中小企业构建高效的安全运营策略思路

乙方的安全专家会从多个角度向甲方阐述安全运营的重要性,例如威胁狩猎、APT、态势感知等等角度。但是吧,注重这些高端安全问题的甲方毕竟还是少数,例如我的上家公司,乙方来跟我讲 APT,实际上我内心是非常复杂的...以前司的体量,我甚至怀疑攻击者做 APT 的资金、人力成本投入足够买通大部分人做内鬼了.

乙方的安全专家会从多个角度向甲方阐述安全运营的重要性,例如威胁狩猎、APT、态势感知等等角度。但是吧,注重这些高端安全问题的甲方毕竟还是少数,例如我的上家公司,乙方来跟我讲 APT,实际上我内心是非常复杂的...以前司的体量,我甚至怀疑攻击者做 APT 的资金、人力成本投入足够买通大部分人做内鬼了...(笑

对于中小型公司,他们想做安全运营的原因非常简单:

团队希望基于现场实际情况,统筹管理信息安全产品、服务、人员,并打通一条能自运行的链路

对于有钱的甲方,可以说难听点:花钱买平安,把安全花一笔钱打包交给乙方厂商托管并统一把控运行,关键时刻有人背锅即可。

那没钱(不想花太多钱)买服务怎么办呢?

毕竟安全运营的核心是通过已有的安全系统、工具来生产有价值的安全信息,把它用于解决安全风险,从而实现安全的最终目标,因此我们从需要系统地评估和集成最适合我们需求的工具,围绕以上目标,做好安全运营的基础技术:

  • 首先,确定哪些工具可以帮助我们监控和分析安全事件,例如各种网络设备,AC、AF、WAF、IDS等

  • 接下来,强化数据的整合与分析能力是关键。通过使用开源 SIEM,可以将不同来源的安全数据集中在一起,进行统一的处理和分析,我强力推荐 Wazuh,但是用 ELK Stack也不是不行

  • 此外,开发自动化工具来增强应急响应是必要的,可以不追求 SOAR,但自动化脚本和工作流不能没有吧?检测到安全事件时快速反应,例如自动隔离受感染的系统,或是打电话发邮件等(随着流程、脚本越来越多,最终团队可能还是要上 SOAR 的,毕竟维护一堆文档、脚本和流程真的很耽误时间)

  • 安全培训和教育很重要,要知道,如果中小型公司没法花太多钱再安全上,那就只能全民皆兵了。定期的做培训、案例分析、响应分析可以提高整个公司对最新安全威胁的认知和应对能力,确保(几乎)每一个团队成员都可以在面对安全问题时,做出迅速的反应,反应可以不一定正确,但是一定要迅速,自己搞不清楚就往上捅,发现什么可疑的操作及时发出来大家讨论

  • 进行制度与流程的梳理,从流程角度上,将安全和其他研发和管理者的工作结合起来;从技术角度上,对安全部门和其他部门进行隔离,也就是说安全实际执行的工作可以归并到安全部门身上,但要将工作过程与成果,以流程的形式转移、通知到其他部门(我是指安全团队极小甚至只有一个人的情况下)

通过这些步骤,我们基本能完成中小企业中比较有效的安全运营与建设。

举个例子,假设你按照上面的思路大体建设完毕,假设某一天你(或者全民皆兵的某个研发)发现了一条安全告警中存在转化为存在演变成安全事故的可能时,首先识别、确认并提流程,流程可能涉及到研发、安全团队、运维等多个团队,最终走完全部流程,但这一条流程中产生的实际变更可能只是研发改一行代码,或者运维人员添加一条新规则到防火墙。

但是以上流程涉及多个和各业务负责人和执行人等多个节点,这些节点就形成了一个运营本次安全告警的流程。我可以对各个节点的流转时间进行采集分析,在若干次发生之后,我就能告诉管理层,安全团队的告警处置运营流程中,每个节点均时多少,某个节点运行周期过长,原因是什么,应该如何优化。当上层对安全有了感知,才能够更重视安全,在以上环节中,安全运营最重要的事不一定是技术相关,更多的是通过制度流程将技术问题转化为管理问题。

可能前面说的还是有点抽象,安全运营具体要怎么做是很复杂的,买买买能解决很多问题,但假设安全团队一穷二白,什么都没有全都要从零开始时,我的建议是:中小企业的安全运营别想什么情报、APT、狩猎之类的,做好资产管理、安全监测和漏洞防护就已经很难了。

  • 资产管理:资产管理最关键的问题,很多企业对自己到底有多少资产也是一脸懵逼;以内网资产清单为例,大概流程就是:先用工具搜集现有资产清单,然后做内网漏扫设备扫描,最后结果汇总并联系各团队负责人做详细信息补充;这一步比较耗时,看起来技术含量不高,但还真是没什么特别好的工具能彻底理清楚内网资产到底有啥...一般都是工具 + 手动扫的形式

  • 安全监测:这是一个比较复杂的实现难点,假设企业很小,安全团队投入不高,当面对告警风暴时,安全团队大概率是没能力去解决的,解决方案第一个是外包出去,毕竟很多服务大厂有维护大型的 L2 团队,但缺点是要上云呀,数据要出去,很多内网数据都是不能走出去的...第二个解决方案就是上 SOAR,使用标准化和自动化机制来协助自身解决问题,这里需要一个支持自动化剧本流程执行、自动工单管理、携带离线知识库的运维管理平台,如果不用自动化,整理文档写文档这事是一个无底洞...

  • 漏洞防护:资产梳理之后,漏洞这一步就轻松很多了,漏洞自动扫描、确定漏洞如何修补、无法修复的漏洞应该如何防护等。

按照上面套路就能做出一个很初级但有效的安全运营流程框架了,后续可以不断补充完善框架就够了。

如何交付和向上管理?

要知道,安全部门是纯纯的成本,大环境不好时很容易失业并没法找到下家的,你如何向上交付你的工作呢?少和上层谈技术,多给他们一些能理解的形象化的结论才行。我的建议是:少文字,多画图,很多人有阅读障碍,你写一堆今天产生了多少安全告警、有多少漏洞之类的管理层压根不会看,他们只会看今天一共执行了多少工单,涉及了多少流程,均时多少,人均工作量之类的;还有哪些地方出现了安全问题,影响范围有多大,处置了多长时间,是谁导致的安全漏洞之类。

LICENSED UNDER CC BY-NC-SA 4.0
Comment