安全运营做什么
关于安全运营做些什么的简单整理,以前做的笔记,后续要完善一下。
5大质问
-
什么人在攻击我们?
-
哪些资产正在遭受攻击?
-
攻击有什么趋势?
-
主要的攻击手法有哪些?
-
我们最大的风险点在哪里?
安全运营的日常就是对海量告警去粗取精的“萃取”的过程。
如何萃取安全数据
Event-Alert-Threat-Incident
从Event到Incident处理流程
-
告警生成
-
归一化,聚类分析
-
规则特征
-
算法模型
-
威胁情报
-
-
威胁生成
-
合并压缩
-
丰富化
-
误报筛选
-
置信度(置信区间展现的是这个参数的真实值有一定概率落在测量结果的周围的程度)
-
-
威胁累积
- 场景汇聚
-
态势感知与响应业务场景
-
资产评分
-
威胁评分
-
威胁运营
-
安全事件
实际案例
从安全事件分析角度
安全数据分析、安全事件分析是安全运营的一个核心模块,是一种服务、支持的能力。安全运营本身是为安全事件分析提供支撑,连接威胁狩猎(如果有的话)和应急响应中心,相当于企业安全“部队”中的指挥部。 安全运营为安全事件分析提供支撑,是整体网络安全保障。包括:
- 网络安全规划
- 资产梳理
- 安全设备管理
- 渗透测试
- 漏洞扫描
- 威胁监控
- 安全事件分析
- 应急响应
- 风险评估等过程、服务
覆盖到网络安全的各项工作,但是每一项服务又不是单独存在的个体,而是相互关联、重叠、交互,形成网络安全生态体系。[1]
简单来说,安全运营是企业安全的中枢,负责许多事务的处理,但不是每个方面都直接执行。比如上述讲到的应急响应、漏洞扫描、渗透测试,可能归属于事件响应部门(Incident Response),风险评估和处置可能归属于风控部门(Risk Management)等。
图:安全运营涉及到的工作