国内的大趋势 随着国家间网络空间安全立法和司法的完善,网民、客户的安全意识在逐步提升,以及国家之间在数据安全上的博弈,安全运营的重要性会越来越高,也会促进安全合规、安全运营过程的统一。 那么在安全基础建设在做的这个阶段,我们就需要安全运营工程师去维护好,后期去迭代好,毕竟企业安全建设是一个漫长的过程。目前大趋势下很多企业这个阶段还在做安全基础建设中,部分在发展阶段,想着用最小的成本得以最大的安全化。
安全运营工程师的职责那么这个时候就需要安全运营工程师,这个岗位既可以做安全工程师也可以做渗透测试。 一个项目,从立项设计、架构评审、实现、测试、发布、运营的全周期都要安全工程师参与进去。然后该岗位又可以做到运营该做的事情,对内来说全体员工的安全意识培训,可以定期在公司开展”网络安全周“,不是去强迫公司员工去知道安全这个重要性,而是让员工能通过一些小细节去知道原来我不注重的话,会给公司带来哪些威胁甚至产生哪些损失。这样他们就能真正去体会到安全重要性。员工参加线上安全培训和考试,综合给评分,建议对应的同学、管理者有针对性的提升自己的能力。协调安全部门与其他业务线研发部门沟通。
对外的品牌宣传力,甚者有的企业安全部门做的比较大,需要去维护SRC,定期发布新颖活动,维护白帽子的关系,提高src的漏洞的量。现在也有很多甲方安全部门经常出去参加各种议会议题的演讲,这个其实也就是在做品牌力。做企业安全建设不能”闭关锁国“,有必要走出去跟其他安全人员进行沟通交流。 如果把安全运营这个岗位分两种方向,可以划分技术运营和非技术运营方向。
那么技术运营的方向主要是以态势感知,漏洞流程的发现,整改,验证机制,以及关注于防御能力,这里又可以划分动态联动防御和静态防御能力管理。 那么非技术运营的话,主要还是从合规,SRC,情报,业务安全运营,员工安全教育为主。 1、合规不仅需要考虑网络安全法,等级保护2.0.更多的是需要了解ISO27000等国际通用法规以及行业法规。
2、SRC方面上面也给大家提到过白帽子和活动的策划运营为主,要知道咱们做SRC的目的是什么。
3、情报这一块我们主要做的内容是情报运营,威胁梳理与分析,情报响应闭环。其实情报线索这一块咱们去研判的时候主要也就是什么人在什么时候用什么方法做了什么事情。这个是最主要的,我们去建设SRC也就是增加情报搜集来源的途径。
4、业务安全运营的话主要是以不同部门沟通协调,不同领域的学习以及分支管理为主。
5、最后一个尤为重要,员工的安全教育不仅仅是入职之前的背调,到入职以及最后的离职都是需要进行一套完善的安全教育,其中因为公司人员属于不同职能部门,所以针对技术类部门与管理类,行政类部门要分开进行专业能力提升,安全意识包含法律法规以及日常工作需要注意的安全防范以及社工识别。后续也可以增加些关于我们企业文化的培训,提升员工对企业的友好舒适感。
安全运营中的难题安全运营岗位是一个具有很大挑战性,所做的事情也是很多的,需要考虑的点很多。那么无论是在推动安全协调工作还是在去提升公司全体员工安全意识落地都会遇到很多阻力。很多人员都会觉得安全运营去宣传是没有技术含量的,在大规模企业里,符合价值观的宣导工作,对安全运营的效果是非常明显的。其实安全运营所面对的问题阻力有一部分也是CSO在工作当中会遇到的问题,比如高层领导不重视安全建设,各部门不协调安全部门的工作。对外的安全部门品牌力的宣传以及议会分享协调过程都是需要安全运营去做。 所以在日常安全运营工作中,我们要及时更进一些安全流程,去分析,解读,用数据的形式去展示,让各个业务线能够信任我们安全,让大家觉得我们是一支非常专业的可靠的安全团队。
安全运营中心的产生那么当下趋势来看,我们在安全运营方面存在哪些问题,过多的企业还是在注重于传统的安全建设,比如更多的去部署更多安全设备,不注重于安全团队整体能力的提升,对于安全事件的发生,最终也无法形成一个良好闭环。所以到后面大家又会提到一个词:SOC 大多都在去构建安全运营中心。虽然从大角度来看企业安全建设不同公司不同业务线是存在不同的安全建设路线,同样安全运营中心也是如此,但是大体核心功能,我认为应该是具备以下 1、快速响应能力 2、威胁情报挖掘能力 3、漏洞全生命周期管理能力 4、7*24小时不间断服务能力 真正去达到安全风险可控,安全能力可量化发展。 因此,安全运营不仅仅是需要应急响应工具,安全运营平台,还需要更多专业的安全专家,更需要一套完整完善的流程化,其中不乏资产管理流程,威胁情报流程,漏洞管理流程,事件处理流程。保证效率高,成本低,持续化运营下去。
如何组建SOC首先需要确立应急响应处理流程,第一步梳理安全事件的类型,产生原因以及影响范围。 第二步快速提供止损的方案,将损失降到最低程度。 第三步查找安全事件产生的原因以及整治方案。 第四步一定要确保受影响的系统完全恢复安全状态 第五步总结与梳理还原整个安全事件,学习以及找到根本原因之后整理放到公司wiki里。 同时需要建设SIEM(日志收集平台),TDP(威胁检测平台),ITP(安全事件追踪记录平台),IDP(IOC检测平台) 最后SOC需要进行有效的协作:主动检测响应与被动应急响应
放眼未来,安全运营前景从当下来看,国家在大力主持发展网络安全产业,越来越多的互联网企业也在加速完善自身的企业安全建设,到后期已经不在缺乏基础安全建设,更多的是需要安全运营去维护好,迭代好后面的阶段。并且本身作为安全运营工程师就需要具备基础安全工程师所需要的能力,未来还是很好的岗位。
|