2021年,在新冠肺炎疫情、安全事件、0day漏洞等威胁的挑战下,网络安全产业呈现变革创新的发展态势,促使着组织和企业不断探索新的技术和方法,来防止潜在的网络入侵。
在现有安全形势、政策导向、发展需求之下,安全运营作为网络安全发展的时代产物,被认为是解决现有挑战的有利方法。本文将带您一起探索在当今网络安全形势下安全运营的演进趋势。
安全运营发展趋势
等保2.0、数据安全法、网络安全法等法规制度不断出台,促使我国的安全顶层设计逐步完善,也推动组织和企业的安全需求从被动、静态、产品堆砌的安全运维向主动监测、快速预警、有效联动、准确处置的闭环式安全运营体系转变。
· 等保2.0从等保1.0被动防御向事前防御、事中响应、事后审计的“一个中心,三重防护”的动态防御体系转变;
· 《数据安全法》搭建了我国数据安全治理领域的基本法律框架,有效敦促企业认真履行数据安全保护义务;
· 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》着重强化了数字经济安全体系,包括增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。
这表明,组织和企业需要的安全已不再只是合规,而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。
因此,要求安全运营应围绕业务系统,随着威胁与响应、攻与防的变化而演进,从第三方独立视角,让产品、技术、平台、人员各司其职、协同发挥最大作用,从管理、制度、流程等多方面进行优化及改进安全建设,满足“解决安全风险”的诉求,实现业务动态安全的建设目标。
安全运营自我演进
安全运营本身不是一个产品建设、单一的技术使用以及某类平台建设,而是一种贴身安全服务新模式。它以“保障安全”为目标,以业务场景为驱动,在人员、产品、技术、流程等方面进行演进,持续提升运营成效,帮助用户实现业务与安全建设同步发展,实现安全与发展双翼驱动,促进信息化建设。
以下就安全运营中心需重点加快自我演进的几方面进行介绍。
安全运营框架演进
安全的关注点从原来传统系统安全拓展到新技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。在此情况下,被“委以重任”的安全运营的演进基础便是运营框架的演进,来指导着各项工作的开展。
运营理念转变:从合规管理到实战对抗
运营模式转变:从静态防护到积极动态防御
运营手段转变:从单一化运营到一体化运营的安全运营机制
无论是以MSS为目标的安全运营中心,还是为行业用户建立的定制化安全运营中心,都需要遵循上述原则。
专业化运营人员
安全运营是由技术、流程、人等有机结合的复杂化、工程化体系,对产品、工具及服务产出的数据进行有效分析,持续输出安全能力。在此过程,人作为其中最关键的一环,串联起发现问题、验证问题、分析问题、响应处置问题、持续迭代优化的过程。此外,由于运营的网络环境较为复杂,需要按照运营环境的专业进行划分,以专业人员处置专业问题的思路,为安全运营提供专业化、精细化的安全能力。
培养实战型人员
安全运营体系对人员的关键需求就是基于对抗的能力。通过实战化演练锻炼、提升安全人员技能和战术水平。同时坚持多角度、多层次、全方位人才培养理念,多措并举,不断强化网络安全人才队伍整体素质与综合实力。
建立激励机制
设定贯穿日常运营的竞赛机制,通过竞技化过程提升人员能力;设定评价机制,关注到运营人员的能力提升过程;建立人员上升通道,实现从一线到三线的升级,从监测分析到研究专家的升级。
优化评价考核
没有成熟的考核机制,运营持续性改进便是纸上谈兵。在安全运营中心的等级评价上,目前定义为5个等级,当等级达到3级及以上,运营中心才具备对外服务输出的能力。
威胁情报联动运营
威胁情报的使用和生产与运营动作紧密结合。在运营过程中,应当重视情报的相关活动,包括外部情报的采集和选择、结合智慧中台完成初步情报碰撞、情报的生成和交互等内容。
智慧城市的网络空间安全需要强大的威胁情报去精准预测感知,以提升运营成效。情报的产生应用需要整合多方威胁信息,以建立庞大的情报库。其中要注重于情报的交互和流动,包括与内部各运营中心的交互流动,与外部各单位之间的交互流动。
