安全419《安全运营解决方案》系列访谈——众智维科技篇
企业的安全建设总是跟随其信息化建设逐步建立并完善,随着企业的部门分支、系统规模的不停扩展,其安全设备也逐渐臃肿扎堆。这让IT团队不堪重负,误报率居高不下,不同的安全策略相互掐架,响应效率低下,同时还要面临业务团队的嫌弃和抗拒。
安全运营成为当前企业做好网络安全工作的重要抓手,安全419推出《安全运营解决方案》系列访谈选题,通过分析人、数据、工具、流程等安全运营中的基本元素,探讨现代安全运营所需要的能力。本期,我们邀请到南京众智维信息科技有限公司(以下简称 众智维科技)创始人兼董事长孙捷先生,为大家分析企业如何恰到好处地落实安全运营,顺畅地开展常态化的安全工作。
众智维科技成立于2015年,是以国内知名的麒麟安全实验室(原OPENX实验室)为基础建立的网络安全软件研发创新企业。公司坚持“众智创新重塑安全生态、AI运营赋能网信安全”,是新一代人工智能+机器学习驱动,通过AI+无代码数字机器人+自动化协同安全响应平台+实战对抗的网络安全攻防运营(AISecOps)解决方案商。主要致力于为需求方提供安全自动化、风险评估、管理运维、流量分析、端点防护、SOAR、AI/ML等网络安全服务。
新型安全运营体系意在实现
主动监测、快速响应、积极演练
网络安全工作并非部署设备之后就一劳永逸,面对安全态势的持续监控,对安全事件的应急响应,以及对安全目标和价值的评估量化,都要求网络安全工作从“建设”持续走向“运营”。
长久以来,企业通过安全服务外包、安排人员驻场、或制定相关流程并采用一些基础的评估、协同工具来开展安全运营,力求将安全产品、安全服务的能力发挥到极致,一定程度上提升了企业的安全感知和防护能力,避免业务系统、办公系统及关键数据受到损害和窃取。
然而,攻防对抗总是在动态中较量升级,孙捷表示,数字化改革成为企业业务转型和加强竞争力的必要路径,新冠疫情的流行大力推动着这一进程的速度,一方面,愈加模糊的内外网边界带来愈加多的数字资产暴露面,无论是内部员工还是供应链环节都可能成为入口跳板,面对更加先进、智能的攻击手段而防不胜防。另一方面,愈加复杂的IT架构带来了愈加碎片化的安全设备,一座座安全孤岛形成新的囚笼与盲区,以及专业安全人员的缺乏和远程运维成为常态,让0day漏洞等高危安全事件无法得到及时有效的处理。
以众智维科技参与的一次实网攻防演练项目为例,我们可以直观感受到在上述现状下开展安全运营会遭遇的窘境。
某头部金融客户部署了超过20家供应商的安全产品,在演练保障期间,平均每款产品配备有1-3名安全服务人员提供驻场技术支撑,当安全事件发生,需要协同几十款产品和上百号人员进行响应处置。矛盾之处在于,攻击是针对组织整体,单点的安全产品无法窥见攻击的全貌,难以还原完整的攻击链路,异构产品的安全策略和处置流程以及专家们的知识经验彼此割裂,难以形成良性的合力,虽然能力和服务,面对实战化进攻反而将战线拉得很长,防护效果大打折扣。
“安全攻防就是双方抢时间,必须要打通人与人、人与产品以及产品与产品之间的通路”,孙捷这样阐述现代化安全运营的效用,“安全能力建设不是安全产品的堆叠,而是需要安全专家深度融入结合先进平台对核心业务实施主动监测,以服务提供快速响应,常态化演练提前发现威胁,从而去提升黑客的攻击成本,拉长黑客攻击周期,缩短事件发生后的响应时间,防范和化解高级、新型威胁带来的影响,降低风险带来的损失,形成一套主动监测、快速响应、积极演练的新型安全运营体系。”
