就定位而言,安全运营是网络安全领域的终极解决方案,就效果而言,安全运营与业界期望仍有很大差距。特别是近些年来的HW测试,暴露出了安全运营方面的严重缺陷,目前的安全运营构建在“理想”、“合规”两个维度上,而不是建立在“实战”之上,平时看起来无所不能的平台,一到实战,就一无所能。在实战化的时代,我们需要提升安全理念。
其山之石,可攻在网络安全运营中缺乏实战能力,可以从社会治安领域具有丰富实战经验的人那里寻求答案,建造高墙,安大门,以防路人窥视;立法立规,震慑坏人;设置刑部,查案,惩恶扬善。破了案,就会形成震慑,使犯罪率低。侦破案件速度高,侦破案件的能力强,如何建设强大的侦破能力,“天网工程”、“雪亮工程”的成果,是一个很好的启示。在网络安全的世界里,还需要运用先进的技术手段,全面监控,充分调查,在“破案”能力上发力。
“实战”是检验安全操作能力的唯一标准。在安全运营领域,2021年将是产品不断提升实战能力的机遇,也是检验各安全理念成效的一年。机会和挑战并存,兰云科技将继续以务实的态度,与业界同仁一道,为“网络空间的蓝天白云”而努力奋斗!
目前,越来越多的企业意识到对抗安全是一种常态化的挑战。对抗中,要求企业的安全人员能够迅速对安全事故进行处理。但是,在日常运行中,由于各种安全设备/系统所产生的大量报警事件(日志或流量数据),使企业安全人员很难对每一起安全事故进行分析研判,做出处置反应,进而评价其影响,形成安全事件的闭环管理。造成不能及时检测到隐藏在大量噪声中的真实攻击、分析和响应,增加了资产损失的风险。
对于大量的报警事件,提出了以自主控制、运行稳定的大数据分析引擎为基础、以大数据分析为基础、通过SPL(SearchProcessingLanguage)/流式引擎等灵活方式进行威胁建模、以及将资产/漏洞/情报信息与威胁检测模型相结合对不同安全数据进行关联分析的方法。基于攻击场景,在降低报警噪声的同时,可以输出出更加精确和相关的报警信息。最终,通过自动编排对输出报警进行响应,提高了响应的及时性,并将更多人力资源用于重要安全事件的取证和追踪分析。当安全对抗成为常态时,也要求企业更多地关注大数据分析的安全实践和安全操作的各种指标,例如安全事件平均检测时间/平均分析时间/平均响应时间等。因此,基于大数据安全分析的需求,同时由于国产化趋势进一步明确,在这一领域,将把重点放在SIEM/SOC(以自主可控的大数据分析引擎为基础)作为企业安全运行的核心,企业安全防御系统将进一步升级。同时,还需要熟悉日志/流量数据安全分析人员的角色,以支持安全操作中心的运行。