“IT有得聊”是机械工业出版社旗下IT专业资讯和服务平台,致力于帮助读者在广义的IT领域里,掌握更专业、更实用的知识与技能,快速提升职场竞争力。 点击蓝色微信名可快速关注我们!
在探讨面向实战的常态化安全运营体系建设之前,我们先来明确一下安全运营的定义。安全运营是为了实现组织的安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源、解决问题并持续迭代优化的统筹管理过程,是为了满足组织信息安全的动态性、持续性和整体性需求,保持和提升安全状态与安全能力的过程。
在面临不同的安全场景时,企业的防御体系需要选择不同的安全防护模式。例如在临时演练期间,企业的防御体系通常会选用一系列的防护技术来构成,在这个场景下,企业更多地考虑是技术的互补、产品能力的异构等,为了成绩而投入大量资源。但在日常工作中,企业的安全建设不仅仅是安全产品和技术的堆叠,更需要考虑安全与业务的平衡、安全资源的有效整合,以及如何使有限的投入发挥最大的价值
(如图1所示)
。
因此,我们认为企业应建设一套防护体系,将网络安全工作体系化,通过制定不同的防御策略,来应对各种企业可能面临的安全风险。在这个需求下,面向实战的常态化安全运营体系应运而生。搭建一套安全运营平台、实现全网安全设备数据集中管控,及安全态势数据可视化展示,为网络安全管理工作提供数据支撑。建立一个安全运营体系,贯穿预警、防护、监测、响应和处置各环节,实现资产、漏洞、威胁闭环管理,降低业务安全风险。打造一支高效的安全运营团队,立足实战化能力建设,提升网络安全防护水平,保障业务平稳运行。
通过安全运营建设,将攻防演习启动、备战、演练、保障、总结阶段的工作落实到常态化规划、建设、运营,并通过统一和协调企业的技术工具、人员能力、流程规范,对企业在实战期间及日常面临的安全风险进行识别、防御、检测、响应、恢复等全方位的安全运营防护,持续提升威胁感知和事件响应能力,降低威胁处置时间以及企业面临的安全风险,实现可持续安全运营保障 。
很多企业在大型演练活动结束之后,都面临着资源的投入无法维持 (如临时部署的设备需下线、 临时投入的人员需离场);制度难以继续推行,恢复日常模式后,安全对业务的
影响容忍度大大降低等问题。企业安全水平也随之回到最初的起点,再次遇到攻防演练活动时,企业还需继续从头开始。
通过打造常态化安全运营体系,借助安全运营将突击性的演习保障工作转化为常态化、
实战化、体系化的安全运营能力。在演习成果的基础上进一步提升企业安全水平,保障业务安全,将演习的价值最大化。
但建设一个适合企业实际情况的常态化运营体系,仅靠攻防演练成果参考略显单薄。在
安全运营建设前期,通常引入“安全运营能力成熟度模型”这一内容,对企业的安全运营情况做一次评估。通过评估定位当前安全运营水平,安全运营能力成熟度,发现企业当前存在的短板,明确企业安全运营需达成目标后,制定后续的运营建设方案。本文主要描述常态化运营体系中基本流程体系建设,根据以往的实践,本文所涉及的建设内容对标运营能力成熟度3级,企业可根据自身运营能力成熟度及目标调整建设内容。
以下为国内某网络安全公司安全运营能力成熟度模型 (如图2所示),以及成熟度各级别对应的运营状态 (如图3所示)。
绿盟科技-梅花K战队
倾力之作
从红蓝双方的视角对实战对抗过程及案例深度剖析
重点讲解前沿攻防技术手段以及基于实战的防御体系建设思路
为什么要写这本书?
最早萌生写这本书的想法,是2019年战队成立之际,我与几个战队创始人及核心骨干坐在一起讨论,要打造一支怎样的攻防队伍,我们要如何向业界,发出自己惊雷般的声音。很快,我们就确认了“以攻促防,以攻塑防”的技术理念。这在当时骈兴错出的攻防实验室和团队里面,并不特殊,但我们并不只是喊喊口号,而是要坚定地朝着攻防转换的研究方向去发展,用最直接的成果和应用来证明我们的技术理念。
因此,我们分别设立了以高级攻击技术研究、攻击自动化以及基于ATT&CK框架的专业红队评估为目标的实战攻防小组,以及专注于前沿检测与防护技术研究、产品对抗能力提升、防御能力度量以及威胁分析与狩猎的威胁对抗小组。
“攻”,我们要在有限的资源下做到行业领先,在过去的几年时间里战队在各级实战攻防演练和赛事中屡获佳绩,并且实现了“K”系列全攻击阶段行动的武器化自研;“防”,我们要做到技术前沿和能力落地,战队将“灵”系列的防御能力评估与验证、域攻击检测、Webshell检测引擎、加密流量检测以及高频攻击场景的检测能力输入至安全产品侧,并连续多年在实战中成功击退攻击组织及顶级队伍。我们在实战中锻炼队伍,验证成果,同时在攻防之间进行所需研究的方向和技术的突破,持续循环。
这本书既蕴含了梅花K战队过去几年的一部分沉淀,也象征着我们秉持最初的技术理念,想要分享给业界和从业人员的声音。
时至今日,攻防之间如何转换,依然是横在各大攻防团队从技术研究到实现价值之间的一堵墙,我们需要一种有力的武器,突破攻防之间的这道墙,让攻防之间不只是对抗,还有思想的融合。我们有幸,在“以攻促防,以攻塑防”的技术理念中走出了自己的道路并有了不少的收获。希望这本书能够成为读者手中趁手的兵器,打破攻防之间的鸿沟。
读者对象为参加攻防对抗的网络安全人员、甲方企业信息安全部门从业人员、其他对网络安全感兴趣的读者。
