智能安全運(yùn)營(yíng),不得不說(shuō)的秘密! |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-10-20 瀏覽次數(shù): |
信息來(lái)源:51cto 很多企業(yè)購(gòu)買(mǎi)了安全產(chǎn)品和安全服務(wù),建立團(tuán)隊(duì)來(lái)建設(shè)和運(yùn)營(yíng)安全體系,但是還是遇到諸多問(wèn)題。比如:企業(yè)采購(gòu)大量異構(gòu)的安全設(shè)備,分散各處,產(chǎn)生海量日志,給日志分析、事件處置帶來(lái)了困難; IT高層被大量碎片化信息所淹沒(méi),無(wú)法宏觀判斷,有效決策;IT運(yùn)維人員到處救火,每次重大安全事件保障都會(huì)手忙腳亂的應(yīng)對(duì),效率低下,無(wú)法真正發(fā)揮出設(shè)備和平臺(tái)的能力…… 在復(fù)雜且快速變化的大環(huán)境中,如何有效地保障企業(yè)安全,是擺在每個(gè)企業(yè)面前的關(guān)鍵問(wèn)題。 安全運(yùn)營(yíng)新趨勢(shì) 企業(yè)購(gòu)買(mǎi)安全產(chǎn)品和安全服務(wù),花錢(qián)雇傭安全工程師,目標(biāo)是要解決問(wèn)題,而解決問(wèn)題不僅僅是把一個(gè)安全產(chǎn)品買(mǎi)回來(lái)、拿到一份安全報(bào)告就結(jié)束的事情。隨著安全管理和技術(shù)的發(fā)展,安全運(yùn)營(yíng)被提到越來(lái)越重要的地位。 在管理學(xué)中,對(duì)運(yùn)營(yíng)有個(gè)定義“運(yùn)營(yíng)就是對(duì)運(yùn)營(yíng)過(guò)程的計(jì)劃、組織、實(shí)施和控制,是與產(chǎn)品生產(chǎn)和服務(wù)創(chuàng)造密切相關(guān)的各項(xiàng)管理工作的總稱(chēng)”。而安全運(yùn)營(yíng),就是為了實(shí)現(xiàn)安全目標(biāo),提出安全解決構(gòu)想、驗(yàn)證效果、分析問(wèn)題、診斷問(wèn)題、協(xié)調(diào)資源解決問(wèn)題并持續(xù)迭代優(yōu)化的過(guò)程。通過(guò)安全運(yùn)營(yíng)過(guò)程的統(tǒng)籌管理,滿(mǎn)足企業(yè)安全的動(dòng)態(tài)性、持續(xù)性和整體性需求。 近幾年來(lái),安全運(yùn)營(yíng)發(fā)生很多變化,我們看到有一些趨勢(shì): 1、從“被動(dòng)防御”到“主動(dòng)響應(yīng)” 傳統(tǒng)安全體系關(guān)注邊界防御,把企業(yè)網(wǎng)絡(luò)部署成銅墻鐵壁,但是企業(yè)IT系統(tǒng)上云,移動(dòng)互聯(lián)網(wǎng)成為業(yè)務(wù)標(biāo)配,網(wǎng)絡(luò)邊界越來(lái)越模糊,帶來(lái)新的安全挑戰(zhàn)。安全體系開(kāi)始從“被動(dòng)防御”,向“主動(dòng)響應(yīng)”轉(zhuǎn)變,與其被動(dòng)挨打,不如快速發(fā)現(xiàn),及時(shí)響應(yīng),減少風(fēng)險(xiǎn),降低損失。 2、從“碎片化”到“可視化” 很多企業(yè)在網(wǎng)絡(luò)中部署不同的安全設(shè)備,大量多樣性設(shè)備產(chǎn)生海量日志,信息分散,分析手段匱乏,難以看清全局安全狀態(tài),極大影響安全運(yùn)營(yíng)的效率和效果。隨著平臺(tái)技術(shù)的發(fā)展,安全體系開(kāi)始從“碎片化”向“可視化”轉(zhuǎn)變,通過(guò)平臺(tái)可視化和大數(shù)據(jù)分析技術(shù),提高運(yùn)營(yíng)效率,感知全局安全態(tài)勢(shì)。 3、從“操作規(guī)范”到“效率優(yōu)先” 對(duì)大部分企業(yè)來(lái)說(shuō),安全運(yùn)維就是定期發(fā)現(xiàn)漏洞,修補(bǔ)漏洞;配置安全設(shè)備策略,基于業(yè)務(wù)變化調(diào)整策略;針對(duì)攻擊或事故,應(yīng)急響應(yīng),等等,運(yùn)維人員在繁雜的安全操作中,努力尋求“操作規(guī)范”。但是隨著企業(yè)IT環(huán)境越來(lái)越復(fù)雜,越來(lái)越多的以經(jīng)濟(jì)利益為目的的安全事件的出現(xiàn),企業(yè)安全運(yùn)營(yíng)已關(guān)系到企業(yè)的業(yè)務(wù)發(fā)展甚至存亡。