安全419《安全运营解决方案》——聚铭网络篇
企业的安全建设总是跟随其信息化建设逐步建立并完善,随着企业的部门分支、系统规模的不停扩展,其安全设备也逐渐臃肿扎堆。这让IT团队不堪重负,误报率居高不下,不同的安全策略相互掐架,响应效率低下,同时还要面临业务团队的嫌弃和抗拒。
安全运营成为当前企业做好网络安全工作的重要抓手,安全419推出《安全运营解决方案》系列选题,通过分析人、数据、工具、流程等安全运营中的基本元素,探讨现代安全运营所需要的能力。
本期,我们邀请到南京聚铭网络科技有限公司(以下简称 聚铭网络)创始人唐开达先生,为大家分析企业如何恰到好处地落实安全运营,顺畅地开展常态化的安全工作。
聚铭网络成立于2016年,专注于安全智能分析及检测产品的研发和安全智能化运维的SaaS服务的探索,将SaaS化安全运营服务作为发展主航道。规划了“云+端”产品服务一体化解决方案,目前已服务电信、教育、能源、金融、政府、医疗等行业超10000家政企客户,云端托管客户超6000家,在北京、南京建立了双总部中心,同时在河北、山东、湖南等地设有分支机构,业务遍布全国32个省市地区,并先后获得腾讯和毅达资本等机构的投资。
安全运营是制度+平台+人的有机结合
“安全运营是信息化发展的产物”,唐开达告诉我们,现代化企业的日常办公与生产经营依靠着很多不同的系统、应用来提升管理、协作以及效能,随之配套的安全设备自然也越来越多。这些种类、形态各异的产品以单点防护为主,缺乏综合分析与统一联动,难以发现深层次的网络威胁。通过安全运营可以有机整合产品、服务、人员组织及流程,帮助企业提升安全管理的水平,保障企业生产经营的正常化和持续化。
因此,安全运营常被称为“解决安全问题的最后一公里”,根据安全419的观察,安全运营已经成为企业安全建设中的必经之路,但是,在数字时代愈加凶险的网络威胁面前,搭建了安全运营平台或是配备了安全运营团队的企业,依然在屡屡遭受重创。唐开达对此表示,安全运营并不等同于一个单独的工具,而是制度+平台+人的有机结合,每个环节都会影响安全运营的成效。
制度是指导企业的安全运营工作能持续运转起来的机制和流程。早期的安全运营更偏向于安全运维,旨在保障信息系统的稳定运转,随着外部监管趋严和业务转型升级,都对安全提出了更高的需求,安全运营需要输出更高的价值,比如发现未知威胁、厘清资产弱点、规范安全事件处置、提升效率和质量等等。因此,在企业安全成熟度的不同阶段,需要建设相适应的安全运营制度,并匹配合适的形式与内容。
平台作为安全运营不断发展进阶而形成的产品形态,需要承载一系列监控、采集、分析、管理的功能。数字时代背景下,数据是海量多元异构的,考验的是平台的数据处理能力;攻击是复杂且未知的,平台需要更加智能化的分析能力;威胁是无孔不入的,平台的检测及响应能力能否抗衡黑客也非常关键。此外,平台需要与企业已有的网关设备、终端安全设备以及外部威胁情报高效协同,才能达到更好的安全处置与管理效果。
人是安全的的尺度,员工的安全认知、以及安全人员的数量与技能,也是左右安全建设工作与开展成果的重要因素之一。如果缺乏专业的人员来运营,将难以与IT、业务、管理层和监管等部门进行有机联动,安全管理的难度很大、效率低下,安全工具应有的价值可能无法发挥。
以上三重因素为企业落地开展安全运营工作带来了现实挑战,据唐开达分析,各行业的头部企业、以及实力雄厚的大型集团,尚且有能力招募专家级别的安全技术人才,自建功能完善的安全运营平台,并匹配适应的流程制度,以保证日常安全管理工作有效开展。更多的中小企业受制于成本与资源,仅具备较为基础的安全技能与管理流程,但他们面临的安全威胁并不比前述企业少。为了获得与头部企业一样的安全保障,将安全工作委托给专业的第三方安全托管服务运营商正成为趋势。对于企业用户而言,这是一种降本增效的有利选择,对于安全行业而言,也逐渐开辟出安全运营服务的蓝海赛道。
用“云安全服务”形式
解决企业安全运营问题