内部:在全国各地运营中心间,实现情报的内部产生、流动、共享、应用,打造情报网,联防联控,“集团军”作战。
外部:与企业、研究机构等探讨新型威胁应对方法,交换、共享情报,打造情报运营生态圈。
此外,伴随着业务场景的不同,运营中心建设对象、规模也不同,城市级运营中心、行业级运营中心、企业级运营中心等不同运营中心面对的攻击手段、漏洞类型等存在差异。在面对公有情报多、杂、乱的特点下,个性化、定制化运营中心就需建立自己的情报库,以更快速定位攻击过程,锁定攻击范围,快速制动,提高运营成效。
运营中心联动
运营流程演进优化
安全运营是一个持续处理、循环的过程,需要细粒度、多角度、持续化地对安全威胁进行实时动态分析,自适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。被动防御向主动治理的转变离不开体系化的运营流程,而完善的运营流程,要求每项流程都能根据运营环境的变化进行优化。其中,重点需演进优化的流程包含以下三大方面:
运营任务动态分配
在运营过程中,平均检出时长(MTTD)、事件平均定性时长(MTTA)、风险遏制与响应平均时长(MTTR)是三个衡量运营服务质量的重要参数,同时也是发现安全威胁并进行追踪处置的最佳实践指标。而如何保证MTTD、MTTA以及MTTR的指标时效,是运营工作必须要解决的问题。
由于安全运营工作过程中,需要对接并分析处理大量安全数据,增加了安全数据疏漏的风险,导致安全威胁无法检出或分析不深入,使安全威胁在客户网络中持续存在。因此,需要高效的任务分派与分析成果交叉确认机制。
高效的任务分派机制
为解决可能出现的遗漏问题,需制定任务派发流程,将关注的安全数据任务化,并自动派发,同时需要有一套负载均衡逻辑进行最优处理下发,保证任务处置及时性。
任务超时升级机制
需要设置任务处置超时升级机制,超时参数不同,升级的对象不同,从一线到交付经理逐级升级。
分析过程脚本化
为了达成最大化的人员有效利用率,运营中心以三级分析师的形态构建整体运营分析流程,为了更好地完成上级分析师向下级分析师传递分析思路、处置思路、知识经验的目标,同时建立安全运营不同层次、不同角色间的工作内容及协同机制,安全运营就需要流程“运营脚本”化。
运营成果卷宗化
在常规的安全运营过程中,针对安全威胁的分析成果往往以文档编纂形式出现,并多以发生时间为维度建立文件夹进行积累留存。而在周期性工作复盘过程中,此类分析成果很难帮助安全决策人员有效梳理周期内的安全问题,提出针对性的安全能力提升策略。因此,将安全运营流程中的每阶段成果进行卷宗化存储,可便于安全决策人员对运营成果进行复盘及参考。
如在安全运营流程中,分析师可模拟公安办案人员的案情档案盒模式,对威胁事件的报案线索(告警等日志信息)、案发现场(受影响资产)、办案过程(事件分析流程)等分析内容进行卷宗化构建,以数据结构化的方式完成数据的存储,方便后期对事件关键要素的检索,并提供与其它相关事件的自动化关联能力。同时,安全管理员、分析师、相关业务责任人也可通过卷宗模式直观、实时查看安全事件的分析进度。
网络安全专业未来的发展怎么样?
只要是人写的代码就有漏洞,源没有不存在漏洞的系统,只有没有发现漏洞的系统。 这个行业目前是形势很好,算是朝阳产业了。 我觉得这对于网络安全行业的学习者和从业者都是一个好事,安全是被冷落了很多年,现在可以算是开始繁荣的阶段。 这个领域现在人才缺口非常大,未来会更大。 所以如果有志于从事这个领域的年轻人,扎实打好技术基础,有意识的提高学识学历,这个领域未来一定是高素质和高学历人才的天下,并且是科技主宰,核心技术至上。
网络安全的前景?
网络安全的前景会越来越好,特别是在今年9月初《网络产品安全管理规定》开始实行之后,各平台、企业等对于网络安全的重视将会进一步提升。 特别是目前的情况下,越来越多的业务都搬到了网络上,对网络的安全提出了更高的要求。
可以这么说,未来10年都将是网络安全人才就业的黄金期。
咱们通过客观数据来说话:
这是16年-22年中国网络信息安全市场规模的分析及预测,可以看出网络安全产业经济每年都在高速增长,市场潜力巨大。
整个行业还处于一片蓝海!
