PCSA安全研究院‖安全运营的定义、目标与核心能力

2022-03-25 14:14:29 581

1、什么是安全运营？

狭义安全运营是为以资产为核心，以安全事件管理为关键流程，依托于安全运营平台，建立一套实时的资产风险模型，进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系。

广义安全运营是一个技术、流程和人有机结合的复杂的系统工程，通过对已有的安全产品、工具、服务产出的数据进行有效的分析，持续输出价值，解决安全风险，从而实现安全的最终目标。

3、安全运营的核心目标是什么？

安全运营构建安全运营体系、安全知识体系，融合、增强安全能力，以“安全能力”进行赋能，以“安全数据”提供决策，以“运营能力”作为交付，通过该运营模式来发现问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化，实现安全的共同目标。

4、安全运营包括哪些方面的内容？

安全运营包括安全运营管理体系、安全运营支撑体系、安全运营服务体系、安全合规与检查体系四大部分。安全运营管理体系解决安全组织、制度、流程的问题；安全运营支撑体系解决安全运营的平台与支撑工具的问题；安全运营服务体系解决安全运营周期性、日常性工作的落地的问题；安全合规与检查体系解决合规测评、风险整改的问题。

5、安全运营中心需要哪些核心能力？

安全运营中心需要提升的核心能力主要有四个，包括1）精准定位已知威胁；2）深度检测未知威胁；3）丰富安全事件场景；4）辅助安全运营决策。

1）精准定位已知威胁：单点安全检测设备能够产生有价值的告警，但往往被低质量的告警所淹没了，所以需要从海量数据中进行精准定位。

2）深度检测未知威胁：单点安全设备检测高级威胁、未知威胁能力有限，同时安全威胁已经扩展到用户行为、业务异常等领域，所以要弥补单点安全设备检测能力短板。

3）丰富安全事件场景：利用事件（Event）、日志（Log）产生告警（Alert），再进一步聚合成安全事件（Incident），以及整合资产、漏洞、威胁等上下文数据，明确攻击链条、事件时间线以及风险等级。

4）辅助安全运营决策：针对安全事件能够清晰的描述发生了什么？为什么发生？未来会不会发生？该如何应对？为进一步安全响应，以及安全防御措施完善，提供决策指导。

6、如何抓住并实现安全运营的重点？

随着信息化与安全成熟度的提高，通过实时大数据安全分析技术，从海量数据中判定攻击失陷，已经是安全运营的核心关注点与必然趋势。简单来说，安全运营本质就是从Event到Accident的过程。

安全运营涉及到“事件”的包括Event、Incident、Accident三个词，虽然三个词直译都以称为“事件”，但在安全管理标准、安全管理平台定义中却出现不同的词，可见它们之间是存在着细微差别的。

1）对Event的理解

Event在有些安全标准里会被翻译成“事态”，直白理解就是事情的状态，从风险管理角度看，它只是一种状态而已，还不涉及到潜在的损失，可能是一种风险的潜在因素，也可能不是。

举个例子来讲，一个办公室的门没有关，这个“门没关”就属于Event，只是一种状态，不去考虑为什么没关，或者应不应该关，没有产生风险，也没有带来损失。

在安全管理平台中，SIEM中的E就是这个Event了，采集上来的告警也好，日志也好，其实都是一种客观的状态记录，这些都是进行安全分析所需要的原料，通过分析引擎进行分析后产生全新的告警。

2）对Incident的理解

Incident在安全标准里通常被翻译成“事件”，也就是事件与应急管理中的“事件”。从风险管理角度看，它不再只是一种状态，而是变成了一种风险，可能会带来或者已经带来了损失。

还是上面的例子，如果这个办公室是存放着敏感资料的话，这个门按规定是需要默认关闭的，这个门没有关就不再只是一种状态，而是一种风险事件了，由于可能带来损失，所以是需要处置的。

在安全管理平台中，将多个安全告警进行聚合，按时间顺序或攻击路径排列，这个就是Security Incident，有些产品将其命名为“安全事件”。比如一次病毒的传播，可能影响了多台终端，由于攻击目的地址不同，告警是无法合并的，但可以聚合成一个Security Incident。

