潛在的網絡威脅、網絡安全挑戰層出不窮
如何確定網絡安全?
山石雲·景賦能中小企業安全營運
讓安全更有效
【找準邊界,吃定安全】往期文章:
從通路控制談起,再看零信任模型
威脅情報加持,泛邊界下的全局主動防禦體系如何着手?
流量劇增?看山石網科如何打破傳統限制
一 . 安全營運理念
在新冠疫情、新型安全事件層出不窮的大背景下,網絡安全産業呈現出創新、變革的發展趨勢,這促使企業不斷探索新的技術和方法,來應對潛在的網絡威脅。在這種形勢下,安全營運作為網絡安全常态化建設中的一項重要内容,被認為是應對現有網絡安全挑戰的有效方法。
1. 什麼是安全營運
從狹義層面來看,安全營運是以 IT 資産為核心,以威脅事件管理為關鍵流程,利用安全營運平台,建立的一套實時的 IT 資産風險評估模型,是進行事件發現、風險分析、預警管理和應急響應處置的集中安全管理體系。
從廣義層面來看,安全營運是一個将技術、流程和人有機結合的複雜系統工程,通過對已有安全産品、工具和服務産出的資料進行有效的分析,持續輸出價值,解決安全問題,以確定網絡安全為最終目标。
2. 協同安全營運體系
做好安全營運,首先需要建構起标準化的安全營運體系,協同“安全能力”進行賦能,協同“安全資料”提供決策,協同“營運能力”作為傳遞,通過這樣的協同營運模式來發現問題、驗證問題、分析問題、響應處置、解決問題并持續疊代優化,進而實作網絡安全。
安全營運包括了四大體系,分别是安全營運管理體系、安全營運支撐體系、安全營運服務體系、安全合規與檢查體系:
安全營運管理體系解決安全組織、制度、流程的問題。企業需要根據國家資訊安全等保相關規定、ISO27000 資訊安全管理體系标準以及業界最佳實踐等,建立起安全營運管理體系架構,将安全方針、目标、制度、規範、流程進行限制,界定日常安全營運的範圍、職責和程式,規範日常安全營運行為,保障安全營運的有序、高效運作。
安全營運支撐體系解決安全營運的平台與支撐工具的問題。企業首先需要協同防火牆、防毒牆、入侵防禦檢測系統、Web 應用防火牆、漏洞掃描等安全防護類産品,建立從實體層、網絡層、到應用層的整體安全防護措施;然後建立起統一的安全營運平台,協同各類安全資源,在進行安全風險感覺的同時,開展安全管理、指揮排程、安全風險監測、事件應急處置等活動,依托安全營運中心開展持續的監控、檢測、評估、整改、指揮排程等工作,形成網絡安全營運的閉環管理。
安全營運服務體系解決安全營運周期性、日常性工作落地的問題。安全營運服務體系的關鍵在于營運人員的專業程度,專業化的安全營運團隊需要開展安全事件的事中、事後處理,及時阻斷或消除安全威脅,對發生的安全事件進行溯源,對産品、工具及服務産出的資料進行有效分析,查找引發威脅事件發生的原因,總結安全處理預案,調整安全技術政策,串聯起發現問題、驗證問題、分析問題、響應處置問題、持續疊代優化的整個安全營運生命周期過程。
安全合規與檢查體系解決合規測評、風險整改的問題。企業首先需要根據安全管理制度和技術政策開展落實情況檢查,查找制度、技術政策落實方面的不合規行為,促進制度與技術政策的有效落實,同時針對制度、流程方面的問題進行有效整改;企業還需要通過技術手段與人工檢查分析等手段,對資訊系統的安全威脅與脆弱性進行檢查評估,尋找網絡安全方面的弱點和短闆,不斷優化、完善技術政策。
是以,我們所說的協同安全營運體系,是指将制度流程、産品技術、專業人員以及安全資料進行協同,實作安全營運體系的整個閉環,保證我們的關鍵資訊系統資産得到有效保護。
3. 動态安全營運
網絡安全是動态的而非靜态的,保證網絡安全不能一勞永逸,需要樹立動态的防護理念,攻擊者技術不斷更新,網絡安全防禦技術就要在與安全威脅的對抗中持續提升。這不僅點明了企業網絡安全營運的要點,也指明了網絡安全營運的方向,網絡安全營運作為網絡安全正常保障建設的一項重要内容,企業需要深入把握這一理念,持續推進安全營運工作。
