中國安全運營(yíng)最佳實(shí)踐

中國的安全和風(fēng)險管理（SRM）領(lǐng)導者常常感到他們的安全運營(yíng)方法不再發(fā)揮效果。這是因為多數安全運營(yíng)中心（SOC）是根據以往的IT環(huán)境和威脅環(huán)境設計的，因此無(wú)法有效地檢測和應對當前以及未來(lái)的攻擊。

中國獨特的監管要求和安全市場(chǎng)，為安全運營(yíng)設定了具體的限制。中國的SRM領(lǐng)導者要取得成功，不能簡(jiǎn)單地照搬國外安全實(shí)踐，而要綜合考慮本土情況。在中國，業(yè)務(wù)部門(mén)和云服務(wù)提供商在安全運營(yíng)中也發(fā)揮著(zhù)關(guān)鍵作用。因此，安全運營(yíng)需要轉變?yōu)楦踊ヂ?lián)和靈活的運營(yíng)模式，而非無(wú)休止地擴展SOC地規模和范圍。

構建并平衡企業(yè)的SOC模式

中國政府針對安全運營(yíng)發(fā)布了一系列的法律、方針和標準，SOC可幫助企業(yè)機構檢測并防御來(lái)自?xún)韧獠康耐{。在規劃建立SOC或優(yōu)化現有SOC時(shí)，中國的SRM領(lǐng)導者應考慮需求和業(yè)務(wù)價(jià)值、技術(shù)采用范圍和SOC模式，以確定SOC的目標。

24/7全天候的內部SOC團隊通常需要至少12人，分別負責監控和檢測、事件響應和追蹤、威脅情報和檢測，以及自動(dòng)化工程（SOC職責實(shí)例見(jiàn)圖1）。一些企業(yè)機構對安全運營(yíng)有很大需求，但由于安全專(zhuān)業(yè)人員短缺、預算緊張、以及24/7全天候安全運營(yíng)的高昂成本等原因，無(wú)法負擔完整的內部SOC團隊。另一些企業(yè)機構雖然意識到自身安全運營(yíng)不成熟，但由于數據的敏感性或監管限制，無(wú)法將功能全部外包。

圖1：安全運營(yíng)中心職責示例

混合SOC是解決上述問(wèn)題的良策，可通過(guò)結合內外部資源來(lái)提供完整的SOC功能。

與業(yè)務(wù)和CPO合作，確保安全運營(yíng)適應互聯(lián)互通的IT新環(huán)境

數字化時(shí)代下的中?化安全管理與去中?化決策

數字化和云擴大了內外部網(wǎng)絡(luò )資產(chǎn)的邊界和攻擊面，安全運營(yíng)的范圍和復雜性也隨之擴大和提高。傳統SOC，無(wú)論內部、外包或混合式，都不應局限于單純的IT相關(guān)職責，而應涵蓋所有用于支持數字化及云端部署的網(wǎng)絡(luò )資產(chǎn)。高效的SOC應整合安全資源和能力，同時(shí)對職責進(jìn)行劃分，推動(dòng)業(yè)務(wù)部門(mén)的決策。這就需要制定復雜的團隊合作，對角色和責任進(jìn)行細致的理解和界定（見(jiàn)圖2）。

圖2：數字時(shí)代安全運營(yíng)的互聯(lián)方法

云安全運營(yíng)模型

在進(jìn)行云遷移時(shí)，SRM領(lǐng)導者應充分了解安全運營(yíng)職責，并與云提供商明確職責劃分。在內部責任方面，SRM領(lǐng)導者應根據企業(yè)機構面臨的云計算的獨特挑戰，選擇一種安全運營(yíng)方法，以應對這些挑戰。SRM領(lǐng)導者需要確定，云安全運營(yíng)是要嵌入到常規云運營(yíng)中，還是嵌入常規安全團隊中，或自成一個(gè)獨立的職能團隊。

利用云原生工具和攻擊面管理來(lái)發(fā)展SOC能力

云原生安全工具的集成

安全運營(yíng)須緊跟變革的步伐，利用軟件即服務(wù)（SaaS）和云基礎設施和平臺服務(wù)，適應云轉型帶來(lái)的擴張和增長(cháng)。多數云安全問(wèn)題是由分散在云中各種服務(wù)和技術(shù)的錯誤配置造成的。由于云資源具有彈性、使用期短和可編程的特點(diǎn)，因此云安全運營(yíng)需高度依賴(lài)腳本和自動(dòng)化。

SRM領(lǐng)導者的優(yōu)先事項之一就是要選擇云安全功能，解決云部署中的可見(jiàn)性、錯誤配置和特權活動(dòng)問(wèn)題。

成熟的SOC需要利用攻擊面管理發(fā)現問(wèn)題并確定問(wèn)題的優(yōu)先級

對于大多數企業(yè)機構來(lái)說(shuō)，中國的數字化轉型使其網(wǎng)絡(luò )資產(chǎn)的數量和復雜性陡增。在中國每年進(jìn)行的國家級攻防演練中，我們注意到，識別和分類(lèi)資產(chǎn)以及去除不必要的資產(chǎn)以減少攻擊面是重中之重。安全團隊可利?新興的攻擊?管理技術(shù)，從內部管理的?度和外部攻擊者的?度，克服資產(chǎn)可?性和漏洞管理等?期問(wèn)題。

在真實(shí)場(chǎng)景中測試并強化SOC的有效性

表1展示了測試SOC有效性的三種典型方法，旨在發(fā)現差距并為擴展提供依據。

這三種測試方法各有長(cháng)處。SRM領(lǐng)導者應選擇適合自身情況和需求的測試方法。自2016年以來(lái)，中國的企業(yè)機構對于攻防演練越來(lái)越重視，并希望將其納入日常安全運營(yíng)中。