企业的安全建设总是随着信息化建设而逐步建立和完善的。随着企业部门分支机构和系统规模的不断扩大,其安全设备逐渐臃肿。这使得IT团队不堪重负,误报率居高不下,不同的安全策略相互锁定,响应效率低下,同时还面临业务团队的拒绝和抵制。
安全已经成为企业做好网络安全的重要抓手。近日,安全419走进专注于SaaS安全运营服务的南京聚明网络科技有限公司,与其创始人唐凯达先生共同探讨现代安全运营所需的能力和价值观,为企业顺利开展常态化安全运营提供参考。
运营是系统+平台+人的有机结合。
"安全运行是信息发展的产物."唐凯达告诉我们,现代企业的日常办公和生产依赖于许多不同的系统和应用来提高管理、协作和效率,自然也有越来越多的配套安全设备。这些类型和形态各异的产品主要是单点防护,缺乏综合分析和统一联动,难以发现深层次的网络威胁。通过安全运营,将产品、服务、人员组织和流程有机整合,可以帮助企业提高安全管理水平,保证生产经营的常态化和可持续性。
因此,安全运营常被称为“解决安全问题的最后一公里”。据安全419观察,安全运营已经成为企业安全建设的必由之路。然而,面对数字时代日益危险的网络威胁,已经搭建安全运营平台或配备安全运营团队的企业仍然损失惨重。唐凯达表示,安全运营不等于单一的工具,而是系统+平台+人的有机结合,每个环节都会影响安全运营的有效性。
制度是指导企业安全运行持续运行的机制和过程。早期的安全运营更倾向于安全运维,旨在保证信息系统的稳定运行。随着外部监管的收紧和业务转型升级,对安全提出了更高的要求,安全运营需要输出更高的价值,比如发现未知威胁、明确资产弱点、规范安全事件处理、提升效率和质量等等。因此,在企业安全成熟度的不同阶段,需要构建合适的安全运营体系,并匹配合适的形式和内容。
平台作为安全运营不断发展形成的产品形态,需要承载监测、采集、分析、管理等一系列功能。数字时代背景下,数据海量、多样、异构,考验着平台的数据处理能力。攻击复杂未知,平台需要更智能的分析能力;威胁无孔不入,平台的检测和响应能力能否与黑客抗衡也很关键。此外,平台需要与现有的网关设备、终端安全设备和外部威胁情报相配合,才能达到更好的安全处置和管理效果。
它是对人的安全、员工的安全意识、安全员的数量和技能的衡量,也是影响安全建设工作和发展成果的重要因素之一。如果缺乏专业人员来操作,就很难与IT、业务、管理、监督等部门进行有机联动。安全管理难度大,效率低,安全工具的应有价值可能发挥不出来。
以上三个因素给企业开展安全运营带来了现实挑战。汤凯达分析认为,各行业头部企业和实力雄厚的大型集团仍有能力招聘专家级安全技术人才,自建功能完善的安全运营平台,匹配适应的流程体系,保证日常安全管理的有效开展。更多的中小企业受制于成本和资源,只有基本的安全技能和管理流程,但面临的安全威胁并不比前述企业少。为了获得和头部企业一样的安全性,将安全工作委托给专业的第三方安全托管服务运营商正在成为一种趋势。对于企业用户来说,这是降本增效的有利选择。对于安防行业来说,逐渐开辟了一条安全运营服务的蓝海赛道。
用“云安全服务”解决企业安全运营问题。
安全419了解到,聚明网络创始团队前期参与了中国电信、中国移动、国家电网、南方电网等头部企业的网络与信息安全管理规划、平台建设和运维工作。团队开发了国内最早的安全运营中心、日志审计、4A等产品。正是因为大量企业对可靠、稳定、高性价比的安全运营服务需求激增。自2016年成立以来,聚明网络选择了总部位于SaaS的安全运营服务作为其发展方向。依托前期积累的咨询规划、RD建设、运维服务经验,率先推出安全托管服务平台——聚明云安全管家,采用“云安全服务”的形式,解决企业日益繁重的安全运营问题。集中管理企业部署的大量不同类型和形态的信息安全产品,自动发现和聚合各类信息风险并提供安全运营服务,低成本帮助企业实现安全事件管理、漏洞管理、安全运维管理和安全风险管理。
值得注意的是,目前市场上广泛推出的安全托管产品,更多的是针对自身各类安全产品的远程运营服务。唐凯达强调,聚明云安全管家具有全面兼容的特性,一方面覆盖企业部署的其他安全厂商的设备,打破信息安全孤岛;另一方面涵盖了数据库、应用系统、网络设备、主机服务器、配置信息等环境。数据收集、分析和事件响应不局限于某个层面,而是提供无死角的安全保护。
同时,既然是管理,也恰恰是企业用户安全基础薄弱、专业技术人员缺乏的痛点。保证安全的效率和效果,降低人员使用和操作的门槛,一直是安全运行需要攻克的难题。唐凯达表示,聚明网络作为国内最早建立安全运营平台的团队,积累了长期的数据处理、运维管理经验,以及来自不同机构和厂商的异构设备的理解和处置方法,并以专家知识沉淀的形式应用于平台。截至2021年底,其云托管服务客户数量已超过6000家,庞大的数据量将形成新的数据处置、运维管控、应急响应经验,并不断反哺平台。同时,唐凯达表示,这也是聚明能一直保持领先优势的原因之一。
除了专家经验,该平台还利用自动化、人工智能、机器学习等技术,持续支持其安全托管服务能力的优化升级。据介绍,目前平台97%的监测、分析、响应、处置都依靠人工智能,只有3%需要人工干预,以人机共智能的方式让更多的企业享受到管家式的安全运营服务。
此外,根据不同企业用户的规模和组织结构,聚明网络可以提供适合的部署模式。为拥有多个分公司或下属公司的大型集团提供基于私有云的安全托管运营服务;面对广大中小企业,提供基于公有云的安全服务能力;对于有特殊需求的企业,比如要求数据不能出网,希望自建安全运营平台,聚明可以提供单独的安全管理中心作为企业信息安全体系的支撑平台,以资产为核心,以安全事件分析处理为主线。凭借内置的综合分析、集中监控、集中运维、统一管理等功能,配合企业安全业务流程,聚明可以将技术、流程、人员有机结合,确保企业安全管理闭环。
操作让安全更简单、更有效、更包容。
2022年,安全运营市场越来越强。根据安全419的观察,一方面是威胁监控与响应TDR、攻击面管理ASM、入侵与攻击模拟BAS等技术。得到大力开发和应用,为安全运行提供底层技术支持;另一方面,众多厂商积极部署MSS,成为未来企业乃至行业安全运营服务的重要趋势。
对于安全运营未来的发展趋势,唐凯达认为,目前很多安全产品在单个能力上已经达到了很高的水平,安全运营需要具备优秀的集成和整合能力,从点防护覆盖到整个企业,全面提升企业的综合安全管理水平。
其次,安全行动需要从被动预防转向主动、快速和准确的检测和响应。更多新兴技术的实践旨在加深对未知威胁的感知和识别,理解不同的业务场景,处理海量多源数据,处置差异化产品,沉淀大量运营知识,从而在实践中达到既定的安全目标。
此外,安全运营应该具有普遍性,让更多的企业在有限的资源预算内享受到高质量的安全保障。应该采用人工智能、机器学习等技术和自动化流程来加持安全操作平台的能力,代替人工值班,从而在解放生产力的同时追求更高的效率和更好的安全效果。
#网络安全#
