè)安全的動態(tài)性、持續(xù)性和整體性需求。

近幾年來，安全運營發(fā)生很多變化，我們看到有一些趨勢：

1、從“被動防御”到“主動響應”

傳統(tǒng)安全體系關注邊界防御，把企業(yè)網(wǎng)絡部署成銅墻鐵壁，但是企業(yè)IT系統(tǒng)上云，移動互聯(lián)網(wǎng)成為業(yè)務標配，網(wǎng)絡邊界越來越模糊，帶來新的安全挑戰(zhàn)。安全體系開始從“被動防御”，向“主動響應”轉變，與其被動挨打，不如快速發(fā)現(xiàn)，及時響應，減少風險，降低損失。

2、從“碎片化”到“可視化”

很多企業(yè)在網(wǎng)絡中部署不同的安全設備，大量多樣性設備產(chǎn)生海量日志，信息分散，分析手段匱乏，難以看清全局安全狀態(tài)，極大影響安全運營的效率和效果。隨著平臺技術的發(fā)展，安全體系開始從“碎片化”向“可視化”轉變，通過平臺可視化和大數(shù)據(jù)分析技術，提高運營效率，感知全局安全態(tài)勢。

3、從“操作規(guī)范”到“效率優(yōu)先”

對大部分企業(yè)來說，安全運維就是定期發(fā)現(xiàn)漏洞，修補漏洞;配置安全設備策略，基于業(yè)務變化調整策略;針對攻擊或事故，應急響應，等等，運維人員在繁雜的安全操作中，努力尋求“操作規(guī)范”。但是隨著企業(yè)IT環(huán)境越來越復雜，越來越多的以經(jīng)濟利益為目的的黑客入侵、高級APT攻擊事件的出現(xiàn)，企業(yè)安全運營已關系到企業(yè)的業(yè)務發(fā)展甚至存亡。企業(yè)不再滿足于“操作規(guī)范”，而是要“效率優(yōu)先”，用更好的安全技術和產(chǎn)品，來提升安全運營效率，實現(xiàn)企業(yè)安全目標。

總的來說，一方面安全運營向“主動響應、可視化、效率優(yōu)先”演變，另一方面合規(guī)驅動了安全運營的發(fā)展。隨著等保2.0國家標準的正式發(fā)布，安全管理平臺、安全運營服務成為安全體系的“標配”。今天的安全運營，數(shù)據(jù)是核心，分析是靈魂，人員是紐帶，企業(yè)從資產(chǎn)發(fā)現(xiàn)、安全監(jiān)控、數(shù)據(jù)分析、情報預警、協(xié)同處置等方面，構建“預測、保護、檢測、響應”的自適應安全能力。

三、智能安全運營之道

1、安全運營體系

新型的網(wǎng)絡安全威脅層出不窮，高風險等級的安全事件不斷出現(xiàn)，這將是未來安全行業(yè)的“新常態(tài)”。每一次重大的“安全事件”都是對安全組織的一次重大考驗。從獲取敵情、武器到位、到大規(guī)模實施“安全服務”、監(jiān)視和閉環(huán)管理等要素活動都對安全組織的能力提出更高的挑戰(zhàn)。

因此，未來的企業(yè)安全運營體系建設，需要關注以下幾個方面：

1)能夠在戰(zhàn)略和戰(zhàn)術上利用威脅情報;

2)能夠利用機器學習、復雜統(tǒng)計分析或預測算法等技術進行安全建模和高級分析;

3)能夠快速、準確的取證調查和威脅追溯;

4)能夠進行持續(xù)的監(jiān)控與分析，構建自適應體系;

5)盡可能的自動化，提升安全運營效率;

2015年，全球知名市場分析機構Gartner提出了自適應架構框架(ASA)，到2018年，已演進為持續(xù)自適應風險與信任評估體系(CARTA)，受到越來越多的安全廠家和客戶的認可。

CARTA從預測、防御、檢測、響應四個維度，以持續(xù)監(jiān)控和分析為核心，持續(xù)構建自適應體系架構，以平臺為中心整合各類安全能力，協(xié)調人員處置事件，最終通過安全管理流程與制度的落地，通過安全運營團隊的有效組織，打造“安全、可信、合規(guī)”的安全運營體系。

基于Gartner提出的安全運營架構，綠盟科技在2016年提出并打造了適應市場新變化的下一代安全運營體系：即以IT資產(chǎn)為基礎，以業(yè)務系統(tǒng)為核心，在持續(xù)監(jiān)控和分析的基礎上，通過連續(xù)響應，自適應調整防護策略，實現(xiàn)對網(wǎng)絡攻擊的動態(tài)防御，形成閉環(huán)的安全運營體系。