安全運營就是從Event到Accident的過程

作為一個具有多年經驗的信息安全與IT風險管理從業者，我之所以對態勢感知、大數據分析、安全管理平臺感興趣，一個很大的原因是曾經那些安全管理的理念與方法，正在通過管理平臺與技術手段逐步得到了落地，從而使安全管理與技術的融合度越來越高。

比如態勢感知中的指標、大數據分析中的場景，都可以與信息科技風險管理的關鍵風險指標KRI，以及信息安全管理中的有效性度量很好地結合起來。安全管理平臺、自動化編排與響應也同樣需要與事件管理、應急響應融合貫通。所以今天把安全運營中幾個最基本的概念，從管理與平臺兩個方面穿插理解一下。

如果從字面理解，Event、Incident、Accident三個詞都是“事件”的意思，但在安全管理標準、安全管理平臺定義中卻出現不同的詞，可見它們之間是存在著細微差別的。

▼▼對Event的理解

Event在有些安全標準里會被翻譯成“事態”，直白理解就是事情的狀態，從風險管理角度看，它只是一種狀態而已，還不涉及到潛在的損失，可能是一種風險的潛在因素，也可能不是。

舉個例子來講，一個辦公室的門沒有關，這個“門沒關”就屬于Event，只是一種狀態，不去考慮為什么沒關，或者應不應該關，沒有產生風險，也沒有帶來損失。

在安全管理平臺中，SIEM中的E就是這個Event了，采集上來的告警也好，日志也好，其實都是一種客觀的狀態記錄，這些都是進行安全分析所需要的原料，通過分析引擎進行分析后產生全新的告警。

▼▼對Incident的理解

Incident在安全標準里通常被翻譯成“事件”，也就是事件與應急管理中的“事件”。從風險管理角度看，它不再只是一種狀態，而是變成了一種風險，可能會帶來或者已經帶來了損失。

還是上面的例子，如果這個辦公室是存放著敏感資料的話，這個門按規定是需要默認關閉的，這個門沒有關就不再只是一種狀態，而是一種風險事件了，由于可能帶來損失，所以是需要處置的。

在安全管理平臺中，將多個安全告警進行聚合，按時間順序或攻擊路徑排列，這個就是Security Incident，有些產品將其命名為“安全事件”。比如一次病毒的傳播，可能影響了多臺終端，由于攻擊目的地址不同，告警是無法合并的，但可以聚合成一個Security Incident。

▼▼對Accident的理解

Accident在安全標準里通常被翻譯成“事故”，它不再是一種潛在風險，而是確定已經產生了損失。從風險管理角度看，Incident與Accident是包含與被包含關系，Accident是程度更加嚴重的Incident。

還是上面的例子，如果這個辦公室是存放著敏感資料的話，有一個小偷趁著門沒有關把資料偷走了，由于確實造成了損失的既成事實，所以這個就屬于Accident，是一次安全事故了。

在安全管理平臺中，目前并沒有看到單獨的Accident概念，它被包含在Security Incident里面了，但在作為一個好的安全管理平臺，是需要通過豐富的上下文信息來幫助分析人員，能夠快速判斷是否造成了Accident。

另外，如果確定已經發生Accident的話，是需要編制針對性的專題報告的，那么安全管理平臺是否可以提供足夠的信息，方便安全分析人員完成報告編制，甚至是能夠自動化導出事故報告，這也是安管平臺的一個挑戰。

▼▼總結一下

隨著信息化與安全成熟度的提高，通過實時大數據安全分析技術，從海量數據中判定攻擊失陷，已經是安全運營的核心關注點與必然趨勢。簡單來說，安全運營就是從Event到Accident的過程。