安全运营 包括以下五大核心安全能力:
安全监控是安全运营的第一步,监控企业 IT 基础设施中的活动和潜在的入侵点,包括部署在私有云、公有 云和混合云基础设上的数据中心、网络、用户设备和应用程序以及已部署应用程序的性能和运行状态。安全监控 是网络安全风险管理的重要组成部分,使组织能够在网络攻击初期检测到它们并在它们对业务造成损害和中断 之前做出响应。
安全监控通常包括内部监控和外部监控两大部分:
内部监控是指监控系统的“内部”,首先需要了解可能存在的“攻击面”有哪些,攻击面是公司所拥有面向外 部的数字资产,尤其是被遗忘的 IT 基础设施,如旧的开发或营销网站,可能会被攻击者视为易受攻击的资产。因 此,监视网络和防火墙上的入侵行为可防止安全威胁,并在“威胁”造成损坏之前做出响应。此外,监控和存储用 户日志将有助于确保安全,安全团队可以监控由于人为错误而带来的安全威胁。
外部监控这里特指暗网监控,暗网是指未在所搜索引擎中编入索引且只能通过某些专用网络浏览器访问的 网站。在某些论坛上、地下团队可以在暗网上发布或出售泄露数据。由于无法通过普通方式访问暗网,因此很难 检测是否存在安全威胁。
暗网监控通过跟踪黑客论坛、地下黑市和勒索软件的泄漏点,以检测有关组织的敏感信息并通知组织以防 止网络攻击和潜在的违规行为。暗网监控可以被认为是类似于暗网上的搜索引擎,这些工具有助于查找泄露或被盗的数据,例如密码和凭据。暗网监控将持续搜索暗网,仅使用公司名称和域名即可发现泄露的敏感数据。当 发现泄露或威胁时,预定义的警报会通知与威胁相关的成员,除了向客户通知可能存在的威胁之外,该过程还可 以帮助企业深入了解攻击者的方法。
检测和保护信息系统免受当今先进的、持续的安全威胁需要全面了解不同的信息安全孤岛如何互相关联, 通过针对混合 IT 基础设施进行安全事件监控及管理,组织可以尽快检测到攻击。不仅如此,他们还可以为组织 提供详细信息以重建攻击路径,实现对环境安全风险的分析,并提供有价值的上下文和视觉洞察帮助组织做出 更快、更明智的决策来避免安全威胁。
情报是为组织提供决策支持和提升战略优势的信息,威胁情报是更大的安全情报战略的一部分,它包括与 保护组织免受外部和内部威胁相关的信息,以及用于收集和分析该信息的流程、策略和工具。威胁情报管理使组 织能够管理数量不断增加的内部和外部威胁源,并通过使用一系列具有威胁情报能力的工具,例如安全信息和 事件管理 (SIEM)、案例管理以及安全编排自动化和响应 (SOAR),以缩短平均时间检测 (MTTD) 和平均修复 / 响应时间 (MTTR)。
威胁情报作为构建安全运营主动防御体系的重要组成部分,可以使组织能够做出更快、更明智的安全决策, 鼓励在对抗网络攻击时采取主动而非被动的行为。其可以在整个公司内部,甚至在共同保护其内部系统的独立 业务实体之间进行协作,通过提供有关现有或新出现的资产威胁或危害的上下文分析,以防止或减轻网络攻击 带来的危害。
随着网络攻击现已成为持续且不可避免的现实,通过威胁情报以实现快速遏制和补救来减轻客户的感知具 有良好的商业意义。威胁情报通过收集、分析和处理信息安全数据来剖析攻击者的行为、攻击目标和动机,以促 进组织的网络安全态势从被动转变为主动,使组织可以更好地洞察威胁形势和了解攻击者,实现更快地事件响 应并主动领先于攻击者的下一步行动,做出快速、数据驱动的实时安全决策,使各种形式和规模的组织受益。对 于中小型企业,可以帮助他们实现原本无法达到的保护级别;另一方面,拥有大型安全团队的企业可以通过利 用外部威胁情报来降低安全成本,并提高安全专业人员的工作效率。
