甲方乙方視角下的安全運營

一、甲方視角下的安全運營

0x1：甲方安全運營概述

隨着國家對信息安全的推動，我國企業對於信息安全的意識和重視程度也在不斷提升。很多優秀的企業對於自身的企業安全也自發提出了越來越多的要求。傳統的安全建設往往聚焦於企業安全的某個或某幾個環節，並不能兼顧統一運營，或運營成本耗費大量人力物力。不論在效率還是質量上都存在比較明顯的短板。

近幾年，隨着大型互聯網企業在企業信息安全的探索，逐漸提出了安全運營的概念。我們從傳統的運營類的崗位類比，運營的職責是爲了保證最終目標而不斷診斷分析、提出需求或問題、推動優化、協調各方資源、完成閉環達成目標的一類工作。而對於企業安全的最終保證需求，也作爲安全運營的職責，需要通過安全運營從業者對企業安全的各個環節進行診斷分析、提出要求需求、推進優化、協調資源等最終落地。

當然在當前的大環境下，甲方安全運營工程師往往會遇到各種各樣的問題，爲了保證企業安全在各環節上最終目標效果，往往要採取很多種方式、方法、產品、服務來實現，甚至有些甲方安全運營工程師會因此主動組織開發一些程序，使得整個環節變得更加可控。從甲方的訴求上，我們可以明顯感到對於企業安全保障是甲方最直接最迫切的剛需。

0x2：甲方安全運營人員的職責和技能需求

安全運營人員的最重要的是解決問題的能力，在因地制宜規劃安全運營體系、診斷企業安全狀態、提出問題和需求、推進問題整改、協調各方資源最終實現運營落地閉環等關鍵節點上的體現尤爲重要。因此甲方視角下安全運營人員應具備的技能可能是：

• 具有信息安全技術背景，對安全建設具有充分的認識和了解，具有信息安全管理經驗，具有良好的清晰總結表達能力，能夠利用自己的能力解決不同場景的問題。
• 具備一定的安全服務、開發、運維等相關知識背景，並且對於安全管理方案諮詢有一定經驗，能夠根據不同場景問題提出合理的解決方案。
• 具有較好的溝通能力，可以在安全工程師、安全開發工程師、業務和研發之間進行良好的協作協調。
• 具有數據驅動意識，能夠利用數據推動優化分析，並能夠自主開發相關的工具。
• 具有較強的責任感，能夠爲達到目標主動進行各種優化和調整

0x3：甲方安全運營的具體內容

基礎的安全運營是包括威脅情報、Web漏洞檢測、流量監測、終端監測與防護、態勢感知等內容，涵蓋了企業應對各種網絡攻擊的措施。

安全運營就是根據所在公司和安全運營產品的需要，以任意多種方式配置安全運營生態系統的一種流程。其中包含的技術有信息數據蒐集技術、安全信息與事件管理工具、工作流和漏洞響應管理與優先級排序、威脅情報與機器學習運營、風險管理治理與企業負面風險評估、工作流程與自動化數據處理等。

 

二、乙方視角下的安全運營

0x1：乙方安全運營概述

在乙方安全的概念逐漸普及，國內安全廠商逐漸從面向安全技術產品研發向面向客戶需求靠攏的過程中，乙方安全廠商在面對客戶的運營需求的過程中，也提出了很多自己的解決方案。

一方面乙方安全廠商具備提供相應服務的基礎條件；另一方面根據行業趨勢及企業安全成熟度，爲了更好地適應市場環境推出相應的產品及服務也是迎合市場發展的需要。

乙方安全運營也從一開始的傳統安全角度駐場服務，到提供相應安全運營相關平臺，再到企業安全運營系列解決方案轉變。

從安全運營的關注點上，乙方的視角更多地關注各關鍵環節防治管控上。乙方的視角安全運營可以根據不同資產所屬區域進行相對詳盡細緻的劃分，大致分爲強控制區、區域控制、邊界防護、暴露面。從支撐體系上又可以大致分爲管理體系、技術體系、運營體系。通過對各體系內容的梳理可以更清晰地看出乙方視角中所關注的安全運營各環節的內容重點。

乙方安全運營概述如下圖所示。

0x2：乙方安全運營人員的職責和技能需求

根據乙方安全運營服務能力的需求，在紅隊攻擊、企業防禦、運營改進優化、安全事件或隱患處置、威脅情報、技術賦能、安全管理等方面都有一定的需求或要求。

乙方對安全運營人員的技能要求相對於甲方的要求更爲專業。

• 具有安全運營相關的暴露資產監測、安全防護管控策略、威脅狩獵、應急處置、安全運維等基本能力。
• 具有安全響應落地執行能力。
• 具有一定的軟件開發能力，能夠參與全週期安全運營工作、建設、開發等服務工作。
• 具有項目推動能力，對執行、記錄、管理、評估、優化、聯動等不同成熟度能夠獨立推動進行。
• 具有良好的溝通能力，能夠輔助跟進分析安全運營環節中的問題，並能夠輔助甲方安全運營負責人開展相關工作。

