官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
话说安全大势,日新月异,东西贯通。前有勒索软件,后有漏洞追击。安全运营借势高楼起,横扫天下,人人趋之若鹜。四杰出世,引领风骚;零信任之父,独占鳌头。锦马超一枪决战攻防,孙伯符霸略溯源反制。握筹布画看周郎,子龙长枪扫八方。伯言火烧七百里,傲骨狂血魏文长。群英荟萃,乱世争锋。安全运营谁堪伯仲间?风流人物,还看今朝。
安全虎将
虎帐谈兵按六韬,江南最属陆逊高。妙计连连,诱敌深入,火烧联营七百里。何以为社稷之臣?艺高胆大,为他人不敢为。何以平安全威胁?零信任,方能持续信任。
人物台词:
联营反制,其势如火。尽破敌之精锐。
技能属性:
零信任模式下不能成为攻击目标。
当攻击方被诱骗入内时,发动联营反制,可实现多倍伤害。
可选择易容一次防御系统做诱饵,欺骗攻击方入内,免伤效果增强。
人物背景:
持安科技联合创始人兼CEO。
英雄战绩
“浅析如何基于开源工具建设企业安全运营平台”部分节选
一、安全运营平台的定位
在开始构建安全运营平台时,我们要先确认下对安全运营平台的定位什么,明确目标后方才能有的放矢。得益于安全运营四杰等一众大佬的推动,安全运营当前还处于在快速完善,形成共识的过程中,因此对安全运营,或是更进一步的,这个主题中要讨论的安全运营平台都有各自不同的解释,因此有必要先确认共识,什么是运营?什么是安全运营?什么是安全运营平台?
在此以笔者个人对安全运营、运营平台的认知抛转引玉,并非标准答案。
什么是运营:按照百度词条对运营的解释是“运营就是对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称。从另一个角度来讲,运营管理也可以指为对生产和提供公司主要的产品和服务的系统进行设计、运行、评价和改进的管理工作。”,浓缩来看,运营实际是一个不断优化、改进的过程。
什么是安全运营:安全运营本质上就是对企业安全系统和服务的优化、改进的过程,从而提升安全能力,常用的改进方法比较常见的是基于PDCA戴明环的思想,即即Plan(计划)、Do(执行)、Check(检查) 和 Act(处理)。
什么是安全运营平台:安全运营平台可以理解为承载安全运营过程的载体、工具,通过平台来有效的提升安全运营效能,持续性,可以将人员的知识转化为平台能力而持续更新和迭代,达成PDCA目标。
二、安全运营平台组件
那么构建一个完整的安全运营平台,需要哪些系统组件呢?就我个人理解,并没有一个标准答案,原因在于按第一章所言,安全运营本质上是针对特定目标的优化、持续改进的过程,所以目标不同,所需要的组件也会不一样,例如可以是针对一些特定场景的安全运营平台:
以提升入侵检测、响应能力为目标的SIEM类分析运营平台
以企业资产安全防护,漏洞处置能力提升为目标的资产安全运营平台
以提升代码软件质量为目标的代码质量运营平台
等等其他类型
除了上述针对单一场景的平台建设外,将多种平台能力整合的情况也越来越普遍,通过整合多种能力来提高整体的安全运营能力,而非某一个特定的单点能力提升。
如果回到业务流程上来看,大部分的安全运营平台核心还是在于数据,所有的发现、处置、优化、提升都需要基于数据的维度来进行,举个例子,抽象出来的逻辑关系如下:
数据输入:对安全运营所需的数据进行采集、输入、格式化、存储
业务处理:根据安全运营所需进行业务处理,例如对采集的数据匹配分析、调用第三方功能模块进行漏洞检测、调用拦截模块进行阻断等
数据输出 :将业务处理完后的必要数据进行输出,例如告警输出、可视化输出、或是作为新的数据源再反向输入到下个处理逻辑中
针对上面的流程可以得出,我们最需要的组件,基础是基于各类数据的统一处理平台,以及针对处理后的数据按照业务场景需求进行处理的模块,这里面我们可以借助很多优秀的开源项目来搭建,至于开源项目的选择可以根据自己的业务目标去选择,下面我们具体用一个实例来举例说明。
此处内容摘取于《2021企业安全运营实践研究报告》中“浅析如何基于开源工具建设企业安全运营平台”章节,由持安科技联合创始人兼CEO何艺根据多年安全运营研究心得及经验展现,更多详细内容敬请关注完整版报告。