3）对Accident的理解

Accident在安全标准里通常被翻译成“事故”，它不再是一种潜在风险，而是确定已经产生了损失。从风险管理角度看，Incident与Accident是包含与被包含关系，Accident是程度更加严重的Incident。

还是上面的例子，如果这个办公室是存放着敏感资料的话，有一个小偷趁着门没有关把资料偷走了，由于确实造成了损失的既成事实，所以这个就属于Accident，是一次安全事故了。

在安全管理平台中，目前并没有看到单独的Accident概念，它被包含在Security Incident里面了，但在作为一个好的安全管理平台，是需要通过丰富的上下文信息来帮助分析人员，能够快速判断是否造成了Accident。

另外，如果确定已经发生Accident的话，是需要编制针对性的专题报告的，那么安全管理平台是否可以提供足够的信息，方便安全分析人员完成报告编制，甚至是能够自动化导出事故报告，这也是安管平台的一个挑战。

7、关于安全运营的一些总结

当前安全管理的理念与方法正在通过管理平台与技术手段逐步得到了落地，从而使安全管理与技术的融合度越来越高。比如态势感知中的指标、大数据分析中的场景，都可以与信息科技风险管理的关键风险指标KRI，以及信息安全管理中的有效性度量很好地结合起来。安全管理平台、自动化编排与响应也同样需要与事件管理、应急响应融合贯通。

PCSA联盟介绍

数字中国、网络强国战略指引全国各领域都在走向数字化，中国的数字化率将大幅提高，未来国家级、行业级、城市级关键信息基础设施、重要信息系统将成为经济社会运行的神经中枢。未来面临的网络安全挑战越来越清晰和紧迫，主要包含：

威胁挑战：由黑客组织升级到敌对势力、霸权国家网络空间超限战威胁挑战
转型挑战：由烟筒式系统升级到大数据、大平台、大系统、大运营、大安全挑战
防御挑战：由合规性基础防御升级到神经中枢强化防御和多方协同防御挑战
安全挑战：在面临高水平攻击“常态化、实战化”情况下，确保“资产清晰化、风险动态化、能力生态化”的基础上满足“监测实时化、防御体系化、威胁预警化、响应迅速化、信息共享化、指挥精确化”的安全运营一体化挑战。

面对四大挑战，PCSA持续协同中国关键安全能力者打造共生平台《数字化资产关联基础库》、《数字化安全能力基础库》、《数字化风险情报基础库》、《网络安全日常管理及运营平台》、《一体化对抗蓝方平台》、《战略决策协同指挥平台》、《云安全一体化综合服务平台》、《数据流动安全监管平台》、《第三方供应商与应用开发代码安全管控平台》实现从供应链安全，合规基础保护，强化保护，协同保护，实现预测、防御、检测、响应的实时动态闭环的运营体系，实现信息共享、应急协同，一体化指挥清晰，确保数字社会神经中枢的安全稳定运行，填补技术空白持续为用户打造安全中枢不断努力。

未来，PCSA联盟与生态合作伙伴面对网络空间安全领域的共性顽疾、共性问题，持续用共生的方法共同解决，充分发挥社会组织桥梁和纽带作用，对接政府、产业和企业，为国家信息安全保障作出贡献。

PCSA成立于2016年10月20日北京

PCSA愿景：聚合中国关键安全能力、赋能数字智能时代

PCSA价值观：质由新生信仰共造

PCSA使命：持续为用户打造安全中枢

--实战化智能安全运营中心专家

--主责数据保护与流动安全监管专家

致力于：网络空间安全业务平台化、安全平台运营化等科研创新及落地等

--研究问题与趋势网络空间安全长期共性问题网络空间安全未来共性需求

--创新解决与突破网络空间安全落地共性顽疾网络空间安全关键技术和模式

--研发服务与平台网络空间安全整体服务运营网络空间安全生态共性平台