吴佳伟-安全运营思考及实践（23页）.pdf

1、安全运营思考及实践吴佳伟背景我们实践总结展望123目录背景大环境 安全形势日益严峻 安全工作备受关注人 专业安全人员稀缺 安全规模化管理难设施 基础设施建设普遍完成 安全态势感知依然很难安全运营挑战在安全形势严峻、安全人员稀缺、安全告警海量的情况下，如何及时、有效、准确发现安全风险并高效响应？思路上改变：安全运营“四化”规范化、标准化、自动化如：SOAR安全自动化编排技术、“安全分析师”式场景化分析体系化建设平台化运营全面化覆盖工程化实施 系统性设计、整体性协同如：安全生命周期管理体系 集中整合、综合分析、整体感知、调度协同如：安全态势感知平台、SOC 全覆盖、无死角如：安装率、覆盖面、有效性

2、安全运营体系监测管理一 体 化控制态势感知灵活整合安全能力、规划安全任务、定义响应流程安全运营流程规范化、标准化，自动化驱动关键流程、关键步骤高效运转整合海量异构数据，设计适用于自身公司的安全场景、模型和指标体系自主可控规模化管理安全运营体系：一个平台、三种能力背景我们实践总结展望123目录安全运营管理平台逻辑架构功能呈现分析调度安全态势综合态势资产态势脆弱性态势用户行为态势智能搜索原始日志格式化日志历史快照FWVPNWAF邮件EDR准入OSWebDNS流量分析flowDDOS基础安全数据扫描器FW安全基础设施WAF旁路阻断邮件网络威胁分析系统安全分析用户行为分析数据安全分析离线分析引擎实时计

3、算引擎分析中心商业情报开源情报多源情报社区情报CMDB响应管理场景库任务编排接口库调度中心脚本库入侵检测企业微信基础架构沙箱系统管理系统运行状态用户权限管理系统日志管理调查分析持续监测回溯分析合规检查攻击链分析指挥调度响应编排计划任务工单管理脚本管理安全助手资产分析资产地图安全域管理资产安全指纹资产库ITSM安全团队外协厂商安全运营管理平台安全分析模型定义最高层：场景兴证安全团队定义：抽象的，用于表示某一类用例的集合，处于攻击链的固定阶段。中间层：用例兴证安全团队定义：具体的用于表示某一确定的事实是否发生，分为安全威胁和安全事件（通过是否成功侵入我方系统来界定安全威胁、安全事件，团队主要关注点

4、在于安全事件、同时检测安全威胁）。底层：规则兴证安全团队定义：用于判定某一事实是否发生，从接入的数据所做出的检测逻辑。概念描述兴证安全团队可在每个安全场景下建立多个用例，用于在平台上展示安全威胁和安全事件（用于平台告警）。在安全运营工作中，兴证安全团队抽象定义了多个安全场景，各各场景互相处于并列关系。一个有效的用例发挥作用，会需要安全团队在平台上建立具体的规则来实现。复杂用例要通过多条规则的组合得以实现。平台告警安全威胁平台告警安全事件扫描，发现外网入口账号、密码猜测，开始暴力破解暴力破解成功，登入目标系统删除生产环境重要文件一次攻击举例说明 扫描攻击视为场景，端口扫描视为用例，由于扫描攻击需

5、要留意，但不需要安全团队重点关注，视为安全威胁。暴力破解视为场景，密码字典暴力破解视为用例，由于暴力破解没有成功，视为安全威胁。暴力破解视为场景，暴力破解成功视为用例，由于已经侵入系统，视为安全事件进行重点关注并及时处置。破坏数据视为场景，删除生产环境文件视为用例，由于已经遭受实际损失，安全团队视为安全事件进行重点关注和处置。平台统一展示类（class）实例（instance）函数（function）面向对象程序设计安全运营管理平台视图管理者视图安全人员视图安全检测与响应矩阵用户终端安全特权帐户监控身份认证应用安全生命周期应用防护防篡改安全测试信道加密蜜罐数据数据脱敏数据库审计水印邮件安全DL

6、PAPI安全主机安全基线漏洞扫描HIDS防病毒补丁管理EDR网络防火墙抗DDOS网络准入虚拟云平台监控虚拟流量监控主机加固入侵检测高级威胁VPC威胁情报应用纵深检测与防御事前事中事后堡垒机口令管理外包安全管理互联网环境安全自动化运营基于NAT表自动动态更新互联网资产库，包含IP、端口、协议、服务、应用、责任人等信息；全端口自动化检测新增、关闭、活动端口，结果入库。互联网信息资产管理互联网安全风险检测实时自动监控重要网站服务异常每天自动监测新增端口资产漏洞每周自动检测全量外网资产漏洞每月例行测试全量外网资产每年深度测试全量外网资产自动邮件告警系统责任人自动