网络安全行业发展视野下 安全运营的自我演进趋势

网络安全行业发展视野下 安全运营的自我演进趋势-51CTO.COM

2021年，在新冠肺炎疫情、安全事件、0day漏洞等威胁的挑战下，网络安全产业呈现变革创新的发展态势，促使着组织和企业不断探索新的技术和方法，来防止潜在的网络入侵。

在现有安全形势、政策导向、发展需求之下，安全运营作为网络安全发展的时代产物，被认为是解决现有挑战的有利方法。本文将带您一起探索在当今网络安全形势下安全运营的演进趋势。

安全运营发展趋势

等保2.0、数据安全法、网络安全法等法规制度不断出台，促使我国的安全顶层设计逐步完善，也推动组织和企业的安全需求从被动、静态、产品堆砌的安全运维向主动监测、快速预警、有效联动、准确处置的闭环式安全运营体系转变。

· 等保2.0从等保1.0被动防御向事前防御、事中响应、事后审计的“一个中心，三重防护”的动态防御体系转变；

· 《数据安全法》搭建了我国数据安全治理领域的基本法律框架，有效敦促企业认真履行数据安全保护义务；

· 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》着重强化了数字经济安全体系，包括增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。

这表明，组织和企业需要的安全已不再只是合规，而是能够不断自我迭代优化、演进、提供持续性能力输出的安全运营保障体系。

因此，要求安全运营应围绕业务系统，随着威胁与响应、攻与防的变化而演进，从第三方独立视角，让产品、技术、平台、人员各司其职、协同发挥最大作用，从管理、制度、流程等多方面进行优化及改进安全建设，满足“解决安全风险”的诉求，实现业务动态安全的建设目标。

安全运营自我演进

安全运营本身不是一个产品建设、单一的技术使用以及某类平台建设，而是一种贴身安全服务新模式。它以“保障安全”为目标，以业务场景为驱动，在人员、产品、技术、流程等方面进行演进，持续提升运营成效，帮助用户实现业务与安全建设同步发展，实现安全与发展双翼驱动，促进信息化建设。

以下就安全运营中心需重点加快自我演进的几方面进行介绍。

安全运营框架演进

安全的关注点从原来传统系统安全拓展到新技术领域，更加注重全方位主动防御、动态防御、整体防控和精准防护。在此情况下，被“委以重任”的安全运营的演进基础便是运营框架的演进，来指导着各项工作的开展。

运营理念转变：从合规管理到实战对抗

运营模式转变：从静态防护到积极动态防御

运营手段转变：从单一化运营到一体化运营的安全运营机制

无论是以MSS为目标的安全运营中心，还是为行业用户建立的定制化安全运营中心，都需要遵循上述原则。

专业化运营人员

安全运营是由技术、流程、人等有机结合的复杂化、工程化体系，对产品、工具及服务产出的数据进行有效分析，持续输出安全能力。在此过程，人作为其中最关键的一环，串联起发现问题、验证问题、分析问题、响应处置问题、持续迭代优化的过程。此外，由于运营的网络环境较为复杂，需要按照运营环境的专业进行划分，以专业人员处置专业问题的思路，为安全运营提供专业化、精细化的安全能力。

培养实战型人员

安全运营体系对人员的关键需求就是基于对抗的能力。通过实战化演练锻炼、提升安全人员技能和战术水平。同时坚持多角度、多层次、全方位人才培养理念，多措并举，不断强化网络安全人才队伍整体素质与综合实力。

建立激励机制

设定贯穿日常运营的竞赛机制，通过竞技化过程提升人员能力；设定评价机制，关注到运营人员的能力提升过程；建立人员上升通道，实现从一线到三线的升级，从监测分析到研究专家的升级。