其核心目标之一——效能与效率,主要体现在两点,一是平均检测时间(Mean Incident Time to Detect,MTTD),安全风险事件从最初被检测到最终确定其有效性所花费的时间,可以反映企业在识别安全事件的真实威胁方面的能力和水平;二是平均响应时间(Mean Incident Time to Response,MTTR),衡量调查和减轻已确认事件所花费的时间,显示了安全运营团队在分析和缓解安全事件的实际威胁方面的能力。因此,防守方的本质就是降低 MTTD 和 MTTR,让系统更安全地运行,最终实现完整的安全运营流程。
AISecOps
为提高安全运营效率和质量提供解题思路
作为聚焦AISecOps领域的方案提供商,孙捷表示众智维科技以新一代人工智能+机器学习为驱动,通过AI+无代码数字机器人+自动化协同安全响应平台+实战对抗网格的创新组合打法,以无代码数字安全机器人实现安全运营辅助决策,以自主研发的SOAR安全自动化编排平台实现攻防两端的场景剧本自动化。
其AISecOps产品核心依托于MSS的云仓联动体系,将众智维科技的AI算法云仓、红蓝对抗数字机器人驾驶舱与企业安全运营数据进一步迭代整合,多维度构建了红蓝紫军三方高频压力下的安全运营协同作战体系。
孙捷以其拳头产品RedOps红鲸安全协同响应平台为例为我们阐述了众智维科技在AISecOps领域的建树。
RedOps是通过SOAR技术,以自动化编排为核心,充分使用自动化技术手段,将人、技术和流程高度协同起来,将繁杂的安全运行(尤其是安全响应)过程梳理为任务和剧本,提供定制化的流程和控制,整合并加速有效网络威胁的调查与缓解,可快速编排响应策略,在收集不同来源的安全威胁数据和警报时,运用人机结合的方法进行事件分析与分类,根据标准流程辅助定义、排序和驱动标准化事件响应行为,并应用到防护、检测与响应的每个环节,实现简化的统一协同响应,节省手动分析时间,最终实现自动化安全运营的安全协同响应平台。
根据Gartner的定义,SOAR是指能使企业组织从SIEM等监控系统中收集报警信息,或通过与其他技术的集成和自动化协调,提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中,其三大核心能力是编排、自动化、安全响应。
//安全能力编排化
据了解,RedOps一方面可以通过自底向上地通过安全设备接口化和安全接口应用化实现安全应用编排化;另一方面则自顶向下地将安全运营者的安全运营过程和规程进行形式化落地,实现运营过程的剧本化。最后,借助运营过程剧本化和安全应用编排化,实现安全能力的集成与编排,并为安全流程的自动化执行奠定基础。通过安全能力编排化,真正实现了将不同的设备和系统协同联动起来的目标。
//安全流程自动化
安全流程自动化不等于安全编排,实际上,安全编排得到的任务和剧本指明了一系列操作的步骤和下一步走向的判定条件,既可以人工执行,也可以自动执行。在实际应用场景中,几乎所有安全编排任务和剧本的执行都或多或少地涉及自动化,否则安全编排的价值十分有限。
“还需要指出的是”,孙捷强调,“安全编排自动化不等于安全编排任务和剧本执行的完全自动化,所有否认人在安全运营工作中的决定性作用的观点都是不现实的。在实际应用场景中,安全编排自动化基本都是半自动化。”RedOps的安全运营流程与规程尽可能地自动化执行,从而大大提升安全流程的执行效率,节约时间和人力成本,并确保能够持续达成预期的效果。
//告警响应智能化
对来自组织的各种告警信息进行基于编排与自动化的响应是 SOAR 产品的基本能力。此外,RedOps还提供了智能化告警响应的能力,进一步提升了告警响应的精准度和有效性。
智能告警分诊:包括智能化、规约化的告警预处理,以及基于策略的告警合并。同时,系统可选的高级告警分析功能,帮助用户进一步提升告警价值,减少告警数量。告警分析采用基于关联规则的分析技术,能够将不同来源的告警信息连同外部的情境数据进行交叉比对与关联。