企業(yè)不再滿(mǎn)足于“操作規(guī)范”,而是要“效率優(yōu)先”,用更好的安全技術(shù)和產(chǎn)品,來(lái)提升安全運(yùn)營(yíng)效率,實(shí)現(xiàn)企業(yè)安全目標(biāo)。 總的來(lái)說(shuō),一方面安全運(yùn)營(yíng)向“主動(dòng)響應(yīng)、可視化、效率優(yōu)先”演變,另一方面合規(guī)驅(qū)動(dòng)了安全運(yùn)營(yíng)的發(fā)展。 隨著等保2.0國(guó)家標(biāo)準(zhǔn)的正式發(fā)布,安全管理平臺(tái)、安全運(yùn)營(yíng)服務(wù)成為安全體系的“標(biāo)配”。今天的安全運(yùn)營(yíng),數(shù)據(jù)是核心,分析是靈魂,人員是紐帶,企業(yè)從資產(chǎn)發(fā)現(xiàn)、安全監(jiān)控、數(shù)據(jù)分析、情報(bào)預(yù)警、協(xié)同處置等方面,構(gòu)建“預(yù)測(cè)、保護(hù)、檢測(cè)、響應(yīng)”的自適應(yīng)安全能力。 綠盟科技的智能安全運(yùn)營(yíng)之道 1、安全運(yùn)營(yíng)體系 新型的網(wǎng)絡(luò)安全威脅層出不窮,高風(fēng)險(xiǎn)等級(jí)的安全事件不斷出現(xiàn),這將是未來(lái)安全行業(yè)的“新常態(tài)”。每一次重大的“安全事件”都是對(duì)安全組織的一次重大考驗(yàn)。從獲取敵情、武器到位、到大規(guī)模實(shí)施“安全服務(wù)”、監(jiān)視和閉環(huán)管理等要素活動(dòng)都對(duì)安全組織的能力提出更高的挑戰(zhàn)。 因此,未來(lái)的企業(yè)安全運(yùn)營(yíng)體系建設(shè),需要關(guān)注以下幾個(gè)方面: 1)能夠在戰(zhàn)略和戰(zhàn)術(shù)上利用威脅情報(bào); 2)能夠利用機(jī)器學(xué)習(xí)、復(fù)雜統(tǒng)計(jì)分析或預(yù)測(cè)算法等技術(shù)進(jìn)行安全建模和高級(jí)分析; 3)能夠快速、準(zhǔn)確的取證調(diào)查和威脅追溯; 4)能夠進(jìn)行持續(xù)的監(jiān)控與分析,構(gòu)建自適應(yīng)體系; 5)盡可能的自動(dòng)化,提升安全運(yùn)營(yíng)效率; 2015年,全球知名市場(chǎng)分析機(jī)構(gòu)Gartner提出了自適應(yīng)架構(gòu)框架(ASA),到2018年,已演進(jìn)為持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估體系(CARTA),受到越來(lái)越多的安全廠家和客戶(hù)的認(rèn)可。 CARTA從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度,以持續(xù)監(jiān)控和分析為核心,持續(xù)構(gòu)建自適應(yīng)體系架構(gòu),以平臺(tái)為中心整合各類(lèi)安全能力,協(xié)調(diào)人員處置事件,然后通過(guò)安全管理流程與制度的落地,通過(guò)安全運(yùn)營(yíng)團(tuán)隊(duì)的有效組織,打造“安全、可信、合規(guī)”的安全運(yùn)營(yíng)體系。 基于Gartner提出的安全運(yùn)營(yíng)架構(gòu),綠盟科技在2016年提出并打造了適應(yīng)市場(chǎng)新變化的下一代安全運(yùn)營(yíng)體系:即以IT資產(chǎn)為基礎(chǔ),以業(yè)務(wù)系統(tǒng)為核心,在持續(xù)監(jiān)控和分析的基礎(chǔ)上,通過(guò)連續(xù)響應(yīng),自適應(yīng)調(diào)整防護(hù)策略,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的動(dòng)態(tài)防御,形成閉環(huán)的安全運(yùn)營(yíng)體系。 2、綠盟智能安全運(yùn)營(yíng)平臺(tái) 基于多年態(tài)勢(shì)感知、企業(yè)安全管理平臺(tái)建設(shè)經(jīng)驗(yàn),綠盟科技發(fā)布了全新版本,重磅推出綠盟智能安全運(yùn)營(yíng)平臺(tái)(NSFOCUS Intelligent Security Operation Platform,iSOP),這是遵循綠盟智慧安全2.0理念,以運(yùn)營(yíng)為中心,智能化、全場(chǎng)景的統(tǒng)一安全管理平臺(tái)。