安永:十四五规划与企业数字化转型中的安全运营中心建设

2020年10月29日,第十九届中央委员会第五次全体会议审议通过了《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》。建议指出:要“坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设”。网络安全保障体系和能力是政企单位利用数字化技术创造经济价值的基础,在信息技术和数字经济的浪潮下,网络安全将成为企业发展的关键命题。
安永网络安全咨询团队近期已分别从隐私保护、云计算安全、安全开发管理等方面对企业在数字化转型过程中的安全保障阐述了相关的观点,本期我们将从企业在数字化转型过程中面临的安全运营难题出发,提出安全运营中心建设的思路及对策
近年来,我国企业逐步规划将网络保障能力建设从“静态、基于威胁的保护”转向“动态,基于风险”模式,以应对数字化带来新技术、新流程、大数据的挑战。这势必强调企业需在网络运营管理方面投入大量精力,如建立事前监控机制和事后处理的流程,优化人员、技术、工具能力,以应对层出不穷在线攻击和数字泄露事件。然而安全高效的运营体系建设不易,企业在此过程中,通常会遇到以下问题:

信息架构难管理

随着云和新技术的推广,企业信息系统基础设施和应用架构都趋于多样化,基础设施包括本地数据中心,公有云、私有云、混合云。应用架构包括传统web服务、微服务、容器与DevOps、分布式与大数据等等。对运维和安全人员的技术能力专业领域都提出了很高的要求。实际场景中运维本身就会涉及多个部门、多个领域,往往难以同步兼顾信息安全的监控与管理。

网络攻击难发现

安全设备每天都会产生大量的日志,安全运维人员疲于应付,同时,传统安全设备对于网络攻击只会采取简单的拦截阻断和告警,并不会对攻击进行深入分析。在攻击防护上,通常认为攻击是普遍存在的,发现即拦截,拦截即安全。但是随着攻击技术的演变,攻击越来越具有隐蔽性,虽然复杂的攻击会有部分痕迹被安全设备所发现和拦截,但非常考验我们对于网络攻击全貌的分析察觉能力。

资产风险不可见

面对庞大复杂的基础设施和业务系统,企业无从知晓自身的实时安全状态、安全建设成果、安全风险的变化情况,无法为企业高层提供“可见”的视图来说明企业目前存在的安全问题。资产的发现、管理、漏洞、风险情况难以传达到位。

处理机制不配套

往往企业的安全事件响应预案都是方向性的,很少涉及技术细节。真正遇到安全事件的时候,只能在方向性指导下,case by case 地分析解决。缺少安全事件的分类分级和技术流程。再加上大量的误报,会让真正的安全事件处置效率非常缓慢,且经验无法继承。

内部威胁不重视

企业信息系统审计记录往往只是形式上满足合规,对于威胁的感知通常都是“防外不防内”,并未有对员工行为的完整审计策略。而高数据价值企业最大的风险往往来自于内部,包括内部员工或合法用户的数据窃取、恶意报复(删库跑路)等。
为此,安永基于全球化的视野和丰富的安全运营经验,提出从组织架构、管理流程、指标规则、技术平台、展示大屏、情报服务分层搭建安全运营中心(SOC),立体式保障企业数字化运营安全。

🙋‍♀️🙋‍♀️🙋‍♀️安全运营组织架构🙋‍♀️🙋‍♀️🙋‍♀️

企业的安全运营组织架构可从人员、职责、能力等方面分层构建:

Tier 1 – 监控和识别

负责实施监控和识别安全事件。Tier 1的分析员监控SOC主要事件通道和识别可疑的活动,开启事件调查并转给二线做进一步的分析和升级问题。

Tier 2 – 调查与升级问题

Tier 2人员负责验证和分析来自Tier 1人员传来的调查结果,并通过主动分析异常指标的方式,发现潜在或者未知风险,配合管理员处理并响应简单安全事件。Tier 2的分析员会完成调查文档记录,决定活动的有效性和优先性,并逐步提升到事件应急协调组。

Tier 3 – 升级问题和监督

Tier 3都是有特定专长的人(SMEs)处理和升级问题,他们同时监督Tier 1和Tier 2的分析活动,并协调复杂安全事件的响应和处理。
安全运营经理:安全运营经理负责SOC的全局工作。
image.png安全运营中心(SOC)团队设计示意图