智能告警调查:安全运维人员和分析师可以对告警信息进行深入调查,支持交互式调查分析,支持基于剧本和应用动作的编排化调查分析,支持告警统计与追溯下钻。通过告警调查丰富告警信息、核实告警原因、对齐处置对策。
智能告警响应:一旦确认某个告警信息为安全事件(Incident),可以自动触发响应剧本,或者自动添加到相关的案例中,也可以提醒分析师进行人工响应。
总而言之,企业本质上是为了避免业务受阻,有能力进行安全对抗,提高安全运营效率和质量。借助RedOps,可以将分散的工具、人员和流程有机地整合到一起,帮助企业解决安全运营的最后一公里落地问题;同时将人员从繁重的低端重复性劳动中解脱出来,通过编排与自动化技术手段提升人的运营水平和绩效;还能将有经验的安全运营人员的知识进行固化、沉淀、分享,并不断优化;最终实现安全运营效果的自动化、数字化度量,让安全管理者更客观、快速地掌握安全运营团队的绩效,以及安全运营的实际效果。
安全运营走向智能化、实战化
落地AISecOps有章可循
根据安全运营的新形势,在未来,企业会不断地在AI算法智能、自动化、无代码作战机器人层面不断加码。众智维科技一直以来立足对安全运营厂商产品生态体系的持续投入,与大量第三方安全厂商合作并资源整合,以构建产品技术和运营服务双高壁垒,成为大数据+AISecOps安全领军企业。目前众智维科技RedOps红鲸产品通过安全工具超市功能,实现与Check Point、亚信安全、奇安信、长亭科技、赛宁网安等国内外150多家安全厂商建立API安全合作生态,覆盖350款产品的自动化集成联动,实现人与产品、产品与机器的高效集成,在网络安全协作过程中为客户实现各种安全资源的高效协同,落地AISecOps自动化、智能化、实战化的产品和运营实践。
众智维科技建议企业基于这些步骤来建设安全运营体系:
01 制定安全运营能力目标。在部署SOC/SIEM基础上,应建设具备攻防能力、安全处置能力的专家或服务体系。通过尝试落地SOAR、MITRE ATT&CK框架、协同作训来打通企业攻防安全基本运营流程,从而清楚地认识威胁的分布情况。
02 组建自有的安全攻防体系。目前在众智维科技的客户中,100%都面临过针对性地攻击,所以建议企业要保持攻防演练实战化。企业管理层经常问问运营团队,“对手要拿我的什么信息?”这可能不仅仅是数据,也许是业务流程、组织架构,甚至是高管信息、供应链信息。这里所说的实战化不是简单的靶场演练,更多是可信众测这类竞争检测机制。
03 构建弹性和可量化的运营考核。众智维科技为企业提供安全运营方案的过程中,比较着重构建弹性灵活的安全运营方案,比如SOAR的APP安全接入、剧本Playbook实例化、USECASE案宗等,企业可以根据自身需求定义SecOps重点方向,从而多维度衡量常见安全事件处置效率(例如分为运营人员、运营团队、安全案宗各种角度的MTTD、MTTR),SOAR产品不仅仅能够成为企业安全SecOps落地支撑,而且能实现量化运营考核。
04 持续投入AI+SecOps建设。通过AI、ML、安全自动化的持续集成,可以释放企业有限的安全运营人员精力,降低企业运营成本。
05 引入MSS安全专业托管。这将会是快速提高效率的另一种捷径,越来越多的企业IT上云,也就意味着安全服务的云化。安全团队成员可以随时随地访问这些企业应用服务、运营系统。企业通过SOC+SOAR+MSS托管服务将大大减轻安全团队的负担,让自有安全专家将能够专注于更重要的工作,例如流程、协同、业务缓解和分析报告工作。
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
END
西 西
安全419编辑部
关注网络安全行业的一切新鲜事物。
//推荐阅读