中國安全運(yùn)營最佳實(shí)踐
中國的安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者常常感到他們的安全運(yùn)營方法不再發(fā)揮效果。這是因?yàn)槎鄶?shù)安全運(yùn)營中心(SOC)是根據(jù)以往的IT環(huán)境和威脅環(huán)境設(shè)計(jì)的,因此無法有效地檢測(cè)和應(yīng)對(duì)當(dāng)前以及未來的攻擊。
本文引用地址:http://cafeforensic.com/article/202207/435946.htm中國獨(dú)特的監(jiān)管要求和安全市場(chǎng),為安全運(yùn)營設(shè)定了具體的限制。中國的SRM領(lǐng)導(dǎo)者要取得成功,不能簡(jiǎn)單地照搬國外安全實(shí)踐,而要綜合考慮本土情況。在中國,業(yè)務(wù)部門和云服務(wù)提供商在安全運(yùn)營中也發(fā)揮著關(guān)鍵作用。因此,安全運(yùn)營需要轉(zhuǎn)變?yōu)楦踊ヂ?lián)和靈活的運(yùn)營模式,而非無休止地?cái)U(kuò)展SOC地規(guī)模和范圍。
構(gòu)建并平衡企業(yè)的SOC模式
中國政府針對(duì)安全運(yùn)營發(fā)布了一系列的法律、方針和標(biāo)準(zhǔn),SOC可幫助企業(yè)機(jī)構(gòu)檢測(cè)并防御來自內(nèi)外部的威脅。在規(guī)劃建立SOC或優(yōu)化現(xiàn)有SOC時(shí),中國的SRM領(lǐng)導(dǎo)者應(yīng)考慮需求和業(yè)務(wù)價(jià)值、技術(shù)采用范圍和SOC模式,以確定SOC的目標(biāo)。
24/7全天候的內(nèi)部SOC團(tuán)隊(duì)通常需要至少12人,分別負(fù)責(zé)監(jiān)控和檢測(cè)、事件響應(yīng)和追蹤、威脅情報(bào)和檢測(cè),以及自動(dòng)化工程(SOC職責(zé)實(shí)例見圖1)。一些企業(yè)機(jī)構(gòu)對(duì)安全運(yùn)營有很大需求,但由于安全專業(yè)人員短缺、預(yù)算緊張、以及24/7全天候安全運(yùn)營的高昂成本等原因,無法負(fù)擔(dān)完整的內(nèi)部SOC團(tuán)隊(duì)。另一些企業(yè)機(jī)構(gòu)雖然意識(shí)到自身安全運(yùn)營不成熟,但由于數(shù)據(jù)的敏感性或監(jiān)管限制,無法將功能全部外包。
圖1:安全運(yùn)營中心職責(zé)示例
混合SOC是解決上述問題的良策,可通過結(jié)合內(nèi)外部資源來提供完整的SOC功能。
與業(yè)務(wù)和CPO合作,確保安全運(yùn)營適應(yīng)互聯(lián)互通的IT新環(huán)境
數(shù)字化時(shí)代下的中?化安全管理與去中?化決策
數(shù)字化和云擴(kuò)大了內(nèi)外部網(wǎng)絡(luò)資產(chǎn)的邊界和攻擊面,安全運(yùn)營的范圍和復(fù)雜性也隨之?dāng)U大和提高。傳統(tǒng)SOC,無論內(nèi)部、外包或混合式,都不應(yīng)局限于單純的IT相關(guān)職責(zé),而應(yīng)涵蓋所有用于支持?jǐn)?shù)字化及云端部署的網(wǎng)絡(luò)資產(chǎn)。高效的SOC應(yīng)整合安全資源和能力,同時(shí)對(duì)職責(zé)進(jìn)行劃分,推動(dòng)業(yè)務(wù)部門的決策。這就需要制定復(fù)雜的團(tuán)隊(duì)合作,對(duì)角色和責(zé)任進(jìn)行細(xì)致的理解和界定(見圖2)。
圖2:數(shù)字時(shí)代安全運(yùn)營的互聯(lián)方法
云安全運(yùn)營模型
在進(jìn)行云遷移時(shí),SRM領(lǐng)導(dǎo)者應(yīng)充分了解安全運(yùn)營職責(zé),并與云提供商明確職責(zé)劃分。在內(nèi)部責(zé)任方面,SRM領(lǐng)導(dǎo)者應(yīng)根據(jù)企業(yè)機(jī)構(gòu)面臨的云計(jì)算的獨(dú)特挑戰(zhàn),選擇一種安全運(yùn)營方法,以應(yīng)對(duì)這些挑戰(zhàn)。SRM領(lǐng)導(dǎo)者需要確定,云安全運(yùn)營是要嵌入到常規(guī)云運(yùn)營中,還是嵌入常規(guī)安全團(tuán)隊(duì)中,或自成一個(gè)獨(dú)立的職能團(tuán)隊(duì)。
利用云原生工具和攻擊面管理來發(fā)展SOC能力
云原生安全工具的集成
安全運(yùn)營須緊跟變革的步伐,利用軟件即服務(wù)(SaaS)和云基礎(chǔ)設(shè)施和平臺(tái)服務(wù),適應(yīng)云轉(zhuǎn)型帶來的擴(kuò)張和增長(zhǎng)。多數(shù)云安全問題是由分散在云中各種服務(wù)和技術(shù)的錯(cuò)誤配置造成的。由于云資源具有彈性、使用期短和可編程的特點(diǎn),因此云安全運(yùn)營需高度依賴腳本和自動(dòng)化。
SRM領(lǐng)導(dǎo)者的優(yōu)先事項(xiàng)之一就是要選擇云安全功能,解決云部署中的可見性、錯(cuò)誤配置和特權(quán)活動(dòng)問題。
成熟的SOC需要利用攻擊面管理發(fā)現(xiàn)問題并確定問題的優(yōu)先級(jí)
對(duì)于大多數(shù)企業(yè)機(jī)構(gòu)來說,中國的數(shù)字化轉(zhuǎn)型使其網(wǎng)絡(luò)資產(chǎn)的數(shù)量和復(fù)雜性陡增。在中國每年進(jìn)行的國家級(jí)攻防演練中,我們注意到,識(shí)別和分類資產(chǎn)以及去除不必要的資產(chǎn)以減少攻擊面是重中之重。安全團(tuán)隊(duì)可利?新興的攻擊?管理技術(shù),從內(nèi)部管理的?度和外部攻擊者的?度,克服資產(chǎn)可?性和漏洞管理等?期問題。
在真實(shí)場(chǎng)景中測(cè)試并強(qiáng)化SOC的有效性
表1展示了測(cè)試SOC有效性的三種典型方法,旨在發(fā)現(xiàn)差距并為擴(kuò)展提供依據(jù)。
這三種測(cè)試方法各有長(zhǎng)處。SRM領(lǐng)導(dǎo)者應(yīng)選擇適合自身情況和需求的測(cè)試方法。自2016年以來,中國的企業(yè)機(jī)構(gòu)對(duì)于攻防演練越來越重視,并希望將其納入日常安全運(yùn)營中。
評(píng)論