安全419了解到,聚铭网络的创始团队在早期参与过中国电信、中国移动、国家电网、南方电网等头部企业的网络和信息安全管理规划与平台建设、运维工作,团队研发了我国最早期的安全运营中心(SOC)、日志审计、4A(身份管理)等产品。正是看到了大量企业对于可靠稳定、高性价比的安全运营服务需求的激增,聚铭网络自2016年成立起就选择SaaS化安全运营服务作为发力方向,依托于前期积累的咨询规划、研发建设、运维服务经验,率先推出了安全托管服务平台——聚铭云端安全管家,采用“云安全服务”形式来解决企业日益繁重的安全运营问题,集中管理企业所部署的大量的、不同种类的、形态各异的信息安全产品,自动地发现和汇聚各类信息风险并提供安全运营服务,以较低的成本协助企业实现安全事件管理、脆弱性管理、安全运维管理和安全风险管理。
值得注意的是,目前市场上普遍推出的安全托管类产品,更多是针对自家各类安全产品的远程运营服务,唐开达强调,聚铭云端安全管家具有全面兼容的特性,一方面覆盖了企业所部署的其它安全厂商的设备,打破信息安全孤岛;另一方面覆盖数据库、应用系统、网络设备、主机服务器、配置信息等各类环境,数据的采集分析与事件响应不局限于某一层面,而是提供没有死角的安全防护。
与此同时,既然是托管,切中的正是企业用户安全基础薄弱、缺乏专业技术人员的痛点。保证安全的效率与效果,并且降低人员使用操作的门槛,一直是安全运营需要攻克的难题。唐开达表示,聚铭网络作为国内最早建立安全运营平台的团队,长期积累的对数据处理、运维管理、不同机构厂商异构化设备的理解与处置方法的经验,都已经以专家知识沉淀的形式应用到平台中。截止 2021 年底,其云端托管服务客户量已经突破 6000 家,庞大的数据量又将形成新的数据处置、运维管控、应急响应经验持续反哺到平台中,同时唐开达表示这也是聚铭能够一直保持领先优势的原因之一。
除了专家经验,平台利用自动化、人工智能、机器学习等技术,不断支撑其安全托管服务能力的优化升级。据介绍,目前平台的监测分析与响应处置高达 97% 依靠人工智能处理,仅 3% 需要人工干预,以人机共智的方式让更多企业享受到管家式的安全运营服务。
此外,根据不同企业用户的规模与组织架构,聚铭网络能够提供与之相适宜的部署模式。针对具有多个分支机构或下属公司的大型集团,提供基于私有云的安全托管运营服务;面对广大的中小型企业,提供基于公有云的安全服务能力;针对具有特殊需求的企业,如要求数据不出网、希望自建安全运营平台等,聚铭能够提供单独的安全管理中心,作为企业信息安全体系的支撑平台,以资产为核心,安全事件分析处理为主线,通过内置综合分析、集中监控、集中运维、统一管理的功能,配合企业安全业务流程,将技术、流程、人员进行有机结合,确保企业安全管理闭环。
安全运营让安全更简单、更有效、更普惠
步入2022年,安全运营市场发展势头愈发强劲,根据安全419观察,一方面,威胁监测与响应TDR、攻击面管理ASM、入侵和攻击模拟BAS等等技术大力发展应用,为安全运营提供底层技术支撑;另一方面,众多厂商积极布局安全托管运营服务MSS,成为未来企业乃至各行业安全运营服务的重要趋势。
对于安全运营的未来发展走向,唐开达认为,现阶段,不少安全产品在单一能力上已经达到较高水准,安全运营需要具备优秀的集成、整合能力,从点状防护覆盖到企业整体,全面提升企业的综合安全管理水平。
其次,安全运营需要从被动防范转向主动、快速、精准地检测与响应,更多新兴技术的实践,旨在要求加深对未知威胁的感知识别、对不同业务场景的理解、对海量多源数据的处理、对差异化产品的处置、以及对大量运营知识的沉淀,在实际落地中才能达到既定的安全目标。
此外,安全运营应该是普惠的,让更多的企业在有限的资源预算内享受到高质量的安全保障,采用人工智能、机器学习等技术以及自动化流程加持安全运营平台的能力,代替人工值守,解放生产力的同时追求更高的效率和更好的安全效果。
THE END
// 推荐阅读