持续风险监测网络安全框架—— 政企网络安全运营实践
中测安华必达实验室提出的持续风险监测网络安全框架可指导政企网络安全运营实践工作,通过建立持续风险监测体系,帮助政企客户解决网络安全新常态形势下,安全运营面临的从外部网络威胁到内部安全风险的诸多问题。
新常态下政企等大型组织机构面临着外部网络威胁、内部安全风险以及网络安全突发事件等诸多挑战。
1.缺少有效监测分析手段,无法发现外部网络威胁
当前关键领域的主要威胁是具有国家背景的有组织高级网络攻击,其欺骗、伪装和利用未知漏洞等的方式更隐蔽。但由于网络安全报警日志的碎片化、孤岛化和分散化,导致相应的防护措施被绕过、防护策略失效、防护体系形同虚设。
2.缺少全局态势感知能力,无法识别内部安全风险
随着企业自身网络环境日趋复杂,企业难以有效识别和掌握信息资产和风险的变化情况,导致对内部的风险暴露面和脆弱性无法全面的感知和深入的分析,不能为加固防护措施提供有针对性的决策依据。
3.缺少统一协同防御机制,无法及时应对突发事件
由于团队、设备和数据的分散,导致网络安全协调效率较低,无法迅速有效地应对有组织的网络威胁,缺乏统一协同联动的网络安全响应与处置机制,无法充分发挥组织内外部的资源优势。
为解决上述问题,提高严峻网络威胁形势下的网络安全运营能力,中测安华提出基于持续风险监测的安全运营解决方案。该方案以持续风险监测网络安全框架为理论依据,针对政企客户保护对象的威胁、数据和漏洞三个安全要素进行持续性的监测、评估和加固,通过机制流程带动安全运营人员、安全设备、安全信息的协同联动,[和下面标黄的一段,做些取舍和对应]帮助政企提升其网络安全监测效率和防护效果,实现全方位网络风险监测分析能力与企业网络安全统一运营能力。
基于持续风险监测的政企安全运营解决方案旨在为满足政企网络安全运营需要,建立以网络安全运营中心为核心的企业级网络安全防御体系。方案实现的目标如下:
(1)构建全方位网络风险监测分析能力
在攻击语境下建立全面的持续监测能力,具备全链条的攻击追踪与回溯能力,形成多层次的协同安全监测分析体系。以大数据技术为基础,融合全网各种网络安全要素,提供基于大数据的安全威胁监测能力,实现持续性攻击的发现、预警和响应,实现对全网安全态势感知,对重点区域和关键资源风险的重点监控,对日常网络安全运营状态的全面监控。
(2)构建企业网络安全统一运营能力
通过建立完备的运营流程体系,协同不同角色的运营人员,依托一体化技术平台,实现网络安全突发事件、重大网络安全事件的快速处理,对安全检查情况、网络安全通报情况、等级保护工作等日常工作进行统一管理。
为实现构建全方位网络风险监测分析能力和构建企业网络安全统一运营能力的目标,根据持续风险监测体系,从安全人员组织(People)、运营流程(Process)、安全协同分析系统(Technology)、数据总枢纽(Data)、安全服务(Service)五个方面开展建设(简称“PPTDS”)
在持续风险监测体系下,通过安全组织建设实现人员协同,通过运营流程建设实现持续监测、评估和加固,通过安全协同分析系统建设实现设备协同,通过数据总枢纽建设实现威胁、数据和漏洞等数据协同,此外,通过安全服务补充完善威胁、数和漏洞等安全资源和能力。
安全运营中心由“PPTDS”五部分组成,通过建立清晰的组织架构、人员职责、统一的制度要求、合理的运营流程,根据采集流量、米数据、日志信息形成的数据总枢纽,依托基于大数据技术的安全协同分析系统,配合云端安全协同分析中心提供的多种安全服务,整合内外部资源力量,构建全方位网络风险监测分析能力和构建企业网络安全统一运营能力,最终提高整体的安全效率与效果。
