浅谈安全运营的十大关系
随着信息化的高速发展,新技术的快速应用,混合云的大规模部署,基础设施变得更加复杂多变,网络世界日新月异。与此同时,网络安全事故频发,甚至严重威胁了人们的生产生活秩序,促使人们加强对网络安全的重视。
在国家相关安全法规密集出台,网络安全被提升到了前所未有的高度,这对国家安全,企业数据保护,个人隐私保护具有极大的积极作用。产业界和安全行业都在不断探索实践安全运营的理念,以此来保护人们的网络安全。
安全运营就是调动一切的积极因素,把网络安全平台,设备,队伍,流程等统筹起来,并不断的运用、持续改进的动态过程。安全运营做的好,安全风险就会低,反之,可能会出现重大安全事故,造成不必要的损失。
在多年的安全运营实践活动中,我们支持了多种类型的行业客户,对安全运营进行了深入的研究和分析,提炼出安全运营的十大关系,希望对读者有所帮助。
是非关系
首先要谈的就是是非关系。具体是什么?直白的说就是你认不认为网络安全很重要,是真认为重要呢,还是假认为重要?是认为很重要呢,还是认为仅仅有那么点用?这是本原问题,是原始矛盾。
实际工作中,大大小小的局点我们都有接触,发现有的客户确确实实认为网络安全重要,也投入了大量的人力和物力对网络安全进行保障,但是也发现不少客户并不真心认为网络安全很重要,只是因为国家对网络安全的重视才不得不对网络安全进行投入。
不过随着国家、人们对网络安全的重视,后者越来越少,真心认为网络安全重要的客户越来越多,表现在对态势感知产品的关注上,对安全事件的处理上,对系统漏洞修复上的要求上。只有真正认为网络安全很重要,是企业正常经营的基础保障,安全运营工作才能做好,才能真正起到安全防护的作用,否则,就起不到好的效果。
业务与安全的关系
到底是业务重要还是安全重要呢?第一反应是业务,因为业务维持着企业运转的需要。但是事实是否是这样的呢?可以看到,很多初创企业并不重视网络安全,而是只顾业务的增长,随着一定规模以后,逐渐的意识到没有安全的保护,业务不可能长期有效的发展,甚至可能带来毁灭性的打击,也因此加大安全的投入。因此得出结论:需要平衡业务与安全的矛盾。
现实中安全确实带来了正常业务以外的额外投入,造成成本的增加,而这种投入却有无法有效的形成在业务收入上的体现。但是越发严重的网络安全事件让人们感到恐惧,甚至受到威胁或者已经受到侵害,使得安全的投入又是必须的。
这里有一个有趣的对比,安全投入与软件测试非常像,看似是额外投入,但是一旦出问题,可能造成更大的损失。一种好的办法就是像软件测试一样,把安全的价值衡量到业务收入上,这种思路对不同规模的客户实施具体细节也不一样。
企业领导与安全运营人员的关系
信息安全建设和安全运营离不开领导的重视,这是一个自上而下的变革工作。安全运营不成功的客户中,很多是因为企业领导没有明确清晰的安全目标,不清楚安全建设的思路和步骤,进而导致安全运营人员不知道要干啥,怎么干,看不到绩效。
多数行业中,企业领导专注于企业业务的发展,对网络安全认识和理解确实可能比较模糊,这时,就需要与专业安全厂商,就企业的安全建设目标,计划,运营做出明确的方案,并积极稳步推进网络安全建设和运营,明确知道自己需要什么,从而对安全运营人员有着明确的要求和指导。只有形成自上而下的整体安全建设观,达成一致的网络安全建设路标,安全运营才能产生预期的效果。
先进与适度的关系
由于网络安全越来越受到重视,网络安全防御的理念、产品也日新月异,每隔一段时间都会有新形态的安全产品的出现。部分客户盲目追求技术先进性,谁先进就买谁,什么先进就买什么,到头来网络安全水平似乎并没有提升多少。网络安全讲究适合自己的才是最好的。
客户需要根据自己的核心业务,信息化水平,安全保护的难易度,网络安全建设的目标等选择适合自己的安全产品和安全理念。
一个初创企业上安全产品全家桶是不现实的,一个大企业仅仅有被动防御也远远不够。因此安全运营的前提是客户选择适合自己的安全产品和安全理念,进而依赖安全产品做适度的安全运营。
全家桶产品与专项产品的关系
有部分客户很重视网络安全,斥巨资购入大量的,不同厂商的,种类繁多功能各异的安全产品。以为有这么多安全产品,网络就一定安全了。