攻击面管理是安全运营策略中一个重要且必不可少的环节,帮助组织识别、评估和减少网络、系统和应用程 序中潜在的安全威胁。攻击面管理是一种持续性、循环性的过程,需要组织对其网络和应用程序的安全状况进行 定期的评估和管理以及不断地更新和维护,通过实施攻击面管理策略,组织可以更好地保护其关键资产,防范潜在的网络攻击。
攻击面管理有助于识别组织内外的潜在风险点,从而有针对性地加强安全防护措施,减少被攻击的可能性, 同时通过对组织的资产进行持续的监控和评估,有助于及时发现新出现的安全漏洞和风险,提高组织对安全威 胁的敏感性。不仅如此,攻击面管理还可以帮助组织确定最重要的安全漏洞和威胁,从而有限分配资源进行修复 和缓解,提高资源利用效率。
更重要的是,通过减少攻击面,组织可以更好地遵守各种法规的要求,降低因违规而带来的风险;攻击面管 理可以实现及时识别和修复潜在漏洞,可以降低因数据泄露、系统中断等安全事故带来的经济损失,提高企业的 竞争力,帮助企业更好地应对不断变化的安全威胁环节,提高应对新威胁和漏洞的能力。
当安全事件出现时需要立刻启动事件响应策略,采取适当的步骤来遏制损害并防止攻击者进一步访问网 络,每次网络攻击都需要不同的补救方法才能将其从网络中根除。首先,需要确定事件的类型、范围和严重性来 确定事件的优先级,其次将受影响的系统或应用程序或数据中心隔离,接下来通过安全专家、流程和策略来确定 检测到事件发生的根本原因。
安全事件响应是企业可以识别、遏制和防止网络攻击的一组协议,制定安全事件响应计划可使组织在面对 安全威胁时更具弹性,最大限度地减少攻击的影响,确保企业的数据资产安全。有效且高效的安全事件响应是在 数据丢失或业务受到无法挽回的损害之前启动动作以遏制、根除攻击和从攻击中恢复的流程。
同时,安全事件响应可以帮助企业减少分析、确定优先级和响应恶意软件和钓鱼事件所需要的时间,在 AI 驱动的自动化支持下,它可以自发地识别和响应重复的威胁,更有效地对警报进行分类,更快地响应关键事件, 并将企业现有的安全解决方案无缝集成到更高效、更全面的事件响应程序中。
取证分析已经成为组织安全运营策略和威胁搜寻能力中的核心部分,可以帮助组织制定和加强预防性安全 措施,降低整体安全风险,通过使用专门的安全软件工具识别受影响系统上发生的安全事件并执行根本原因分 析,实现在威胁或故障造成额外损害之前对其做出响应,加快响应时间。
取证分析提供了通过关联先前入侵流量数据记录中的攻击模式来预测未来攻击的方法。例如,当安全事件 发生时,尽可能多地了解它以确保可以完全消除系统中存在的安全威胁,识别事件的促成因素使组织能够解决 导致问题的事件链中的每个环节。此外,网络犯罪通常会创建后门,使他们能够重新获得对受感染系统的访问权 限,即使在事件响应消除了他们存在的明显迹象之后也是如此。许多网络攻击利用相同的感染媒介和漏洞来访问组织的系统,解决这些风险使攻击者难以维持持久访问或重新获得在初始响应活动期间被删除的访问。
除此之外,通过执行取证及根本原因分析可以帮助组织识别导致数据泄露的其他外围因素,例如,无意的内 部威胁,即员工在无意中违规行为,通常会加剧事件的严重性,通过识别可能导致违规的疏忽行为能帮助组织及 时采取措施以减轻威胁带来的损害。