iSOP以大數(shù)據(jù)框架為基礎(chǔ),結(jié)合威脅情報(bào)系統(tǒng),通過(guò)對(duì)攻防場(chǎng)景的機(jī)器學(xué)習(xí)、威脅建模、場(chǎng)景關(guān)聯(lián)分析、異常行為分析以及安全編排自動(dòng)化、可視化呈現(xiàn)等技術(shù),幫助客戶(hù)建立和完善安全態(tài)勢(shì)全面監(jiān)控、安全威脅實(shí)時(shí)預(yù)警、資產(chǎn)及漏洞全生命周期管理、安全事故緊急響應(yīng)能力。通過(guò)獨(dú)有的自適應(yīng)體系架構(gòu),為安全運(yùn)營(yíng)提供可靠的信息數(shù)據(jù)支撐,協(xié)助客戶(hù)快速發(fā)現(xiàn)和分析安全問(wèn)題,并通過(guò)運(yùn)維手段實(shí)現(xiàn)安全閉環(huán)管理。 說(shuō)起綠盟智能安全運(yùn)營(yíng)平臺(tái),不得不說(shuō)它的“智能”特性,體現(xiàn)在事前智能預(yù)警、事中智能分析、事后智能響應(yīng)三個(gè)方面。 ◆事前智能預(yù)警 綠盟威脅情報(bào)中心(NSFOCUS Threat Intelligence center, NTI)是綠盟科技依賴(lài)多年的安全經(jīng)驗(yàn)和情報(bào)數(shù)據(jù)積累推出的一款威脅情報(bào)分析和共享平臺(tái),可為用戶(hù)提供及時(shí)準(zhǔn)確的威脅情報(bào)數(shù)據(jù)。 借助NTI的威脅情報(bào)支撐,用戶(hù)通過(guò)綠盟智能安全運(yùn)營(yíng)平臺(tái)可及時(shí)洞悉資產(chǎn)面臨的安全威脅進(jìn)行準(zhǔn)確預(yù)警,了解新的威脅動(dòng)態(tài),實(shí)施積極主動(dòng)的威脅防御和快速響應(yīng)策略,結(jié)合安全數(shù)據(jù)的深度分析全面掌握安全威脅態(tài)勢(shì),并準(zhǔn)確地進(jìn)行威脅追蹤和攻擊溯源。 ◆事中智能分析 經(jīng)過(guò)多年的安全攻防研究和安全服務(wù)經(jīng)驗(yàn)積累,面向不同安全業(yè)務(wù)場(chǎng)景,綠盟智能安全運(yùn)營(yíng)平臺(tái)構(gòu)建多種智能安全分析引擎,包括多源數(shù)據(jù)關(guān)聯(lián)分析引擎、攻擊鏈分析引擎、安全態(tài)勢(shì)理解及推理引擎、威脅情報(bào)分析引擎、機(jī)器學(xué)習(xí)引擎、用戶(hù)行為分析引擎等。 舉個(gè)例子,綠盟智能安全運(yùn)營(yíng)平臺(tái)提供用戶(hù)異常行為分析,使用高級(jí)分析方法和機(jī)器學(xué)習(xí)的模型,對(duì)用戶(hù)和實(shí)體(例如ip地址、應(yīng)用、設(shè)備和網(wǎng)絡(luò)等)的行為進(jìn)行評(píng)估、關(guān)聯(lián)并建立基線,能夠發(fā)現(xiàn)內(nèi)鬼作案。 ◆事后智能響應(yīng) 在日常安全運(yùn)維中,策略配置等操作繁瑣而且容易出錯(cuò),造成響應(yīng)不及時(shí),處置出錯(cuò),效率低下。綠盟智能安全運(yùn)營(yíng)平臺(tái)通過(guò)安全編排和自動(dòng)化響應(yīng)技術(shù)(SOAR),將不同數(shù)據(jù)集和安全技術(shù)編排在一起,以自動(dòng)化的方式驅(qū)動(dòng)事件智能處置,來(lái)提高安全運(yùn)營(yíng)效率。其核心是最小化事件響應(yīng)過(guò)程中重復(fù)性任務(wù)的人工干預(yù),幫助加速問(wèn)題的解決。 總結(jié) 作為業(yè)務(wù)、場(chǎng)景和數(shù)據(jù)三驅(qū)動(dòng)的自適應(yīng)安全綜合管控平臺(tái),綠盟智能安全運(yùn)營(yíng)平臺(tái)將原本分散的各種安全信息予以整合提煉,不但使運(yùn)維效率大幅度的提高,而且使運(yùn)維人員的安全分析視角在廣度和深度方面得到全面的突破,進(jìn)而推動(dòng)了以人為安全運(yùn)營(yíng)主體向以平臺(tái)為安全運(yùn)營(yíng)主體的安全運(yùn)營(yíng)思路進(jìn)行躍變,可逐步降低運(yùn)維人員在安全運(yùn)營(yíng)中的投入比重,盡可能實(shí)現(xiàn)智能化的安全自運(yùn)營(yíng)治理生態(tài)體系。 |
下一篇:互聯(lián)網(wǎng)大數(shù)據(jù)與物聯(lián)網(wǎng)大數(shù)據(jù)的區(qū)別 |