安全协同分析系统(T)收集内外部主客观的各种安全数据,采集漏洞、日志、流量等内部数据汇总形成数据总枢纽(D),为大数据安全综合分析、长时精准回溯、全局态势提供了数据基础。安全协同分析系统(T)应具备综合、多维分析能力,整合各方资源,为安全组织(P)提供稳定可靠的基础平台及辅助决策能力。安全协同分析系统(T)与数据总枢纽(D)共同组成了安全运营的基础设施,安全运营离不开安全组织(P)与运营流程(P),他们是基础设施能够运转的原动力,安全组织(P)是基础设施的使用者与维护者,运营流程(P)是保证安全组织(P)、基础设施、安全服务(S)协同工作、高效运转的宝典指南。安全服务(S)是“PPTD”的后方支撑,为安全运营中心提供了绵延不绝的知识、能力输入,持续不断的优化安全运营效果。“PPTDS”五部分相互协作、相辅相成,为政企构建全方位网络风险监测分析能力,实现网络安全统一运营。
(1)安全协同分析系统(T)
安全协同分析系统(T)是数据总枢纽(D)存储、管理、发挥作用的基础设施,为安全组织(P)提供稳定可靠的基础平台及辅助决策能力,是运营流程(P)能高效运转的落地载体,为安全服务(S)的持续补给提供了道路和工具。
(2)数据总枢纽(D)
数据总枢纽(D)是“PPTS”能够正常运转的数据基础,主要通过汇聚各方数据,实现各类数据的统一管理及精细化使用,最大程度发挥数据价值,实现安全事件长时间分析与精准回溯,威胁的留存与取证,是态势展示的基础与依据。
(3)安全组织(P)
安全组织(P)是安全协同分析系统(T)与数据总枢纽(D)能够正常运转的实际使用者和维护者。因此,需要建立有效的组织架构及相关角色,并结合自身业务特点进行职责设计,确保组织结构清晰、岗位设置合理、角色责权可控。
(4)运营流程(P)
运营流程(P)是保证“PTDS”协同工作、高效运转的宝典指南。因此,需要根据网络安全运营的定位、目标和职责要求,进行业务运营主流程设计,通过固化运营流程及相关表单制度,使之成为安全运营的重要组成和有效抓手,有效提升企业网络安全运营能力。
(5)安全服务(S)
安全服务(S)是“PPTD”的后方支撑,为安全运营中心提供了绵延不绝的知识、能力输入,持续不断的优化安全运营效果。
基于持续风险监测的安全运营中心方案能够从整体上提升企业网络安全运营能力,主要体现在如下几个方面:
掌控全局安全形势,对全网进行监控预警,从多个层面获知全网数据分布及流向,威胁聚集及趋势。
实现网络安全统一归口管理,对各级安全团队进行统一监督评价,建立网络安全统一指挥与统筹协调调度的工作体系,能够协同政企网络安全资源,形成更高层次的网络安全风险识别和响应能力,及时阻止威胁、减少损失。
实现网络安全威胁的全方位实时监测以及网络安全事件响应的“发起-确认-响应-处置-反馈”流程,覆盖全生命周期的自动化闭环业务流程。
构建设备、数据和人员组成的全方位体系协同,实现检测设备与防护设备的协同,终端设备与网络层设备的协同等设备方面的协同;实现安全事件告警数据协同、威胁情报数据协同、态势数据协同等数据方面的协同;实现不同技术专长人员之间的协同、不同部门/单位之间的协同等人员方面的协同。
基于持续风险监测的网络安全运营方案是持续风险监测网络安全框架下的一种有效实践,通过建立网络安全运营中心来形成并提升政企客户的持续风险监测能力,以应对外部网络威胁、内部安全风险以及网络安全突发事件等新常态下政企网络安全挑战。该方案在化工、能源、阅批等多个重要领域中进行部署应用,并取得了显著效果,大大缩短了安全风险发现处置的时间,提振了安全运营人员的信心,得到了用户的充分肯定。