固然每种安全产品有着自己独特的安全防御能力。但是如果没有把所有安全产品有机的组合起来,充分利用,其效果很可能是1+1<2的结果,甚至因为产品众多,需要投入更多安全维护人员,最终可能导致一个产品也没有用好。需要根据自身的网络安全状况,网络安全建设目标,合理的部署和使用相应的安全产品。
建议通过综合管理平台统一进行管理,分析,充分发挥各个专项产品能力和管理平台的统筹分析能力,通过安全运营的成果和需要,发现安全防护各环节中出现的短板,有针对性的购买相应的专项安全产品,补齐短板,才能有效满足网络安全建设的需要。
安全运营服务与安全平台工具的关系
安全运营服务与安全平台工具是一个矛盾,很多客户都对这个关系比较模糊,这个关系拎不清楚,就很难运营好网络安全。安全服务早于平台工具。
在没有一系列安全平台工具前,安全服务就存在了,只是说这个服务过程比较麻烦,而且很多服务工作还没法开展,后来为了提高安全服务的效率,缩短安全服务的时间,安全研发人员开发出一些安全平台工具,辅助甚至取代大部分的安全服务,把安全服务人员从繁琐的重复操作中解放出来,把精力投入到更深层次的安全防御工作,逐渐的,就形成了安全平台,能把服务的很多工作自动化或者半自动化的完成。
因此,安全平台工具可以说是把利剑,如果被很好的利用起来,充分利用起来,能起到事半功倍的效果。当然如果仅仅依赖安全平台工具,忽略了安全服务,那就本末倒置了。不能否认,至少在当前科技的发展阶段,安全平台工具还无法完全替代安全服务。
专业与非专业的关系
我国的网络安全发展时间并不长,导致网络安全服务人员严重不足。很多客户在购买了安全平台以后,都是由原来负责基础网络建设的人员来负责信息安全建设。
因此就出现了不懂安全的人在使用安全平台进行网络安全保护。隔行如隔山,基础网络和网络安全虽然关系比较近,但是差的十万八千里,一个是负责建设,一个是负责防御攻击破坏,其效果可想而知。都说专业的人干专业的事。
尽管安全平台的自动化程度在不断提升,但也需要建立一支具备基础安全能力的人来使用安全平台,才能利用好安全平台来做安全运营,把网络安全建设到预期目标。
手动与自动的关系
安全平台的快速演进,极大的解放了安全服务人员的工作量。因为安全平台的最终目标就是自动化安全服务人员的工作,实现全部自动化。
例如SOAR,就可以根据事先编制好的剧本实现全流程的自动化。但是我们也遇到很多客户对此是持怀疑的态度,就是不放心。你自动操作防火墙,自动操作路由器,万一把设备搞挂了怎么办?对整个业务产生的影响不亚于一场大型的网络攻击。这也是可以理解的。不放心的来源是对产品可靠性不了解。
对于核心设备的自动操作必须要谨慎,产品需要严格的性能保证,透明的策略操作审计,以及操作设备的后果呈现。
同时产品也应该转变思路,通过联动影响性小的设备来实施策略管控。从长远上来说,自动化是大势所趋,是客户的需求和投入决定的。但是短期内,需要根据具体产品,局点实际情况,评估选择手动,自动,手动自动一体的手段实施方式。
客户与安全厂商的关系
客户与安全厂商表面上是买卖关系,实际上还可以有更复杂的关系。安全厂商提供安全产品,甚至是安全服务给客户,来满足客户对网络安全建设的需要。
事实上,安全产品的快速出现和应用的周期都很短,需要大量的客户真实的运营实践,来验证产品的能力,提升产品的易用性,规划产品的发展计划。
客户可以利用安全厂商的这种需求反向输出信息,从而在不停的产品迭代中获取更加优质的产品,更好的提升安全能力。因此在安全运营的过程中,需要调动客户和安全厂商,共同完成网络安全建设任务。
防与治的关系
需要处理好防与治的关系。不能只治不防,也不能只防不治。很多客户在购买安全平台以后,整天就是在不停的处理各个安全事件,断网,杀毒,打补丁等,忙的不亦乐乎。这就是典型的只治不防,没有去分析为什么会有杀不完的毒,处理不完的安全事件。
网络安全讲究的是以防为主,防治结合。通过构建体系性的纵深防御机制,在持续不断的安全运营中,不断提升人员的安全意识,减少安全事件的发生,一旦安全事件发生,及时进行响应,减少安全事件带来的损失和可能带来的损失,分析安全事件根因,修补发现的漏洞,不断完善安全保护措施和手段,才能有效完成网络安全保护的工作。
网络安全防护是非常复杂的,因为网络攻击是不断变化的。只有坚持积极主动防御观念,贯彻落实安全运营,梳理清楚安全运营中的各种关系,才能协调好各种资源,有效发挥出安全防御的强大作用,保障企业正常业务的良性可持续发展。