安全运营管理流程

美国国家标准与研究院(NIST)网络安全框架(CSF)提出了IPDRR的网络安全框架,指导企业建立从I(识别)、P(保护)、D(检测)、R(响应)、R(恢复)五个方面构建网络安全风险管控能力。我们建议安全运营中心的管理流程需有效覆盖检测、影响、恢复的工作要求,同时能在安全事件中形成知识总结,识别资产风险,优化保护能力,形成以运营为视角的“DRRIP流程”,包括:

监控预警流程

将事件分析过程标准化,例如针对特定安全事件收集信息的范围和方法,指导知识库积累更新,提升事件分析效率;分析过程中包括使用自动化、交互式的系统以跟踪哪些日志已经进行了审查;从各大漏洞与威胁平台收集漏洞信息并进行威胁预警,或通过与当前环境现状进行对比和分析后,提炼出相关的威胁情报,并向相关团队进行发布。

恢复流程

配合工作流管理系统,设计安全事件响应及汇报流程,保障安全事件的有效闭环和安全事件处理的及时性。

识别保护流程

在事件恢复后,对于原技术架构、管理方式的迭代优化,避免重蹈覆辙,包括资产管理、安全策略、日志管理、人员管理、安全培训等方面的整改与加固。
image.png运营为视角的“DRRIP流程”示例图

安全运营指标规则

为有效的数值量化风险,为运营团队提供最佳的决策依据,我们将安全运营指标分为了四个维度:

运行维度指标

通过采集一定时间窗口内系统运行的异常数据,对其进行量化评估,计算得出的一个数值。该数值体现了网络系统当前的运行状态,能有效优化企业对于信息架构中多样化设备的集中管理。运行维度指标可协助企业集中监控和管理相关的设备运行状态,从而解决信息架构难管理的问题。例如:
image.png

脆弱维度指标

通过量化漏洞数目等信息进行分析,计算得出脆弱指标。采用脆弱维度指标来表示当下网络中存在的、能够被攻击者利用的安全漏洞对网络安全造成危害的严重程度,实现对资产受攻击面的全局可视,如:根据网络中部署的漏洞扫描类安全设备上报的漏洞扫描结果,统计未打补丁漏洞的数目和漏洞危险等级。脆弱性指标可帮助企业掌握攻击者利用安全漏洞对网络安全造成危害的严重程度,与实际运营情况相结合的同时,解决资产风险不可见问题。例如:
image.png

风险维度指标

通过收集一段时间内网络中发生的各种由网络攻击引发的安全事件,对这些收集到的事件发生的频率和事件的危害等级进行综合量化评估,进而计算得出的数值。该数值表示了网络安全事件给网络系统造成的危害程度的大小,提升管理者对攻击行为的研判能力。对风险维度指标的分析,可帮助企业寻找是否有未被发现的攻击行为,从潜在风险出发发现和判断完整的攻击路径,从而解决网络安全难发现的问题。例如:
image.png

威胁维度指标

通过收集一段时间内由用户违规行为或设备运行所引发的安全事件,并对这些事件进行量化评估,计算得出的数值。威胁维度指标主要是对设备上由于用户操作或系统非正常运行引起的各类告警事件进行评估,如:用户不当行为所引发的空策略、非法访问和策略违规等事件,又如安全设备运行过程中设备离线或异常事件引起的系统告警事件。威胁维度指标可帮助企业了解潜在的安全事件对网络系统的威胁程度,为企业及时发现和解决安全事件提供帮助,从而解决对内部威胁不重视的问题。例如:
image.png

安全运营技术平台

技术平台将企业的运营工作从线下转到线上,当前安全运营中心(SOC)概念较为热门,国内外安全厂家纷纷布局,然而企业往往“轻规划,重建设”,花费巨大却没有效果。因此,我们建议企业可从以下三个阶段考虑平台的搭建:

基础建设阶段

搭建统一日志管理平台,实现安全日志的集中分类管理,为处理和挖掘分析提供数据基础;采集资产清单及保护等级信息、安全事件信息、攻击事件信息、漏洞信息(内部扫描发现及外部提交);对采集上来的各种要素信息进行事件标准化、归一化,并对原始事件的属性进行扩展,例如增加地理位置信息,增加 CIA安全属性,增加分类属性等;通过规范数据、分类数据、过滤数据,对采集上来的各种要素信息进行事件预处理,分发至相关分析引擎;采用数据融合技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别,形成各类仪表视图。