再说网络安全的现状。
截至2018年8月,网民规模已达8.02亿人,连家里的老人都开始用起了智能手机。
然而互联网的开放性和安全漏洞带来的风险也无处不在,最普遍的像账号被盗、钓鱼网站、木马病毒等等,直接危及个人安全。
网络攻击行为日趋复杂、黑客攻击行为组织性更强、针对手机无线终端的网络攻击日趋严重,近几年有关网络攻击和数据泄露的新闻层出不穷。
而随着大数据、物联网、人工智能等新技术的发展,信息技术与经济社会各领域的融合也更加深入。
针对互联网车辆的攻击危及人身安全
人工智能恶意软件放大攻击者的能力
攻击者操控智能家居,损害电网安全
网络攻击与武装攻击相结合,摧毁商业,危及生命
现阶段网络空间安全建设已达到了刻不容缓的地步!
在这一背景下,网络安全人才短缺问题日益突出,网络安全人才严重匮乏,可谓一将难求。
18年缺口高达95%,超过70万,20年突破232%,缺口达140万,21年缺口飙升285%...
目前北京、深圳、上海、成都、广州、武汉是网络安全人才需求量最大的城市,这五个城市对网络安全人才需求的总量预计占全国需求总量的近一半。
且不管各行业还是组织均加大了对网络安全人才的需求!
安全防御未来发展趋势是什么样的?
网络安全市场的发展和ICT市场的发展是紧密相连的,网络安全的成熟度也随着ICT市场发展逐渐成熟。 全球权威咨询机构IDC在2007年提出以云计算、大数据、社交和移动四大支柱技术为依托的“第三平台” 概念,以第三平台为基础,将全球ICT市场发展分为三个阶段:试点创新、倍增创新、智能创新。
今天,第三平台技术已经进入到倍增创新的阶段,成为企业IT系统的基础。 人工智能技术开始被行业所关注,并且越来越广泛的被应用于各行各业。 未来,进入“智能创新”阶段,在超复杂性规模化环境中,人工智能的成熟度将呈现指数级增长,人工智能在网络安全的领域也将会产生更多的创新。
在过去的两年里,伴随着ICT的高速发展,全球的恶意移动软件攻击的数量增加了将近一倍;在我国,漏洞的数量也逐年递增。 究其原因,其主要在于数字化转型带来了IT资产价值的大幅提升,导致黑产为获利而加大各种网络攻击行为。 根据IDC在亚太地区的一项调研,当网络攻击发生时,只有17%企业可以使用自动化工具,实时的进行威胁处理,而其他的绝大多数的企业难以高效处理网络攻击事件。 因此,未来企业需要的是自动化的处理、快速的检测、快速的响应,人工智能技术和机器学习技术将会在此间发挥巨大的作用。
新技术推动数字化转型的同时,也会为黑产所利用。 近些年来,随着云计算、物联网、人工智能的快速发展,使得这些技术和基础设施可以作为企业业务系统的资源,极大的提高企业的生产效率。 但是,它们也为黑产进行网络攻击提供了技术支撑,例如,云计算的大量运算能力可能会被用来发起DDoS攻击;会有一定比例的海量物联网终端可能被黑客控制做为“肉鸡”;人工智能技术也可能被用于自动化攻击工具的开发,形成AI黑客机器人。 在这种情况下,依赖人工去处理大量的攻击事件是不现实的。 因此,未来网络安全技术与人工智能技术结合,制造AI防御机器人对抗AI黑客机器人进行防御将是一种必然的趋势。
20年前,由于IT架构极简,企业进行网络安全建设往往是简单选择一些合规产品,如防火墙、入侵检测、日志分析等。 今天,企业的IT系统已经广泛的部署在云计算环境中,基础设施环境越发复杂,仅仅依靠这些产品已经不足以识别、发现、处置复杂的安全风险。 根据IDC研究,未来,企业所选择的网络安全技术将向大数据分析、AI、认知方向发展,具体包括:自动响应、开发安全计划、调查、探索、威胁诱捕等等新的安全技术。
根据IDC的调研,全球网络安全市场需求仍然不断快速增长。 IDC预测,到2022年,60%的安全运营中心的初级分析师,将利用人工智能和机器学习持续提高其工作效率,并提升其运营的安全水平。 未来将会有更多的安全技术与人工智能技术紧密结合,互相处促进,逐渐成熟。 人工智能也将成为网络安全产业未来发展必备的关键技术。
发表评论