优化评价考核

没有成熟的考核机制，运营持续性改进便是纸上谈兵。在安全运营中心的等级评价上，目前定义为5个等级，当等级达到3级及以上，运营中心才具备对外服务输出的能力。

威胁情报联动运营

威胁情报的使用和生产与运营动作紧密结合。在运营过程中，应当重视情报的相关活动，包括外部情报的采集和选择、结合智慧中台完成初步情报碰撞、情报的生成和交互等内容。

智慧城市的网络空间安全需要强大的威胁情报去精准预测感知，以提升运营成效。情报的产生应用需要整合多方威胁信息，以建立庞大的情报库。其中要注重于情报的交互和流动，包括与内部各运营中心的交互流动，与外部各单位之间的交互流动。

内部：在全国各地运营中心间，实现情报的内部产生、流动、共享、应用，打造情报网，联防联控，“集团军”作战。

外部：与企业、研究机构等探讨新型威胁应对方法，交换、共享情报，打造情报运营生态圈。

此外，伴随着业务场景的不同,运营中心建设对象、规模也不同，城市级运营中心、行业级运营中心、企业级运营中心等不同运营中心面对的攻击手段、漏洞类型等存在差异。在面对公有情报多、杂、乱的特点下，个性化、定制化运营中心就需建立自己的情报库，以更快速定位攻击过程，锁定攻击范围，快速制动，提高运营成效。

运营中心联动

运营流程演进优化

安全运营是一个持续处理、循环的过程，需要细粒度、多角度、持续化地对安全威胁进行实时动态分析，自适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。被动防御向主动治理的转变离不开体系化的运营流程，而完善的运营流程，要求每项流程都能根据运营环境的变化进行优化。其中，重点需演进优化的流程包含以下三大方面：

运营任务动态分配

在运营过程中，平均检出时长（MTTD）、事件平均定性时长（MTTA）、风险遏制与响应平均时长（MTTR）是三个衡量运营服务质量的重要参数，同时也是发现安全威胁并进行追踪处置的最佳实践指标。而如何保证MTTD、MTTA以及MTTR的指标时效，是运营工作必须要解决的问题。

由于安全运营工作过程中，需要对接并分析处理大量安全数据，增加了安全数据疏漏的风险，导致安全威胁无法检出或分析不深入，使安全威胁在客户网络中持续存在。因此，需要高效的任务分派与分析成果交叉确认机制。

高效的任务分派机制

为解决可能出现的遗漏问题，需制定任务派发流程，将关注的安全数据任务化，并自动派发，同时需要有一套负载均衡逻辑进行最优处理下发，保证任务处置及时性。

任务超时升级机制

需要设置任务处置超时升级机制，超时参数不同，升级的对象不同，从一线到交付经理逐级升级。

分析过程脚本化

为了达成最大化的人员有效利用率，运营中心以三级分析师的形态构建整体运营分析流程，为了更好地完成上级分析师向下级分析师传递分析思路、处置思路、知识经验的目标，同时建立安全运营不同层次、不同角色间的工作内容及协同机制，安全运营就需要流程“运营脚本”化。

运营成果卷宗化

在常规的安全运营过程中，针对安全威胁的分析成果往往以文档编纂形式出现，并多以发生时间为维度建立文件夹进行积累留存。而在周期性工作复盘过程中，此类分析成果很难帮助安全决策人员有效梳理周期内的安全问题，提出针对性的安全能力提升策略。因此，将安全运营流程中的每阶段成果进行卷宗化存储，可便于安全决策人员对运营成果进行复盘及参考。

如在安全运营流程中，分析师可模拟公安办案人员的案情档案盒模式，对威胁事件的报案线索（告警等日志信息）、案发现场（受影响资产）、办案过程（事件分析流程）等分析内容进行卷宗化构建，以数据结构化的方式完成数据的存储，方便后期对事件关键要素的检索，并提供与其它相关事件的自动化关联能力。同时，安全管理员、分析师、相关业务责任人也可通过卷宗模式直观、实时查看安全事件的分析进度。