2021年,在新冠肺炎疫情、安全事件、0day漏洞等威胁的挑战下,网络安全产业呈现变革创新的发展态势,促使着组织和企业不断探索新的技术和方法,来防止潜在的网络入侵。
在现有安全形势、政策导向、发展需求之下,安全运营作为网络安全发展的时代产物,被认为是解决现有挑战的有利方法。本文将带您一起探索在当今网络安全形势下安全运营的演进趋势。
安全运营发展趋势
等保2.0、数据安全法、网络安全法等法规制度不断出台,促使我国的安全顶层设计逐步完善,也推动组织和企业的安全需求从被动、静态、产品堆砌的安全运维向主动监测、快速预警、有效联动、准确处置的闭环式安全运营体系转变。
· 等保2.0从等保1.0被动防御向事前防御、事中响应、事后审计的“一个中心,三重防护”的动态防御体系转变;
· 《数据安全法》搭建了我国数据安全治理领域的基本法律框架,有效敦促企业认真履行数据安全保护义务;
· 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》着重强化了数字经济安全体系,包括增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。
这表明,组织和企业需要的安全已不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。
因此,要求安全运营应围绕业务系统,随着威胁与响应、攻与防的变化而演进,从第三方独立视角,让产品、技术、平台、人员各司其职、协同发挥最大作用,从管理、制度、流程等多方面进行优化及改进安全建设,满足“解决安全风险”的诉求,实现业务动态安全的建设目标。
安全运营自我演进
安全运营本身不是一个产品建设、单一的技术使用以及某类平台建设,而是一种贴身安全服务新模式。它以“保障安全”为目标,以业务场景为驱动,在人员、产品、技术、流程等方面进行演进,持续提升运营成效,帮助用户实现业务与安全建设同步发展,实现安全与发展双翼驱动,促进信息化建设。
以下就安全运营中心需重点加快自我演进的几方面进行介绍。
安全运营框架演进
安全的关注点从原来传统系统安全拓展到新技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。在此情况下,被“委以重任”的安全运营的演进基础便是运营框架的演进,来指导着各项工作的开展。
运营理念转变:从合规管理到实战对抗
运营模式转变:从静态防护到积极动态防御
运营手段转变:从单一化运营到一体化运营的安全运营机制
无论是以MSS为目标的安全运营中心,还是为行业用户建立的定制化安全运营中心,都需要遵循上述原则。
专业化运营人员
安全运营是由技术、流程、人等有机结合的复杂化、工程化体系,对产品、工具及服务产出的数据进行有效分析,持续输出安全能力。在此过程,人作为其中最关键的一环,串联起发现问题、验证问题、分析问题、响应处置问题、持续迭代优化的过程。此外,由于运营的网络环境较为复杂,需要按照运营环境的专业进行划分,以专业人员处置专业问题的思路,为安全运营提供专业化、精细化的安全能力。
培养实战型人员
安全运营体系对人员的关键需求就是基于对抗的能力。通过实战化演练锻炼、提升安全人员技能和战术水平。同时坚持多角度、多层次、全方位人才培养理念,多措并举,不断强化网络安全人才队伍整体素质与综合实力。
建立激励机制
设定贯穿日常运营的竞赛机制,通过竞技化过程提升人员能力;设定评价机制,关注到运营人员的能力提升过程;建立人员上升通道,实现从一线到三线的升级,从监测分析到研究专家的升级。
优化评价考核
没有成熟的考核机制,运营持续性改进便是纸上谈兵。在安全运营中心的等级评价上,目前定义为5个等级,当等级达到3级及以上,运营中心才具备对外服务输出的能力。
