即将过去的2020年,如果把信息安全行业的所有关键词排个序,我想“安全运营”排第二,就没有其他词敢排第一了。
这一年,“安全运营四杰”走上了历史舞台,旗帜鲜明亮出自家观点:
南有腾讯lake2,认为安全人员使用安全系统,制定安全策略、推动解决安全风险的过程即安全运营。
北有滴滴秦波,认为安全运营是对风险的控制,追求安全投资回报和风险的平衡。
东有美团欠钱,提出安全运营是为了实现安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。
****西东南北有无处不在的君哥,提出了“一切围绕着提升安全能力开展的工作都属于安全运营”。
这一年,从BCS(北京互联网大会)到ISC(互联网安全大会),从Insec World(世界信息安全大会)到CIS(网络安全创新大会),在“安全运营四杰”及追随者的不懈努力下,“安全运营”已成燎原之势,好不热闹。
以至于当笔者翻开桌上那本已经泛黄的、2011年出版的《白帽子讲WEB安全》看到第十八章标题“安全运营”时,突然有点恍惚,原来刺总在十年前就给“安全运营”写下了这段文字:
……安全是一个持续的过程,而“安全运营”的目的,就是把这个“持续的过程”执行起来,健康的企业安全,需要依靠“安全运营”来保持新陈代谢,保持活力。
看来,安全运营并不是什么新冒出来的名词。难怪lake2在Insec World 2020大会做《安全运营体系建设--理论与实践》演讲,讲到团队在复盘阶段,如何根据蓝军的攻击路径梳理红军防御点有效性时,贴了一张“黑客入侵场景检测能力审计表”,表格左上角写着制作日期 -- “2010年7月”,并感叹道“原来我们做的这件事就叫安全运营啊,只是当时没这个概念”。
你看,专家的观点在本质上并没有分歧,都认为安全运营是一个过程,只是对过程中所做的事情,在表述上有差异。有人认为是解决风险,或者严谨一点,风险不可能完全消除,只能在特定ROI下予以控制;有人认为是解决问题,风险是问题的子集,还可以包括组织架构、流程管理等;有人认为是提升安全能力,因为能力这个词更为宽泛,所以可解释性更强,可谓上天揽地,无所不包。
既然安全运营是一个过程,那么安全从业者的工作就“永远在路上”,这一路上你会遇到很多人、经历很多事、有很多感悟:
遇到很多人:1)既要开展团队内部运营。你要做好人员的去任留用,如何培养新员工,如何让新员工尽快融入团队并立足,如何进行知识传承确保不因一个人的离开造成工作瘫痪,如何在下属造成定级事故时“高举轻放”,如何在资源有限的情况下对成员进行激励,如何凝聚人心营造良好范围。2)也要做好团队外部关系运营。如何向上争取资源,如何和平级团队处理好关系,如何开展跨部门协作,如何与供应商打交道,如何与行业同仁建立交流渠道,如何与白帽子建立合作关系等等。
经历很多事:如何在风险事件应急响应之后完成根因改进,如何进行资产管理确保资产能保持实时状态,如何进行漏洞管理并提高漏洞修复速度,如何建设日志收集分析系统并保持Agent在线率,如何在发现业务有重大漏洞但今天必须上线时“共进退”,如何在没人没钱没时间的情况下顺利完成重大演习等等
有很多感悟:如何建立安全的大局观,如何制作一份领导认可的安全规划,如何设计一份充分融合开发、运维能力的安全架构,如何实现业务、技术与安全的共赢,如何让安全的价值可见可感,如何突破安全从业人员的天花板,如何在困境中看到希望、在迷雾中看到方向等等。
既然安全运营是一个过程,那么“干”就对了。具体到不同的安全场景中,覆盖的内容差异很大,运营指标也完全不同。以基础安全为例,完成日志收集分析系统(SIEM)建设之后,发现有些服务器24h都没有日志,你自然会分析原因:是因为1)设备下线了?2)设备变更了IP?3)配置中变更了日志文件路径?4)Agent故障?5)网络故障?6)这是视频会议设备,无人开会的周末没日志很正常?随着对问题原因的深入分析,以及样本规模数的上升,你开始将分析数据指标化(如Agent安装率、在线率)、分析过程自动化,从而夯实日志基础。在此之上,进一步进行规则设计、威胁建模,就都是水到渠成的事情了。你看,这个过程不就是PDCA(Plan-Do-Check-Act)循环么?对于运营人员而言,“干”是一切的起点,不要迟疑,手勤脑勤,“干”就对了。
类型
涵盖内容
运营指标
业务安全
防止垃圾注册、批量登录、薅羊毛、恶意刷单、裂变拉新作弊
调用量、拒绝率、人审率、PSI、规则命中PSI指标等。
数据安全
GRC与隐私保护、防止数据泄露、越权使用、数据安全传输等
合规事件、数据泄露次数和条数、越权比例等。
基础安全
OSI 7层模型,覆盖网络层、虚拟化层、主机层、应用层等。
流量覆盖比例、Agent安装率、漏洞修复率、MTTD/MTTR等
**既然安全运营是一个过程,不是“目的”,那它就是个大箩筐,**往筐里扔什么方法、手段,并没有固定的套路。只要结合公司、团队、个人的实际情况,能起到好的效果,实现真正的目的,那就是好的运营。
最后,本文并没有给出“安全运营”的定义。笔者认同任何一个行业或职业,从出现、兴起到成熟,中间必定会经历一个从最早的认知混乱,到渐渐有一批人开始百花齐放、七嘴八舌地跳出来去谈论它、分析它、建设它,再到最后围绕着它逐渐趋近于有一套较为完善且大家一致认可的方法论的过程。
“安全运营”的概念正处在这样一个百花齐放的阶段,每一个团队的每一次探索,取得的一些成绩和突破,都是行业的宝贵财富。不用吝啬与保留,发挥安全行业热爱分享的优良传统,一起守望相助吧。
