小型企业关注基础安全运营,重点把安全产品“管好”和“用好”。大型企业通过SOC平台(安全运营中心)把所有安全产品串联起来,对大量的日志进行关联分析,发现事件和告警。通过SOAR平台把运营工作中能“自动化”内容进行预案编排,缩短响应时间,提升处置效率。
整体上属于网络安全运营范畴,关注网络安全攻防、流量监测、事件处置、应急响应等事情。
把网络安全运营的概念理解清楚,为后面“数据安全运营”工作做好铺垫和区分,网络安全仍然是基础,需要努力做好。
“以数据为中心”的数据安全运营总体上属于比较新概念,在整体设计时避免陷入“网络安全运营”的建设思路,到底该如何做好,本文尝试提出一些初步探索思路。
研究数据安全运营前,有必要把网络安全运营中重点内容分析清楚,下面是梳理后一些参考点:
中国信息安全测评中心官网对信息安全服务资质申请时,其中对安全运营有明确要求,要求申请该服务资质的企业,应该具备十二项“信息安全运营过程能力”,具体见下图:
中国网络安全审查认证对安全运维服务资质认证中,明确提出相关要求,包括:技术实施安全评估、技术实施安全加固、安全漏洞补丁通告、安全事件响应、信息安全运维咨询、信息系统的安全运维工作、修复安全隐患等内容。
CISSP作为安全领域的最专业认证,认证教材CISSP官方学习指南(OSG)第8版“安全运营”也是最核心的知识域之一,对其中内容进行详细学习,可分类三类:
基础安全管理、监管支持:偏向安全运营的管理流程、人员安全、调查和监管的安全支持等。
基础安全运维:安全资产管理、配置资源、漏洞管理、补丁管理、变更流程、物理安全、操作和维护中检测和预防措施。
专业安全运营:日志记录和检测、事件管理、应急响应、灾难恢复、实施恢复策略等专业技术。
理解安全运维与安全运营的区别非常重要,结合工作经验和理解,整理相关区别如下:
适合小规模企业,没有专业安全人员,关注基础安全产品的运行维护,包括安全巡检、配置核查、设备检查、产品升级、补丁更新、规则库更新等内容,目标是保障信息系统的稳定运行,涉及安全资产正确有效防护。
通常以人工为主,对已部署的安全产品进行基础的使用和管理,即“用好”和“管好”,没有各安全产品的联动分析,一般没有统一的分析平台。个人认为该项工作从落地实践看,非常有价值,属于必须要做的事情,就算大型企业也需要落实好。
企业达到一定规模后,大量的事情无法全靠手工执行,需要提升工作效率。
安全运营以“人”“流程”“工具”为核心。通过梳理安全运营中典型流程,通过平台工具进行统一管控、统一策略管理,把各安全产品日志进行综合分析,形成联动分析,整体检测风险、发现预警事件,对企业的整体安全态势进行分析,提升整体效率。
安全运营会涉及专业安全能力,比如安全攻防能力、应急处置能力、灾难恢复能力,均需要专业的人才,出现问题时需要专业人才去解决问题。
工作内容上看,除了安全巡检、资产管理、补丁管理外,需要专业的渗透测试、安全风险评估、威胁管理、情报分析等内容。另外运营需要建立运营指标,把指标进行量化,体现安全运营的价值,比如提升效率、赋能业务、减少风险带来的损失等。
网络安全运营关注网络安全产品、安全事件、应急响应等,从安全日志、网络流量中发现攻击事件,关注对象是网络、信息系统的CIA目标。
数据安全运营关注数据层面的CIA,与业务合规和数据合规强关联。除了基础安全运营外,个人认为重点关注内容如下:
数据资产梳理及分类分级。数据业务分类和数据分级安全保护。
数据安全能力的正确运行、有效配置。比如数据库审计、数据加密(传输、存储)、数据删除、数据备份真实生效等。
账号权限梳理与控制,定义人接触数据的各类场景。
数据全链路的安全监测能力(实时性)。根据数据处理活动每个环节识别风险,类似于人属于随身携带的实时监测,比如实时测血压、心跳等。
通过数据安全风险评估(周期性)全面、全量评估发现存在安全风险,和数据安全标准、合规要求进行对比,体系化的检查风险,属于静态化、周期性的“静态体检”。
API资产管理与技术管控。除了业务侧API,还应关注后端应用程序的内部API管理,及时发现脱离管控API资产。
关注业务软件自带的安全功能。根据业务特点进行定制化安全配置和功能启用,正确的配置业务自带的安全功能,从功能层面而非安全产品层面考虑应用安全。
通过网络安全手段可能无法防范数据泄漏,或者泄漏了都不知道。现在反馈的数据泄漏情况,可能数据很早之前就泄漏,并不是实时泄漏,也无法实时溯源。
数据安全运营面目的是保护数据的CIA,如何监测数据泄漏情况,目前面临较多困境,如下:
防护手段不足。数据库审计、日志审计、脱敏等安全产品无法有效防止数据泄漏,通常是单点考虑问题。
监测预警能力不足,缺少数据层面的监测。比如正常用户的非法窃取、员工安全意识淡薄大量无意识的泄漏,业务、数据管理流程不完善,该下线接口未下线。缺少从数据层面全链路的监测。
人接触数据的场景太多太复杂。任何一点出现问题都将导致数据泄漏,尤其是无意识的泄漏。
数据安全人才综合能力要求太高。缺少缺少业务思维,数据敏感度低,无法从网络视角切换到以数据为中心视角。
没有通用型的解决方案。数据安全行业属性明显,没有一套“网络安全”通用的解决方案,需要结合业务特点进行定制。
数据安全运营是新的概念,按目前经验,个人理解可以分成三阶段开展,如下:
以网络安全为主,把网络安全运营基础打牢,从安全产品底盘做起,把安全产品“管好”和“用好”。从常态化工作做起,定义一些必须要做的工作:
✅ 关注安全资产(增加数据)盘点
✅ 关注软件组件清单,闭环漏洞预警匹配
✅ 建立安全巡检机制,关注产品运行、安全配置、策略配置
✅ 增加安全周报机制,要求关键的业务系统形成周报机制
✅ 关注变更管理和数据基础备份,避免出现异常数据可恢复
在网络安全监测的基础上,建设数据安全防护、监测能力,信息系统、数据资产的统一纳管、安全策略的统一配置。
以数据安全风险评估为抓手,通过周期性的评估机制,对照数据安全的全量标准,主动发现管理、技术、数据处理活动等风险,满足合规基础要求。
运营需要建立指标,需要把安全态势情况进行量化,大屏展示。赋能业务,自动化、智能化提升全链路的风险感知能力。
上述三个阶段,从落地实践角度和大部分信息系统“重建设、轻运营”的特点看,建议关注第一阶段,从无到有建立,定义规范、流程,建立基础安全运营机制,手工的方式建立标准的流程和工作。
从小处着手把网络安全基础运营做好,逐步过渡到数据层面的安全运营。数据安全运营是比较新的内容,个人会持续摸索和实践。
