淺談安全運營的十大關系
隨著信息化的高速發展,新技術的快速應用,混合云的大規模部署,基礎設施變得更加復雜多變,網絡世界日新月異。與此同時,網絡安全事故頻發,甚至嚴重威脅了人們的生產生活秩序,促使人們加強對網絡安全的重視。
在國家相關安全法規密集出臺,網絡安全被提升到了前所未有的高度,這對國家安全,企業數據保護,個人隱私保護具有極大的積極作用。產業界和安全行業都在不斷探索實踐安全運營的理念,以此來保護人們的網絡安全。
安全運營就是調動一切的積極因素,把網絡安全平臺,設備,隊伍,流程等統籌起來,并不斷的運用、持續改進的動態過程。安全運營做的好,安全風險就會低,反之,可能會出現重大安全事故,造成不必要的損失。
在多年的安全運營實踐活動中,我們支持了多種類型的行業客戶,對安全運營進行了深入的研究和分析,提煉出安全運營的十大關系,希望對讀者有所幫助。
是非關系
首先要談的就是是非關系。具體是什么?直白的說就是你認不認為網絡安全很重要,是真認為重要呢,還是假認為重要?是認為很重要呢,還是認為僅僅有那么點用?這是本原問題,是原始矛盾。
實際工作中,大大小小的局點我們都有接觸,發現有的客戶確確實實認為網絡安全重要,也投入了大量的人力和物力對網絡安全進行保障,但是也發現不少客戶并不真心認為網絡安全很重要,只是因為國家對網絡安全的重視才不得不對網絡安全進行投入。
不過隨著國家、人們對網絡安全的重視,后者越來越少,真心認為網絡安全重要的客戶越來越多,表現在對態勢感知產品的關注上,對安全事件的處理上,對系統漏洞修復上的要求上。只有真正認為網絡安全很重要,是企業正常經營的基礎保障,安全運營工作才能做好,才能真正起到安全防護的作用,否則,就起不到好的效果。
業務與安全的關系
到底是業務重要還是安全重要呢?第一反應是業務,因為業務維持著企業運轉的需要。但是事實是否是這樣的呢?可以看到,很多初創企業并不重視網絡安全,而是只顧業務的增長,隨著一定規模以后,逐漸的意識到沒有安全的保護,業務不可能長期有效的發展,甚至可能帶來毀滅性的打擊,也因此加大安全的投入。因此得出結論:需要平衡業務與安全的矛盾。
現實中安全確實帶來了正常業務以外的額外投入,造成成本的增加,而這種投入卻有無法有效的形成在業務收入上的體現。但是越發嚴重的網絡安全事件讓人們感到恐懼,甚至受到威脅或者已經受到侵害,使得安全的投入又是必須的。
這里有一個有趣的對比,安全投入與軟件測試非常像,看似是額外投入,但是一旦出問題,可能造成更大的損失。一種好的辦法就是像軟件測試一樣,把安全的價值衡量到業務收入上,這種思路對不同規模的客戶實施具體細節也不一樣。
企業領導與安全運營人員的關系
信息安全建設和安全運營離不開領導的重視,這是一個自上而下的變革工作。安全運營不成功的客戶中,很多是因為企業領導沒有明確清晰的安全目標,不清楚安全建設的思路和步驟,進而導致安全運營人員不知道要干啥,怎么干,看不到績效。
多數行業中,企業領導專注于企業業務的發展,對網絡安全認識和理解確實可能比較模糊,這時,就需要與專業安全廠商,就企業的安全建設目標,計劃,運營做出明確的方案,并積極穩步推進網絡安全建設和運營,明確知道自己需要什么,從而對安全運營人員有著明確的要求和指導。只有形成自上而下的整體安全建設觀,達成一致的網絡安全建設路標,安全運營才能產生預期的效果。
先進與適度的關系
由于網絡安全越來越受到重視,網絡安全防御的理念、產品也日新月異,每隔一段時間都會有新形態的安全產品的出現。部分客戶盲目追求技術先進性,誰先進就買誰,什么先進就買什么,到頭來網絡安全水平似乎并沒有提升多少。網絡安全講究適合自己的才是最好的。
客戶需要根據自己的核心業務,信息化水平,安全保護的難易度,網絡安全建設的目標等選擇適合自己的安全產品和安全理念。
一個初創企業上安全產品全家桶是不現實的,一個大企業僅僅有被動防御也遠遠不夠。因此安全運營的前提是客戶選擇適合自己的安全產品和安全理念,進而依賴安全產品做適度的安全運營。
全家桶產品與專項產品的關系
有部分客戶很重視網絡安全,斥巨資購入大量的,不同廠商的,種類繁多功能各異的安全產品。以為有這么多安全產品,網絡就一定安全了。