此外,等保 2.0、資料安全法、網絡安全法等法規制度的不斷出台,促使我國的安全頂層設計逐漸完善,也推動企業的安全需求從被動、靜态、産品堆砌的安全運維向主動監測、快速預警、有效關聯、準确處置的閉環式動态安全營運體系轉變。企業需要的安全已經不再隻是合規,而是能夠不斷自我疊代優化、演進、提供持續性能力輸出的安全營運保障體系。
實作動态的安全營運,一方面需要安全營運圍繞業務系統,随着威脅與響應、攻與防的變化而演進,從第三方獨立視角,讓産品、技術、平台、人員各司其職,協同發揮最大作用,從管理、制度、流程等多方面進行優化及改進安全建設,滿足“解決安全風險”的訴求,實作業務動态安全的建設目标;另一方面需要建立快速、靈活的網絡安全監控、預警、研判、決策、處置、追溯、報告機制,加強聯系、排程、流程平台的建設,建立完善的安全應急處置預案,規範化應急指揮流程,加強對指揮流程的演練,增強第一時間對安全事件進行響應與處理的能力。
利用資訊化手段促進安全事件的快速響應和處理是實作動态安全營運理念的重要展現。比如企業可以建立安全感覺大資料平台,在傳統的安全營運監控基礎上,建立安全記錄檔及安全裝置類報警的大資料平台,并引入威脅情報建立安全大資料資源底盤。利用大資料分析技術及算法建構多種分析模型,對海量安全日志進行綜合關聯分析,實作對安全事件的預測,增強安全風險感覺能力,輔助安全營運人員決策,提前對可能的安全事件做出處理,防患于未然;另外,企業可以通過建設網絡安全 SaaS 雲服務,在安全營運中心平台對安全監控、安全政策、安全事件排程管理的基礎上,實作與安全事件流程的對接,在突發安全事件處理上可通過 SaaS 服務及時響應。
二 . 中小企業的安全營運挑戰
目前企業網絡管理人員基本上都具備了一定的網絡安全意識,初步形成了一套網絡安全營運機制,對日常網絡安全營運工作具有一定的應對能力。
對于像銀行、能源等頭部企業,在安全建設上的特點是預算充裕、對業務的安全要求極高、普遍擁有規模不小的内部安全團隊。在安全建設方面,他們也能夠根據自己的業務系統去建構自身的安全防禦體系。這類群體不僅自身非常重視安全營運,而且也擁有安全營運的能力。
腰部企業的特點是有一定的安全預算,對安全的關注重點在于合規,這一點同上面的頭部企業有着明顯的差別,但在内部安全團隊建設方面,可能就隻有幾個專職甚至兼職的人員去做。這決定了這類客戶的安全能力普遍較弱,安全團隊從人員數量到人員素養都難以進行高效的安全營運。
中小企業是體量最大的群體。在數字化轉型的過程中,更多擁抱數字化的其實是中小企業。這類群體的特點是,對業務的重視程度高于其他方面,是以在安全相關方面投入普遍較少,即便有預算也非常緊張,而在安全人員的配置方面幾乎沒有。是以,這類企業主要是通過購買簡單的、标準的安全産品或安全服務來解決安全問題,其自身是很難有能力去做安全營運的。
新技術的大量引入和企業業務模式的變化也導緻近年來網絡安全事件發生更加頻繁,勒索病毒、蠕蟲木馬、漏洞攻擊、掃描滲透等網絡攻擊手段層出不窮。單靠被動響應,中小企業無法及時發現風險源頭,也無法快速實作業務恢複,企業業務也是以會造成巨大損失。即使部署了大量的安全裝置,企業也缺乏全局視角的安全管理和故障響應能力,是以中小企業的網絡安全營運面臨着嚴峻的挑戰。
三 . 山石雲·景賦能中小企業安全營運
面對中小企業客戶所面臨的網絡安全營運挑戰,山石網科基于動态、協同的安全營運理念,通過山石雲 • 景——雲端安全營運與管理平台,從産品、技術、平台和人員這四個次元,來幫助中小企業解決安全營運方面所面臨的諸多問題。
山石雲 • 景是一款 SaaS 化的安全營運管理平台,可以在雲端為廣大中小企業使用者提供便捷、高效、高成本效益的增值安全營運服務。使用者可以通過 Web 和手機 APP 方式按需登陸使用,實時進行安全裝置監控與運維、威脅發現與處置、資産管理與報表輸出,實作在雲端的一站式安全營運管理。