0x3：乙方安全運營的具體內容

因此乙方一般將安全運營定義爲以資產爲核心、以安全事件管理爲關鍵流程、採用安全域劃分的思想、建立一套實時的資產風險模型，協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。

 

三、甲方安全運營與乙方的區別

甲方和乙方的安全運營是一種相互補充，相互促進的關係。

• 甲方安全運營爲結果負責，更關注解決問題的效果和效率，擅長利用系統的管理方法量化風險、統一管理、建立一套安全運營體系，通過落地優化流程將風險逐步降低。
• 乙方安全運營更加關注通用性和針對性，不同場景下通用的方案是什麼，針對性的問題方案有哪些，並傾向於對風險的治理講究策略的有效性，通過將乙方優勢內容策略化、產品化，最終形成產品或服務輔助甲方進行安全落地。

簡單地說，就是甲方注重結果效果和效率，乙方注重將自身安全積累通過產品服務形式輸出，更注重有效性提升。

實際上從安全運營整體成熟度上看，一個成熟的安全運營需要有一個執行、記錄、管理、評估、優化、聯動的平臺，而這個平臺的開發不論是落在甲方自研還是藉助乙方開發的平臺而運用都是安全運營逐漸走向成熟的過程。

 

四、安全運營痛點

0x1：過多的安全設備告警

隨着企業安全中安全產品的增多，安全運營工程師所要處理的安全事件告警正逐漸變得越來越多。而由於運營中所使用的產品的質量參差不一，導致產生的告警很多，尤其是在一些運營商或數據中心的場景下，安全事件的每日告警量正變得越來越多。甚至有些安全設備監測到的誤報的成功的告警佔所有安全事件80%。

在告警過多的情況下，有很多誤報的告警沒有辦法第一時間處理和補救，因此導致安全運營人員在應對安全事件告警上顯得力不從心，進而影響到日常運營過程中的工作效率。

0x2：大規模業務場景

沒有適應性的安全運營平臺可以直接使用。在很多互聯網企業中，由於自身的業務系統相對繁雜，並且大規模的業務數據交互過程中想要做到安全運營，緊緊依靠傳統的安全運營來應對是不足以應對其複雜的業務場景。

因此，企業要麼採取自研平臺的方法，要麼使用相對檢測功能強大且規則配置相對靈活一些的產品來應對。不論哪種方式都需要一定的成本來維護，但相對來說後者是絕大部分企業的選擇。

0x3：告警誤報問題

衆所周知，浪費時間來判斷一個誤報的告警事件往往是一件很痛苦的事情。原因可能有兩個，

• 一個是安全事件分析的時間成本、人力成本大幅增加
• 一個是誤報的不僅僅是在判斷成功的安全事件，還有在判斷不成功的安全事件上由於誤報導致漏報

因此，安全運營的過程中通過設備產品的選型、安全設備的策略更新、安全設備的自定義規則庫的易用性上，將會是日常安全運營面對。

通常在很多場景下，某些業務數據出發誤報情況也算屬於特有的比較普遍的問題，這也同樣需要自定義的相對靈活的告警配置來應對。

0x4：防禦缺口

由於傳統企業安全並未將各安全縱深防禦產品作爲一個整體運營，因此在鑑傷研判、追蹤溯源等過程中存在較大的協作困難，往往需要頻繁登錄切換不同的產品平臺查詢對比數據分析關聯，也因此往往在碎片化的數據分析中出現遺漏，造成防禦方面的空白。

先進的威脅情報管理系統，在應對這一部分安全運營環節時可以扮演不同技術關聯及關鍵數據關聯的線索，在適當的環節共享或調用情報數據，起到協同分析研判的作用。當然我們還可以通過工作流的設計，按照級別設置自動化的應對措施，在觸發時自動進行應對，來積極主動應對。

0x5：知識協同問題

除了安全產品外，安全團隊的情報無法共享也導致無法第一時間與團隊並行處理調查，這些調查工作往往相互隔離但又相互關聯，一些關於對手的戰術、技術和過程等調查記錄應第一時間可以和團隊共享。

0x6：混亂的環境

混亂的環境表現在，當需要採取行動的時候，各團隊並未相互協作，並且效率低下，缺少一個團隊之間互相協調監控任務時間表和結果的管理平臺。例如，威脅監測分析人員、安全運營中心和事件應急團隊人員之間應該可以協同工作，縮短應急響應和補救時間。