威胁情报联动运营
威胁情报的使用和生产与运营动作紧密结合。在运营过程中,应当重视情报的相关活动,包括外部情报的采集和选择、结合智慧中台完成初步情报碰撞、情报的生成和交互等内容。
智慧城市的网络空间安全需要强大的威胁情报去精准预测感知,以提升运营成效。情报的产生应用需要整合多方威胁信息,以建立庞大的情报库。其中要注重于情报的交互和流动,包括与内部各运营中心的交互流动,与外部各单位之间的交互流动。
内部:在全国各地运营中心间,实现情报的内部产生、流动、共享、应用,打造情报网,联防联控,“集团军”作战。
外部:与企业、研究机构等探讨新型威胁应对方法,交换、共享情报,打造情报运营生态圈。
此外,伴随着业务场景的不同,运营中心建设对象、规模也不同,城市级运营中心、行业级运营中心、企业级运营中心等不同运营中心面对的攻击手段、漏洞类型等存在差异。在面对公有情报多、杂、乱的特点下,个性化、定制化运营中心就需建立自己的情报库,以更快速定位攻击过程,锁定攻击范围,快速制动,提高运营成效。
运营中心联动
运营流程演进优化
安全运营是一个持续处理、循环的过程,需要细粒度、多角度、持续化地对安全威胁进行实时动态分析,自适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。被动防御向主动治理的转变离不开体系化的运营流程,而完善的运营流程,要求每项流程都能根据运营环境的变化进行优化。其中,重点需演进优化的流程包含以下三大方面:
运营任务动态分配
在运营过程中,平均检出时长(MTTD)、事件平均定性时长(MTTA)、风险遏制与响应平均时长(MTTR)是三个衡量运营服务质量的重要参数,同时也是发现安全威胁并进行追踪处置的最佳实践指标。而如何保证MTTD、MTTA以及MTTR的指标时效,是运营工作必须要解决的问题。
由于安全运营工作过程中,需要对接并分析处理大量安全数据,增加了安全数据疏漏的风险,导致安全威胁无法检出或分析不深入,使安全威胁在客户网络中持续存在。因此,需要高效的任务分派与分析成果交叉确认机制。
高效的任务分派机制
为解决可能出现的遗漏问题,需制定任务派发流程,将关注的安全数据任务化,并自动派发,同时需要有一套负载均衡逻辑进行最优处理下发,保证任务处置及时性。
任务超时升级机制
需要设置任务处置超时升级机制,超时参数不同,升级的对象不同,从一线到交付经理逐级升级。
分析过程脚本化
为了达成最大化的人员有效利用率,运营中心以三级分析师的形态构建整体运营分析流程,为了更好地完成上级分析师向下级分析师传递分析思路、处置思路、知识经验的目标,同时建立安全运营不同层次、不同角色间的工作内容及协同机制,安全运营就需要流程“运营脚本”化。
运营成果卷宗化
在常规的安全运营过程中,针对安全威胁的分析成果往往以文档编纂形式出现,并多以发生时间为维度建立文件夹进行积累留存。而在周期性工作复盘过程中,此类分析成果很难帮助安全决策人员有效梳理周期内的安全问题,提出针对性的安全能力提升策略。因此,将安全运营流程中的每阶段成果进行卷宗化存储,可便于安全决策人员对运营成果进行复盘及参考。
如在安全运营流程中,分析师可模拟公安办案人员的案情档案盒模式,对威胁事件的报案线索(告警等日志信息)、案发现场(受影响资产)、办案过程(事件分析流程)等分析内容进行卷宗化构建,以数据结构化的方式完成数据的存储,方便后期对事件关键要素的检索,并提供与其它相关事件的自动化关联能力。同时,安全管理员、分析师、相关业务责任人也可通过卷宗模式直观、实时查看安全事件的分析进度。
这是什么软件,不收费的吗?