1. 協同安全運維,實時資源監控
山石雲 • 景作為安全營運管理平台,首先能夠對山石網科的安全資源進行統一納管。山石雲 • 景能夠納管包括下一代防火牆、入侵檢測與防禦系統、Web 應用防火牆、負載均衡、态勢感覺平台在内種類豐富的山石網科安全産品,協助使用者梳理安全資産,實作高效監控與運維。通過對山石網科安全資源的納管,企業實作了對産品次元的協同,為企業進行安全營運打下基礎。
安全産品被納管入山石雲 • 景後,山石雲 • 景首先會對安全裝置資源情況進行實時監測,如CPU、記憶體、網絡流量等資訊,同時擷取裝置的系統資訊、特征庫資訊以及授權時長資訊等;可周期、智能地對安全裝置下發巡檢任務,針對潛在的問題和風險給出優化和處置建議,輸出裝置巡檢報告;雲 • 景還配置了裝置資源使用的告警規則,支援多種通知的實時告警,幫助運維人員及時發現安全資源風險情況,讓中小企業能夠輕松實作對安全裝置的運維。
2. 動态威脅發現,及時響應處置
山石雲 • 景秉持動态、協同的安全營運理念,充分利用前沿技術手段建構安全事件的快速響應和主動防禦能力,圍繞業務系統,把持續的威脅檢測、威脅分析和響應處置固化到日常中小企業安全營運的工作中。
威脅發現與分析方面,山石雲•景作為整個威脅發現和處置流程中的循環主體,首先會從安全裝置端擷取威脅日志,原始日志到資料湖,并引入雲端威脅情報引擎和雲沙箱作為安全大資料資源底座,然後利用大資料分析技術及算法建構多種分析模型,對海量的安全日志進行綜合關聯分析,進而實作對安全威脅事件的準确預測。
響應處置方面,山石雲 • 景發現威脅事件後會第一時間通過短信、郵件、站内信、移動 APP 等途徑推送給安全運維人員,運維人員接收資訊後可基于自身評估和判斷進行威脅阻止,包括采取 IP攔截、一鍵斷網等操作,實作威脅事件的快速響應和處置。
通過以上能力,山石雲 • 景将平台和技術實作協同,幫助中小企業建構起以主動監測、快速預警、有效關聯、準确處置為特點的閉環式可持續安全營運體系。
3. 增值托管服務,輕松安全營運
面對中小企業安全營運和運維的壓力,山石網科充分發揮可持續協同安全營運理念當中人的作用,将安全産品、工具(山石雲 • 景)和山石網科安全專家相結合,為使用者提供高成本效益的 MSS 安全托管服務,保障企業自身的網絡安全。
在該服務中,山石網科安全産品以下一代防火牆、入侵防禦檢測、Web 應用防火牆等優勢産品為基礎,為客戶提供單點安全檢測和防護能力,同時将原始日志及檢測結果上送至山石雲 • 景平台進行關聯分析;山石雲 • 景作為安全營運的平台類工具,提供資産管理、安全監控、威脅分析發現、關聯處置等平台能力,以動态的安全營運理念實作威脅的持續發現和響應處置;山石網科安全專家依靠多年來積累的安全營運管理和實戰對抗經驗,以多角度、多層次、全方位的安全營運理念,利用山石雲 • 景平台,為使用者提供高品質的安全營運服務。山石網科 MSS 安全托管服務真正地把産品、技術、平台、人員實作了高效協同,充分發揮出了協同安全營運的作用。
通過山石網科 MSS 安全托管服務,中小企業能夠很大程度上減少在安全營運和運維方面的人員和成本投入,同時還進一步提升了企業安全營運的整體水準,讓企業安全營運無憂。
是以,對于中小企業而言,動态和協同的安全營運是提高網絡安全防禦的一條可行通道,而能夠踐行這一理念的途徑,采用山石雲 • 景和 MSS 安全托管服務,不失為一種保障自身網絡安全的高成本效益選擇。
參考資料:
1、安全内參公衆号《安全營運的定義與核心目标》部分内容
2、中國資訊安全公衆号《關于網絡安全營運實踐思考》部分内容
3、中國資訊安全公衆号《網絡安全營運與實踐初探》部分内容