固然每種安全產品有著自己獨特的安全防御能力。但是如果沒有把所有安全產品有機的組合起來,充分利用,其效果很可能是1+1<2的結果,甚至因為產品眾多,需要投入更多安全維護人員,最終可能導致一個產品也沒有用好。需要根據自身的網絡安全狀況,網絡安全建設目標,合理的部署和使用相應的安全產品。
建議通過綜合管理平臺統一進行管理,分析,充分發揮各個專項產品能力和管理平臺的統籌分析能力,通過安全運營的成果和需要,發現安全防護各環節中出現的短板,有針對性的購買相應的專項安全產品,補齊短板,才能有效滿足網絡安全建設的需要。
安全運營服務與安全平臺工具的關系
安全運營服務與安全平臺工具是一個矛盾,很多客戶都對這個關系比較模糊,這個關系拎不清楚,就很難運營好網絡安全。安全服務早于平臺工具。
在沒有一系列安全平臺工具前,安全服務就存在了,只是說這個服務過程比較麻煩,而且很多服務工作還沒法開展,后來為了提高安全服務的效率,縮短安全服務的時間,安全研發人員開發出一些安全平臺工具,輔助甚至取代大部分的安全服務,把安全服務人員從繁瑣的重復操作中解放出來,把精力投入到更深層次的安全防御工作,逐漸的,就形成了安全平臺,能把服務的很多工作自動化或者半自動化的完成。
因此,安全平臺工具可以說是把利劍,如果被很好的利用起來,充分利用起來,能起到事半功倍的效果。當然如果僅僅依賴安全平臺工具,忽略了安全服務,那就本末倒置了。不能否認,至少在當前科技的發展階段,安全平臺工具還無法完全替代安全服務。
專業與非專業的關系
我國的網絡安全發展時間并不長,導致網絡安全服務人員嚴重不足。很多客戶在購買了安全平臺以后,都是由原來負責基礎網絡建設的人員來負責信息安全建設。
因此就出現了不懂安全的人在使用安全平臺進行網絡安全保護。隔行如隔山,基礎網絡和網絡安全雖然關系比較近,但是差的十萬八千里,一個是負責建設,一個是負責防御攻擊破壞,其效果可想而知。都說專業的人干專業的事。
盡管安全平臺的自動化程度在不斷提升,但也需要建立一支具備基礎安全能力的人來使用安全平臺,才能利用好安全平臺來做安全運營,把網絡安全建設到預期目標。
手動與自動的關系
安全平臺的快速演進,極大的解放了安全服務人員的工作量。因為安全平臺的最終目標就是自動化安全服務人員的工作,實現全部自動化。
例如SOAR,就可以根據事先編制好的劇本實現全流程的自動化。但是我們也遇到很多客戶對此是持懷疑的態度,就是不放心。你自動操作防火墻,自動操作路由器,萬一把設備搞掛了怎么辦?對整個業務產生的影響不亞于一場大型的網絡攻擊。這也是可以理解的。不放心的來源是對產品可靠性不了解。
對于核心設備的自動操作必須要謹慎,產品需要嚴格的性能保證,透明的策略操作審計,以及操作設備的后果呈現。
同時產品也應該轉變思路,通過聯動影響性小的設備來實施策略管控。從長遠上來說,自動化是大勢所趨,是客戶的需求和投入決定的。但是短期內,需要根據具體產品,局點實際情況,評估選擇手動,自動,手動自動一體的手段實施方式。
客戶與安全廠商的關系
客戶與安全廠商表面上是買賣關系,實際上還可以有更復雜的關系。安全廠商提供安全產品,甚至是安全服務給客戶,來滿足客戶對網絡安全建設的需要。
事實上,安全產品的快速出現和應用的周期都很短,需要大量的客戶真實的運營實踐,來驗證產品的能力,提升產品的易用性,規劃產品的發展計劃。
客戶可以利用安全廠商的這種需求反向輸出信息,從而在不停的產品迭代中獲取更加優質的產品,更好的提升安全能力。因此在安全運營的過程中,需要調動客戶和安全廠商,共同完成網絡安全建設任務。
防與治的關系
需要處理好防與治的關系。不能只治不防,也不能只防不治。很多客戶在購買安全平臺以后,整天就是在不停的處理各個安全事件,斷網,殺毒,打補丁等,忙的不亦樂乎。這就是典型的只治不防,沒有去分析為什么會有殺不完的毒,處理不完的安全事件。
網絡安全講究的是以防為主,防治結合。通過構建體系性的縱深防御機制,在持續不斷的安全運營中,不斷提升人員的安全意識,減少安全事件的發生,一旦安全事件發生,及時進行響應,減少安全事件帶來的損失和可能帶來的損失,分析安全事件根因,修補發現的漏洞,不斷完善安全保護措施和手段,才能有效完成網絡安全保護的工作。
網絡安全防護是非常復雜的,因為網絡攻擊是不斷變化的。只有堅持積極主動防御觀念,貫徹落實安全運營,梳理清楚安全運營中的各種關系,才能協調好各種資源,有效發揮出安全防御的強大作用,保障企業正常業務的良性可持續發展。