这里都是免费的,我来推荐几个好的排名第一的BitDefender简介:BitDefender杀毒软件是来自罗马尼亚的老牌杀毒软件,二十四万超大病毒库,它将为你的计算机提供最大的保护,具有功能强大的反病毒引擎以及互联网过滤技术,为你提供即时信息保护功能,通过回答几个简单的问题,你就可以方便的进行安装,并且支持在线升级。 它包括 1.永久的防病毒保护;2.后台扫描与网络防火墙;3.保密控制;4.自动快速升级模块;5.创建计划任务;6.病毒隔离区。 排名第一的BitDefender专业版下载地址,最高版本,有汉化,有算号器,17M速度不错啊。 SN:82E04-6AFBA-1DA94-7B539排名第二的Kaspersky简介:Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件,查杀病毒性能远高于同类产品。 卡巴斯基杀毒软件具有超强的中心管理和杀毒能力,能真正实现带毒杀毒!提供了一个广泛的抗病毒解决方案。 它提供了所有类型的抗病毒防护:抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail通路和防火墙。 它支持几乎是所有的普通操作系统。 卡巴斯基控制所有可能的病毒进入端口,它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。 卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和IT出版机构的证书,确认了卡巴斯基具有汇集行业最高水准的突出品质。 卡巴斯基反病毒软件6.0.300个人版官方中文版 一年免费升级排名第三的F-Secure AntiVirus简介:来自Linux的故乡芬兰的杀毒软件,集合AVP,LIBRA,ORION,DRACO四套杀毒引擎,其中一个就是Kaspersky的杀毒内核,而且青出于蓝胜于蓝,个人感觉杀毒效率比Kaspersky要好,该软件采用分布式防火墙技术,对网络流行病毒尤其有效。 在《PC Utilites》评测中超过Kaspersky名列第一,但后来Kaspersky增加了扩展病毒库,反超F-secure。 鉴于普通用户用不到扩展病毒库,因此F-secure还是普通用户很不错的一个选择。 F-Secure AntiVirus是一款功能强大的实时病毒监测和防护系统,支持所有的 Windows 平台,它集成了多个病毒监测引擎,如果其中一个发生遗漏,就会有另一个去监测。 可单一扫描硬盘或是一个文件夹或文件,软件更提供密码的保护性,并提供病毒的信息。 F-Secure AntiVirus6.01F-Secure AntiVirus Client security v5.56 特别版:0QQC-KJ2D-D663-7XC7-P5U7第四的Pc-Cillin(趋势)简介:趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防LJ邮件等功能于一体,最大限度地提供对桌面机的保护并不需要用户进行过多的操作。 在用户日常使用及上网浏览时,进行“实时的安全防御监控”;内置的防火墙不仅更方便您使用因地制宜的设定,“专业主控式个人防火墙”及“木马程序损害清除还原技术”的双重保障还可以拒绝各类黑客程序对计算机的访问请求;趋势科技全新研发的病毒阻隔技术,包含“主动式防毒应变系统”以及“病毒扫瞄逻辑分析技术”不仅能够精准侦测病毒藏匿与化身并予以彻底清除外,还能针对特定变种病毒进行封锁与阻隔,让病毒再无可趁之机;强有力的“LJ邮件过滤功能”为您全面封锁不请自来的LJ邮件。 趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常,从此摆脱病毒感染的恶梦。 PC-cillin 2006 网络安全版 Sn:PGEF-0017-4168-1475-0999第五名的ESET Nod32简介:国外很权威的防病毒软件评测给了NOD32很高的分数,在全球共获得超过40多个奖项,包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等,更加是全球唯一通过26次VB100%测试的防毒软件,高据众产品之榜首!产品线很长,从DOS、Windows 9x/Me、Windows NT/XP/2000,到Novell Netware Server、Linux、BSD等,都有提供。 可以对邮件进行实时监测,占用内存
网络安全未来发展怎么样?
可以担任网络安全工程师。 随着互联网发展和IT技术的普及,网络和IT已经日渐深入到日常生活和工作当中,社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信息的价值不断提高。 但是与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。 因此网络安全工程师需要大量的人才。
SASE与SA-WAN构成怎样的集成方案产品?
数字化转型推动了前所未有的远程和基于云的工作浪潮,这对传统网络模型造成负担,加速向 SD-WAN 的网络转型,并带来新的安全挑战。 基于运营商专业知识和基于云的尖端技术下一代防火墙、SD-WAN 和安全远程访问技术让企业高枕无忧,他们的网络高度可靠、高效和安全。
SASE和安全SD-WAN领域的领导者,独特地结合了全功能 SD-WAN、全面的集成安全性、可扩展的高级路由、真正的多租户以及本地和云中的复杂分析,以满足 WAN 边缘要求小型到大型企业,以及服务提供商。 支持安全、可扩展和可靠的企业范围网络,提高多云应用程序性能并显着降低成本(资本支出和运营支出)。 SD-WAN 和 SASE 可在本地使用,通过服务提供商托管,通过云交付,并通过服务实现精益 IT。
支持多云访问、边缘安全和网络分析的下一代SD-WAN产品,以最大限度地提高投资回报。 这包括通过与市场领先的 SD-WAN 平台扩大合作伙伴关系,为其客户提供托管 SASE(安全访问服务边缘)产品。
随着企业越来越依赖需要从几乎任何设备、任何地点访问应用程序和网络资产的远程工作人员,安全威胁也在增加。 SASE 的有效性植根于有效的基于云的防火墙、SD-WAN 产品和员工的安全远程访问。
发表评论