提高风险可视化及合规管理能力阶段

增加网络流量监控日志、威胁发现设备日志等丰富安全基础数据源;建立风险目标,将风险目标和漏洞信息及威胁信息进行建模计算,产生风险指标,实现风险可视化,将风险控制在可接受范围内;为安全策略生命周期的管理提供一致的流程,将策略与业务资产、基础控制措施进行关联,度量策略执行情况;将内外部的安全管理标准、规范和具体控制措施建立映射关系,实现合规的自动化、常态化度量。

整合资源,实现情报/态势感知阶段

完整控制审计项目的生命周期,集中定义审计计划、优先级、流程跟踪和报告,实现自动化审计,提供协作能力和效率;为用户与系统的交互接口,实时展示攻击、欺诈、威胁及防护态势,以便用户可以及时得到相关情报,进而实施保护措施;建立和维护专家体系,建立知识体系、规则体系及指标体系,为事件关联分析、监控规则更新提供支持,提高态势感知和预警能力。
image.png安全运营中心系统架构图

安全运营仪表盘

仪表盘体现了管理者对于安全运营的关注点,其设计体现了企业在日常运营工作中的缩影。大屏的设计可从企业的战略需要、管理者的需求、安全目标等方面综合考虑,而法律法规、行业趋势、威胁形势也对设计的结果产生一定的影响,企业可根据自身情况,充分展示自己在安全运营方面的实际成果,并循序渐进地提高和完善。
另外,我们在设计的过程中,需要特别关注公司各个级别所关注的关键安全领域的问题,这样才能使大屏展示设计满足公司不同层级人员的需要。
image.png不同层级大屏展示关注点举例
从笔者角度来看,首席信息安全官(CISO)比较关注如下所述的仪表盘展示内容:
可展示公司整体安全运营情况数据,如安全事件、威胁、脆弱性的实际解决情况;反映公司整体合规情况方面,如满足CSF、27001等法律法规规范情况,以及反映公司业务安全的整体状态,如投资及财务风险等。展示示例如下图:
image.pngCISO视图设计举例

🙋‍♀️🙋‍♀️🙋‍♀️安全运营情报服务🙋‍♀️🙋‍♀️🙋‍♀️

当前安全态势瞬息万变,仅仅依据特征值、常态值的安全运营模式,可能在面对高级可持续威胁攻击(APT)等攻击时,难以应对。专业第三方在网络上实时、全面的威胁情报信息可以帮助企业提供安全运营的时效性和精准度。
安永基于网络安全咨询服务领域的专业见解及成熟理念,可提供网络威胁检测服务,以支持企业的网络安全运营和业务安全管理。安永可以帮助网络安全运营人员回答以下类似的问题:

  • 是否具备在攻击发生早期的威胁识别的能力?
  • 是否成熟整合不同来源的威胁情报?
  • 针对当前威胁行为的策略、技巧和程序是什么?
  • 如何将威胁情报数据嵌入安全运营和安全技术中,以获得预先防范威胁?

image.png安永瞭望塔之网络威胁检测服务业务示意图

后述

2021年政府工作报告提出,“十四五”时期,要加快数字化发展,打造数字经济新优势,协同推进数字产业化和产业数字化转型,加快数字社会建设步伐,提高数字政府建设水平,营造良好数字生态,建设数字中国。而面对日益严峻的网络威胁形势,网络安全工作将是数字化转型中的重要内涵。
我们建议企业结合自身情况与需要建立安全运营平台,从而消除数据孤岛,综合提升企业安全保护能力,同时培养和建设一支有战斗力的安全运营团队,为企业整体安全运营工作提供有力支持;从安全运营中心实时掌握企业整体运营情况,满足来自企业内外部各个方面的需求。我们也将帮助企业从过去所做的努力中进一步夯实和完善安全运营活动,从体系化的设计思路进一步思考、统一和规范网络安全运营的内容和流程,同时,提升网络安全运营自动化程度,实现网络运营活动的可视化、可管理、可处置、可量化,借助“十四五规划”和“数字化转型”的双翼,腾飞远航。
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。